信息权限管理 (IRM) 有助于防止未经授权的人员打印、转发或复制敏感信息。 权限存储在通过 IRM 服务器进行身份验证的工作簿中。
在 Microsoft 365 中使用 IRM,即可对 XML 纸张规范 (.xps) 文件和下列文件类型进行权限管理:
-
工作簿 .xls
-
工作簿 .xlsx
-
已启用宏的 workbook.xlsm
-
Template.xlt
-
Template.xltx
-
已启用宏的 template.xltm
-
非 XML 二进制 workbook.xlsb
-
已启用宏的 add-in.xla
-
已启用宏的 add-in.xlam
配置计算机以使用 IRM
要在 Microsoft 365 中使用 IRM,所需的最低软件版本为 Windows Rights Management Services (RMS) Client Service Pack 1 (SP1)。 RMS 管理员可配置公司特定的 IRM 策略,进而确定可访问信息的人员以及允许的电子邮件编辑级别。 例如,公司管理员可定义名为“公司机密”的权限模板,它可指定使用该策略的电子邮件只能由公司域内的用户打开。
下载权限
首次尝试使用受限权限打开工作簿时,必须连接到许可服务器以验证凭据并下载使用许可证。 使用许可证定义你对某个文件的访问级别。 具有受限权限的每个文件均需要此过程。 换言之,没有使用许可证便无法打开具有受限权限的内容。 下载权限时,要求 Microsoft 365 将你的凭据(包括电子邮件地址)和权限相关信息发送到授权服务器。 工作簿中包含的信息不会发送到许可服务器。
限制对文件内容的权限
IRM 允许对每个用户、每个文件或每个组应用限制, (基于组的权限需要 Active Directory 目录服务进行组扩展) 。 例如,在 Ranjit 创建的工作簿中,他可能授予 Helena 读取权限,但不能更改它。 然后,Ranjit 可以授予 Bobby 编辑工作簿的权限。 Ranjit 还可能决定对 Helena 和 Bobby 对工作簿的访问权限应用 5 天限制。
-
保存工作簿。
-
选择“文件”>“信息”。
-
选择“保护工作簿”,指向“通过人员限制权限”,然后选择“受限访问”。
-
在“ 权限 ”对话框中,选择“ 限制对此工作簿的权限”,然后为每个用户分配所需的访问级别。
-
若要授予某人完全控制权限,请在“权限”对话框中选择“更多选项”,然后在“访问级别”列中选择箭头,然后在“访问级别”列表中选择“完全控制”。
-
分配权限级别后,选择“ 确定”。
此时会显示消息栏,指示工作簿由权限管理。 如果必须对工作簿进行任何访问权限更改,请选择“ 更改权限”。
如果将具有受限权限的工作簿转发给未经授权的人员,则会显示一条消息,其中包含作者的电子邮件地址或网站地址,以便个人可以请求工作簿的权限。
如果作者选择不包括电子邮件地址,则未授权的用户将收到错误消息。
设置文件的到期日期
-
打开文件。
-
选择“文件”>“信息”。
-
选择“保护工作簿”,指向“通过人员限制权限”,然后选择“受限访问”。
-
在“权限”对话框中,选中“限制对此工作簿的权限检查”框,然后选择“更多选项”。
-
在“用户的其他权限”下,选中“此工作簿在检查到期”框,然后输入日期。
-
选择 “确定” 两次。
使用其他 Windows 用户帐户对文件进行权限管理
-
打开文档、工作表或演示文稿。
-
转到“文件”>“信息”。
-
选择“保护工作簿”,指向“通过人员限制权限”,然后选择“管理凭据”。
-
执行下列操作之一:
-
在 “选择用户 ”对话框中,选择要使用的帐户的电子邮件地址,然后选择“ 确定”。
-
在 “选择用户 ”对话框中,选择“ 添加”,键入新帐户的凭据,然后选择 “确定” 两次。
-
查看具有受限权限的内容
若要使用 Microsoft 365 查看您有权访问的权限管理内容,只需打开工作簿即可。
如果要查看您拥有的权限,请在消息栏中选择“ 查看权限 ”,或选择“ 此工作簿包含权限策略
Office for Mac 中的 IRM 提供三个权限级别。
-
读取 读取
-
更改 读取、编辑、拷贝、保存更改
-
完全控制 读取、编辑、拷贝、保存更改、打印、设置内容的过期日期、为用户授予权限、以编程方式访问内容
请执行以下任一操作:
手动设置权限级别
-
在“ 审阅 ”选项卡上的“ 保护”下,选择“ 权限”,然后选择“ 受限访问”。
-
如果这是你首次访问授权服务器,请输入授权服务器的用户名和密码,然后选中“在 Mac OS keychain 中保存密码”复选框。
注意: 如果未在 Mac OS 密钥链中选择“保存密码”,则可能必须多次输入用户名和密码。
-
在“读取”、“更改”或“完全控制”框中,输入要为其授予访问级别的用户或用户组的电子邮件地址或名称。
-
如果要在通讯簿中搜索电子邮件地址或姓名,请选择“
”。 -
如果要为通讯簿中的所有人员分配访问级别,请选择“
添加所有人 ”。 -
分配权限级别后,选择“ 确定”。
消息栏随即出现,并显示一条消息,指出工作簿由权限管理。
使用模板来限制权限
管理员可以配置公司特定的 IRM 策略,用于定义谁可以访问用户的信息权限级别。 权限管理的这些属性通过使用 Active Directory 权限管理服务 (AD RMS) 服务器模板定义。 例如,公司管理员可以定义名为“公司机密”的权限模板,该模板指定使用该策略的工作簿只能由公司域中的用户打开。
-
在“ 审阅 ”选项卡上的“ 保护”下,选择“ 权限”,然后选择所需的权限模板。
更改或删除您设置的权限级别
如果您应用了模板来限制权限,则不能更改或删除权限级别;仅当您的权限级别是手动设置时,下面的步骤才有效。
-
在消息栏上,选择“ 更改权限”。
-
在“读取”、“更改”和“完全控制”框中,输入要为其授予访问级别的用户或用户组的新电子邮件地址或名称。
-
若要从访问级别中删除个人或组,请选择电子邮件地址,然后按 DELETE 。
-
若要从权限级别中删除 “每个人 ”,请选择“
添加所有人”。
设置受限文件的过期日期
作者可以使用“设置权限”对话框为内容设置过期日期。
-
在“ 审阅 ”选项卡上的“ 保护”下,选择“ 权限”,然后选择“ 受限访问”。
-
选择“ 更多选项”,然后选择“ 此文档过期日期”,然后输入 日期。
授权用户对某个文档的权限过期之后,只有作者或具有“完全控制”权限的用户才可以打开该文档。
允许拥有更改或读取权限的用户打印内容
默认情况下,拥有更改和读取权限的用户不能打印。
-
在“ 审阅 ”选项卡上的“ 保护”下,选择“ 权限”,然后选择“ 受限访问”。
-
选择“ 更多选项”,然后选择“ 允许具有更改或读取权限的人员打印内容”。
允许拥有读取权限的用户拷贝内容
默认情况下,拥有读取权限的用户不能拷贝内容。
-
在“ 审阅 ”选项卡上的“ 保护”下,选择“ 权限”,然后选择“ 受限访问”。
-
选择“ 更多选项”,然后选择“ 允许具有读取权限的人员复制内容”。
允许受限文件中运行脚本
作者可以将设置更改为允许打开文档时运行 Visual Basic 宏,以及允许 AppleScript 脚本访问受限文档中的信息。
-
在“ 审阅 ”选项卡上的“ 保护”下,选择“ 权限”,然后选择“ 受限访问”。
-
选择“ 更多选项”,然后选择“ 以编程方式访问内容”。
需要连接以验证权限
默认情况下,用户首次打开受限文档时,必须通过连接到 AD RMS 服务器进行身份验证。 但是,您可以更改此设置,要求他们每次打开受限文档都需要进行身份验证。
-
在“ 审阅 ”选项卡上的“ 保护”下,选择“ 权限”,然后选择“ 受限访问”。
-
选择“ 更多选项”,然后选择“ 需要连接以验证权限 ”。
删除限制
-
在“ 审阅 ”选项卡上的“ 保护”下,选择“ 权限”,然后选择“ 无限制”。
-
在对话框中,选择 “删除限制”。
相关主题
在 iOS 版本的 Microsoft 365 中,对于收到的任何受 IRM 保护的文件,只要使用有权访问该文件的帐户登录即可打开它。 打开受 IRM 保护的文件时,顶部会显示一个信息栏,你可以查看已向此文件分配的权限。
如果你是拥有 Azure 权限管理的 Office 365 订阅者,并且 IT 部门已定义某些 IRM 模板供你使用,则可以将这些模板分配到 iOS 上的 Office 文件中。
若要保护文件,请点击应用中
注意: 如果应用中未启用“限制权限”按钮,请打开任何受 IRM 保护的现有文档,然后对其进行初始化。
在 android 版本的 Microsoft 365 中,如果使用对文件具有权限的帐户登录,则会打开收到的任何受 IRM 保护的文件。 打开受 IRM 保护的文件时,顶部将显示一个信息栏,允许你查看已向此文件分配的权限。
![在 Office for Android 中打开受 IRM 保护的文件时,可查看已分配的权限。](https://support.content.office.net/zh-cn/media/f94a8b57-0158-4681-b4bb-7dad8275ec8e.png)
信息权限管理 (IRM) 有助于实现下列目标:
-
防止未经授权的收件人转发、复制、更改、打印、传真受限内容,或将此类内容粘贴进行未授权的使用
-
限制内容到处传播
-
提供文件过期功能,以便指定时间后不能再查看文档中的内容
-
在公司内部强制实施管理内容的使用和分发的公司政策
IRM 不能阻止受限内容被:
-
通过特洛伊木马、键击记录程序和某些类型的间谍软件等恶意程序擦除、盗取、捕获或传送
-
因计算机病毒操作而导致丢失或损坏
-
通过查看收件人屏幕显示手抄或重新键入
-
收件人以数字方式拍摄(显示在屏幕上时)
-
使用第三方屏幕捕获程序复制