資訊權利管理 (IRM) 協助您防止敏感資訊被未經授權的使用者不當使用。 自訂權限功能允許你選擇誰能查看、編輯或完全控制檔案。 如果您的組織啟用了敏感度標籤,當套用特定敏感標籤時,可能需要定義自訂權限。
附註:
-
IRM 權限和 SharePoint 權限是不同的。 在對儲存在 SharePoint 的檔案套用自訂權限時,請確保你指派 IRM 權限的使用者同時擁有 SharePoint 存取該檔案的權限。 欲了解更多 SharePoint 權限,請參閱分享 SharePoint 檔案或資料夾
以自訂權限檢視內容
要查看有自訂權限的內容,只要在相關的 M365 應用程式中開啟該文件即可。
第一次嘗試開啟權限受限的文件時,必須連接授權伺服器以驗證你的憑證並取得使用許可。 使用授權會定義您擁有的檔案存取權層級。 對每個設有限制權限的檔案而言,這是必要的程序。 如果你沒有權限查看檔案,嘗試開啟時會收到拒絕存取錯誤。
套用自訂權限
目前,Microsoft 365 在 Windows、Mac 及網頁版上支援套用自訂權限。 你仍然可以在行動平台上用自訂權限瀏覽內容,但無法查看或修改這些權限。
限制檔案內容的權限
當需要自訂權限的敏感性標籤被套用時,自訂權限對話框就會開啟。
若要套用無敏感度標籤的自訂權限,請選擇「 檔案 > 資訊 」> 保護文件 > 限制存取 > 限制存取」。
附註: 如果您的組織啟用了敏感度標籤,您將被要求選擇敏感標籤來限制權限。
若要依用戶設定限制,請輸入姓名或電子郵件地址搜尋並選擇該使用者。
若要對每個群組施加限制,請輸入 @ 後接網域。
依網域授予權限時的重要考量
如果你指定一個網域要授予權限,你就是把這些權限授予該組織裡所有帳號。
這表示如果該組織的 Microsoft Entra ID 中有其他網域名稱,這些權限也會延伸到這些使用者。 例如,如果 Tailwind Toys 也擁有其Microsoft Entra ID中的 contosogames.com 網域,那麼所有 contosogames.com 用戶也會獲得授予 tailwindtoys.com 用戶的權限。
這對子領域同樣適用。 授予 sales.tailwindtoys.com 權限同時也會授予 tailwindtoys.com 中其他帳號及其Microsoft Entra ID中其他網域的權限。
指定誰可以處理檔案
權限等級是預先定義的使用權限群組,賦予使用者檔案中不同的權限。 M365 for Windows 提供的四個權限層級如下:
-
檢視器:使用者可以查看,但無法編輯、列印、複製內容,或更改/移除保護。
-
受限編輯器:使用者可以查看和編輯,但不能列印、複製內容,或更改/移除保護。
-
編輯者:使用者可以查看、編輯、列印和複製內容,但無法更改或移除保護。
-
擁有者:使用者對檔案擁有完全控制權,包括更改或移除保護的功能。
設定更多選項
你可以選擇在套用自訂權限時設定更多設定。
你可以指定授權到期日。
-
在權限對話框的「更多選項」區塊中,選擇「此文件到期日期」的勾選框。
-
使用日期選擇器來選擇有效期限。 請注意,所選日期必須是未來。
當使用者開啟一個沒有完全權限的檔案時,他們會被提供聯絡檔案擁有者以申請額外權限的選項。 預設情況下,檔案的主要擁有者是此請求的聯絡人。 您可以選擇設定另一個聯絡點以申請額外權限。
附註: 使用者只有在擁有者時才能更改檔案權限
預設情況下,受使用者自訂權限保護的檔案內容無法以程式方式存取。 若要允許程式存取檔案內容,請在權限對話框的「更多選項」區段選擇「程式方式存取內容」。
使用者首次在 Windows 或 Mac 的 M365 中以受限權限開啟檔案時,授權伺服器會授予該檔案的使用授權。 使用授權是一份憑證,包含使用者對該檔案的使用權限以及用於加密檔案的加密金鑰。 一旦核准,使用許可證有效期為30天或至海關到期日,以先到者為準。 在此期間,使用者不會被重新認證或重新授權使用同一裝置存取檔案。 這表示即使使用者的檔案權限被更改或移除,他們仍能存取該檔案,直到先前授權的使用授權到期。
若要要求使用者每次開啟檔案時都驗證其權限,請在權限對話框的「更多選項」中選擇「要求連線以驗證使用者權限」。
限制檔案內容的權限
當需要自訂權限的敏感性標籤被套用時,自訂權限對話框就會開啟。
若要套用無敏感度標籤的自訂權限,請選擇檔案 > 限制權限 > 限制存取...
附註: 如果您的組織啟用了敏感度標籤,您將被要求選擇敏感標籤來限制權限。
若要依使用者設定限制,請輸入姓名或電子郵件地址搜尋並選擇該使用者。
若要對每個群組施加限制,請輸入 @ 後接網域。
依網域授予權限時的重要考量
如果你指定一個網域要授予權限,你就是把這些權限授予該組織裡所有帳號。
這表示如果該組織的 Microsoft Entra ID 中有其他網域名稱,這些權限也會延伸到這些使用者。 例如,如果 Tailwind Toys 也擁有其Microsoft Entra ID中的 contosogames.com 網域,那麼所有 contosogames.com 用戶也會獲得授予 tailwindtoys.com 用戶的權限。
這對子領域同樣適用。 授予 sales.tailwindtoys.com 權限同時也會授予 tailwindtoys.com 中其他帳號及其Microsoft Entra ID中其他網域的權限。
指定誰可以處理檔案
權限等級是預先定義的使用權限群組,賦予使用者檔案中不同的權限。 M365 for Mac 提供的三種權限層級如下:
-
換句話說:使用者可以查看,但無法編輯、列印、複製內容,或更改/移除保護。
-
變更:使用者可以查看、編輯和複製內容,但無法列印或更改/移除保護。
-
完全控制權:使用者對文件擁有完全控制權,包括變更或移除保護。
設定更多選項
你可以選擇在套用自訂權限時設定更多設定。
你可以指定授權到期日。
-
在「設定權限」對話框的「更多選項」中,選擇「此文件在「到期日」的勾選框。
-
使用日期選擇器來選擇有效期限。 請注意,所選日期必須是未來。
你可以授權擁有閱讀或變更權限的使用者列印內容。
在「設定權限」對話框的「更多選項」區塊中,選擇「允許擁有變更權限或已閱讀權限的人列印內容」。
你可以授權擁有閱讀權限的使用者複製內容。
在「設定權限」對話框的「更多選項」區塊中,選擇「允許擁有已閱讀權限的人複製內容」。
預設情況下,受自訂權限保護的檔案內容可透過程式存取。 若要禁止程式存取檔案內容,請在「設定權限」對話框的「更多選項」中以程式方式取消選取「存取內容」。
使用者首次在 Windows 或 Mac 的 M365 中以受限權限開啟檔案時,授權伺服器會授予該檔案的使用授權。 使用授權是一份憑證,包含使用者對該檔案的使用權限以及用於加密檔案的加密金鑰。 一旦核准,使用許可證有效期為30天或至海關到期日,以先到者為準。 在此期間,使用者不會被重新認證或重新授權使用同一裝置存取檔案。 這表示即使使用者的檔案權限被更改或移除,他們仍能存取該檔案,直到先前授權的使用授權到期。
若要要求使用者每次開啟檔案時都必須驗證其權限,請在「設定權限」對話框的「更多選項」中勾選「需要連線以驗證權限」的勾選框。
限制檔案內容的權限
當需要自訂權限的敏感性標籤被套用時,自訂權限對話框就會開啟。
若要依用戶設定限制,請輸入姓名或電子郵件地址搜尋並選擇該使用者。
若要對每個群組施加限制,請輸入 @ 後接網域。
依網域授予權限時的重要考量
如果你指定一個網域要授予權限,你就是把這些權限授予該組織裡所有帳號。
這表示如果該組織的 Microsoft Entra ID 中有其他網域名稱,這些權限也會延伸到這些使用者。 例如,如果 Tailwind Toys 也擁有其Microsoft Entra ID中的 contosogames.com 網域,那麼所有 contosogames.com 用戶也會獲得授予 tailwindtoys.com 用戶的權限。
這對子領域同樣適用。 授予 sales.tailwindtoys.com 權限同時也會授予 tailwindtoys.com 中其他帳號及其Microsoft Entra ID中其他網域的權限。
指定誰可以處理檔案
權限等級是預先定義的使用權限群組,賦予使用者檔案中不同的權限。 M365 for Windows 提供的四個權限層級如下:
-
檢視器:使用者可以查看,但無法編輯、列印、複製內容,或更改/移除保護。
-
受限編輯器:使用者可以查看和編輯,但不能列印、複製內容,或更改/移除保護。
-
編輯者:使用者可以查看、編輯、列印和複製內容,但無法更改或移除保護。
-
擁有者:使用者對檔案擁有完全控制權,包括更改或移除保護的功能。
設定更多選項
你可以選擇在套用自訂權限時設定更多設定。
當使用者開啟一個沒有完全權限的檔案時,他們會被提供聯絡檔案擁有者以申請額外權限的選項。 預設情況下,檔案的主要擁有者是此請求的聯絡人。 您可以選擇設定另一個聯絡點以申請額外權限。
附註: 使用者只有在擁有者時才能更改檔案權限
預設情況下,受使用者自訂權限保護的檔案內容無法以程式方式存取。 若要允許程式存取檔案內容,請在權限對話框的「更多選項」區段選擇「程式方式存取內容」。
使用者首次在 Windows 或 Mac 的 M365 中以受限權限開啟檔案時,授權伺服器會授予該檔案的使用授權。 使用授權是一份憑證,包含使用者對該檔案的使用權限以及用於加密檔案的加密金鑰。 一旦核准,使用許可證有效期為30天或至海關到期日,以先到者為準。 在此期間,使用者不會被重新認證或重新授權使用同一裝置存取檔案。 這表示即使使用者的檔案權限被更改或移除,他們仍能存取該檔案,直到先前授權的使用授權到期。
若要要求使用者每次開啟檔案時都驗證其權限,請在權限對話框的「更多選項」中選擇「要求連線以驗證使用者權限」。
IRM 的作用
資訊權利管理 (IRM) 協助完成以下工作:
-
防止授權使用者編輯、複製或列印受限制內容
-
保護內容無論傳送到哪裡,並執行組織內規範內容使用與分享的政策
-
提供檔案過期,使檔案內容在指定時間後無法再被查看
-
防止程式化存取檔案內容
IRM 無法阻止受限內容:
-
使用第三方螢幕擷取軟體複製
-
由授權使用者數位攝影、手抄或重新輸入
-
被惡意軟體抹除或損壞
