信息权限管理 (IRM) 可帮助防止未经授权的用户使用敏感信息。 使用自定义权限功能,可以选择谁可以查看、编辑或完全控制文件。 如果组织启用了敏感度标签,则应用某些敏感度标签时,可能需要定义自定义权限。
注意:
-
IRM 权限不同于 SharePoint 权限。 将自定义权限应用于存储在 SharePoint 中的文件时,请确保向其分配 IRM 权限的用户也具有访问该文件的 SharePoint 权限。 若要了解有关 SharePoint 权限的详细信息,请参阅 Share SharePoint 文件或文件夹
使用自定义权限查看内容
若要查看具有自定义权限的内容,只需在相关的 M365 应用中打开文档。
首次尝试使用受限权限打开文档时,必须连接到许可服务器以验证凭据并获取使用许可证。 使用许可证定义你对某个文件的访问级别。 具有受限权限的每个文件均需要此过程。 如果你没有查看该文件的授权,则尝试打开该文件时将收到访问拒绝错误。
应用自定义权限
目前,windows、Mac 和 Web 的 Microsoft 365 支持应用自定义权限。 你仍然可以在移动平台上使用自定义权限查看内容,但无法查看或修改权限。
限制对文件内容的权限
应用需要自定义权限的敏感度标签时,将打开自定义权限对话框。
若要应用没有敏感度标签的自定义权限,请选择“ 文件 > 信息 > 保护文档 > 限制访问 > 受限访问”。
注意: 如果组织启用了敏感度标签,则需要选择敏感度标签来限制权限。
若要按用户应用限制,请键入名称或电子邮件地址以搜索并选择该用户。
若要按组应用限制,请键入 @,后跟域。
按域授予权限时的重要注意事项
如果指定要向其授予权限的域,则会向该组织中的所有帐户授予这些权限。
这意味着,如果该组织在其Microsoft Entra ID中具有其他域名,则这些权限也会扩展到这些用户。 例如,如果 Tailwind Toys 在其Microsoft Entra ID也拥有 contosogames.com 域,则 contosogames.com 的所有用户也将获得授予 tailwindtoys.com 用户的权限。
子域也是如此。 向 sales.tailwindtoys.com 授予权限还会向 tailwindtoys.com 中的所有其他帐户以及它们在其Microsoft Entra ID中可能拥有的任何其他域授予这些权限。
指定谁可以使用文件执行操作
权限级别是预定义的使用权限组,可为用户提供在文件中的不同权限。 M365 for Windows 中可用的四个权限级别是:
-
查看器:用户可以查看,但无法编辑、打印、复制内容或更改/删除保护。
-
受限编辑器:用户可以查看和编辑,但无法打印、复制内容或更改/删除保护。
-
编辑器:用户可以查看、编辑、打印和复制内容,但无法更改/删除保护。
-
所有者:用户可以完全控制文件,包括更改/删除保护的能力。
设置更多选项
应用自定义权限时,可以选择指定其他设置。
可以指定所授予权限的到期日期。
-
在“权限”对话框的“更多选项”部分中,选中“此文档过期时间”复选框。
-
使用日期选取器选择到期日期。 请注意,所选日期必须在将来。
当用户打开他们没有完全权限的文件时,会为他们提供联系文件所有者以请求其他权限的选项。 默认情况下,文件的主要所有者是此请求的联系人。 可以选择定义另一个联系人以请求其他权限。
注意: 如果用户是所有者,则只能更改对文件的权限
默认情况下,无法以编程方式访问受用户定义权限保护的文件内容。 若要允许以编程方式访问文件内容,请在“权限”对话框的“更多选项”部分选择“以编程方式访问内容”。
用户首次在 M365 for Windows 或 Mac 中打开具有受限权限的文件时,许可服务器会向用户授予该文件的使用许可证。 使用许可证是包含用户对文件的使用权限以及用于加密文件的加密密钥的证书。 授予后,使用许可证的有效期为 30 天或直到自定义到期日期,以先到者为准。 在此期间,用户不会使用同一设备重新进行身份验证或重新授权来访问文件。 这意味着,即使用户对文件的权限已更改或删除,他们仍然可以访问该文件,直到以前授予的使用许可证过期。
若要要求用户在每次打开文件时验证文件的权限,请在“权限”对话框的“更多选项”部分选择“需要连接”以验证用户的权限。
限制对文件内容的权限
应用需要自定义权限的敏感度标签时,将打开自定义权限对话框。
若要在没有敏感度标签的情况下应用自定义权限,请选择“文件 > 限制权限 > 受限访问...”
注意: 如果组织启用了敏感度标签,则需要选择敏感度标签来限制权限。
若要对每个用户应用限制,请键入名称或电子邮件地址以搜索并选择该用户。
若要按组应用限制,请键入 @,后跟域。
按域授予权限时的重要注意事项
如果指定要向其授予权限的域,则会向该组织中的所有帐户授予这些权限。
这意味着,如果该组织在其Microsoft Entra ID中具有其他域名,则这些权限也会扩展到这些用户。 例如,如果 Tailwind Toys 在其Microsoft Entra ID也拥有 contosogames.com 域,则 contosogames.com 的所有用户也将获得授予 tailwindtoys.com 用户的权限。
子域也是如此。 向 sales.tailwindtoys.com 授予权限还会向 tailwindtoys.com 中的所有其他帐户以及它们在其Microsoft Entra ID中可能拥有的任何其他域授予这些权限。
指定谁可以使用文件执行操作
权限级别是预定义的使用权限组,可为用户提供在文件中的不同权限。 M365 for Mac 中可用的三个权限级别是:
-
读取:用户可以查看,但无法编辑、打印、复制内容或更改/删除保护。
-
更改:用户可以查看、编辑和复制内容,但无法打印或更改/删除保护。
-
完全控制:用户可以完全控制文档,包括更改/删除保护的功能。
设置更多选项
应用自定义权限时,可以选择指定其他设置。
可以指定所授予权限的到期日期。
-
在“设置权限”对话框的“更多选项”部分中,选中“此文档过期时间”复选框。
-
使用日期选取器选择到期日期。 请注意,所选日期必须在将来。
可以授予具有“读取”或“更改”权限的用户打印内容的能力。
在“设置权限”对话框的“更多选项”部分中,选择“允许具有更改或读取权限的人员打印内容”。
可以授予具有“读取”权限的用户复制内容的能力。
在“设置权限”对话框的“更多选项”部分中,选择“允许具有读取权限的人员复制内容”。
默认情况下,可以通过编程方式访问受自定义权限保护的文件内容。 若要禁止以编程方式访问文件内容,请在“设置权限”对话框的“更多选项”部分中取消选择以编程方式访问内容。
用户首次在 M365 for Windows 或 Mac 中打开具有受限权限的文件时,许可服务器会向用户授予该文件的使用许可证。 使用许可证是包含用户对文件的使用权限以及用于加密文件的加密密钥的证书。 授予后,使用许可证的有效期为 30 天或直到自定义到期日期,以先到者为准。 在此期间,用户不会使用同一设备重新进行身份验证或重新授权来访问文件。 这意味着,即使用户对文件的权限已更改或删除,他们仍然可以访问该文件,直到以前授予的使用许可证过期。
若要要求用户在每次打开文件时验证文件的权限,请在“设置权限”对话框的“更多选项”部分中选中“需要连接来验证权限”复选框。
限制对文件内容的权限
应用需要自定义权限的敏感度标签时,将打开自定义权限对话框。
若要按用户应用限制,请键入名称或电子邮件地址以搜索并选择该用户。
若要按组应用限制,请键入 @,后跟域。
按域授予权限时的重要注意事项
如果指定要向其授予权限的域,则会向该组织中的所有帐户授予这些权限。
这意味着,如果该组织在其Microsoft Entra ID中具有其他域名,则这些权限也会扩展到这些用户。 例如,如果 Tailwind Toys 在其Microsoft Entra ID也拥有 contosogames.com 域,则 contosogames.com 的所有用户也将获得授予 tailwindtoys.com 用户的权限。
子域也是如此。 向 sales.tailwindtoys.com 授予权限还会向 tailwindtoys.com 中的所有其他帐户以及它们在其Microsoft Entra ID中可能拥有的任何其他域授予这些权限。
指定谁可以使用文件执行操作
权限级别是预定义的使用权限组,可为用户提供在文件中的不同权限。 M365 for Windows 中可用的四个权限级别是:
-
查看器:用户可以查看,但无法编辑、打印、复制内容或更改/删除保护。
-
受限编辑器:用户可以查看和编辑,但无法打印、复制内容或更改/删除保护。
-
编辑器:用户可以查看、编辑、打印和复制内容,但无法更改/删除保护。
-
所有者:用户可以完全控制文件,包括更改/删除保护的能力。
设置更多选项
应用自定义权限时,可以选择指定其他设置。
当用户打开他们没有完全权限的文件时,会为他们提供联系文件所有者以请求其他权限的选项。 默认情况下,文件的主要所有者是此请求的联系人。 可以选择定义另一个联系人以请求其他权限。
注意: 如果用户是所有者,则只能更改对文件的权限
默认情况下,无法以编程方式访问受用户定义权限保护的文件内容。 若要允许以编程方式访问文件内容,请在“权限”对话框的“更多选项”部分选择“以编程方式访问内容”。
用户首次在 M365 for Windows 或 Mac 中打开具有受限权限的文件时,许可服务器会向用户授予该文件的使用许可证。 使用许可证是包含用户对文件的使用权限以及用于加密文件的加密密钥的证书。 授予后,使用许可证的有效期为 30 天或直到自定义到期日期,以先到者为准。 在此期间,用户不会使用同一设备重新进行身份验证或重新授权来访问文件。 这意味着,即使用户对文件的权限已更改或删除,他们仍然可以访问该文件,直到以前授予的使用许可证过期。
若要要求用户在每次打开文件时验证文件的权限,请在“权限”对话框的“更多选项”部分选择“需要连接”以验证用户的权限。
IRM 的功能
信息权限管理 (IRM) 可帮助执行以下操作:
-
阻止授权用户编辑、复制或打印受限内容
-
无论内容发送到何处,都对其进行保护,并强制实施组织策略,以管理组织内内容的使用和共享
-
提供文件过期时间,以便在指定时间后无法再查看文件中的内容
-
阻止以编程方式访问文件内容
IRM 无法阻止受限内容:
-
使用第三方屏幕捕获软件复制
-
授权用户以数字方式拍摄、手动复制或重新键入
-
被恶意软件擦除或损坏
