Планирование управления правами на доступ к данным в Office 2013
Применимо к: Office 2013, Office 365 ProPlus
Последнее изменение раздела: 2017-09-08
Сводка. Использование управления правами на доступ к данным (IRM) в Office 2013 для указания разрешений на доступ и использование конфиденциальных документов и сообщений.
Аудитория: ИТ-специалисты
В этой статье представлено краткое описание технологии IRM и принципа ее работы в приложениях Office, а также приводятся ссылки на дополнительные сведения о настройке и установке необходимого программного обеспечения для реализации IRM в Office 2013.
.gif "Важно") Важно! |
|---|
| Эта статья входит в состав набора План идентификации, проверки подлинности и авторизации в Office 2013 для ИТ-профессионалов. Используйте этот обзор в качестве начального этапа для поиска статей, загружаемых файлов, плакатов, и видеозаписей, помогающих оценить идентификатор. Ищете справку по отдельным приложениям Office 2013? Вы можете найти эти сведения на веб-сайте Office.com. |
В этой статье
Обзор IRM
Как IRM работает в Office 2013
Настройка IRM для Office 2013
Настройка параметров службы управления правами на доступ к данным в Office 2013
Настройка параметров службы управления правами на доступ к данным в Outlook 2013
Обзор IRM
Управление правами Azure и Active Directory Rights Management — технологии, которые корпорация Майкрософт предоставляет на постоянной основе для защиты информации на уровне документов. В них используются разрешения и авторизация, чтобы избежать печати, пересылки и копирования конфиденциальной информации полномочными пользователями или доступа со стороны посторонних лиц. После ограничения доступа к документу или сообщению с помощью этой технологии вместе с документом или электронным сообщением как часть содержимого файла передается информация о необходимых разрешениях. Поддержка этих технологий реализована в Microsoft Office с помощью функций управления правами на доступ к данным (IRM).
.gif "Примечание") Примечание |
|---|
| Возможность создавать документы или сообщения электронной почты с ограниченными разрешениями, используя управление правами на доступ к данным, доступна в Office профессиональный плюс 2013, а также в автономных версиях приложений Excel 2013, Outlook 2013, PowerPoint 2013, InfoPath 2013 и Word 2013. Содержимое IRM, созданное в Office 2013, можно просматривать в Office 2007, Office 2010 или Office 2013. Дополнительные сведения об IRM и службах Active Directory Rights Management Services (AD RMS), поддерживаемых в Office 2013, Office 2010 и Office 2007, см. в статье, содержащей рекомендации по развертыванию AD RMS и Microsoft Office. Дополнительные сведения об IRM и Azure RMS см. в статьях Как приложения поддерживают службу Azure Rights Management и Что из себя представляет служба управления правами Azure. |
Поддержка IRM в Office 2013 помогает организациям и сотрудникам информационных центров решать две фундаментальные задачи:
Ограничение разрешений на доступ к конфиденциальной информации. IRM помогает защитить конфиденциальную информацию от несанкционированного доступа и повторного использования. Для защиты конфиденциальной интеллектуальной собственности корпорации используют брандмауэры, средства защиты при входе и другие сетевые технологии. Основной недостаток этой технологии в том, что имеющие доступ к информации зарегистрированные пользователи могут ее передать посторонним. Это потенциальная брешь в политике безопасности.
Информационная политика, контроль и целостность. Сотрудники информационных центров часто работают с конфиденциальный или уязвимой информацией. При использовании технологии IRM сотрудникам не придется полагаться на других лиц в надежде, что уязвимые материалы не выйдут за стены компании. IRM не позволяет передавать, копировать или печатать конфиденциальные данные, помогая отключить эти функции в документах и сообщениях с использованием ограниченных разрешений.
Руководителям отдела информационных технологий (ИТ) IRM помогает внедрять существующие корпоративные политики, относящиеся к конфиденциальности документов, рабочих процессов и электронной почты. Для руководителей и специалистов по безопасности технология IRM снижает риск попадания важнейшей информации компании в руки посторонних (как случайного или по незнанию, так и злонамеренного).
Как IRM работает в Office 2013
Officeпользователи применять разрешения к сообщения и документы с помощью параметров в меню «Файл»; Например, с помощью ограничения доступа команду сведения, защитить документ. Доступные параметры защиты на основе шаблоны политики прав , можно настроить для своей организации. Шаблоны политики прав группах IRM прав, которые пакет в пользователей предварительно определенных политик можно применить к своим документам. Office 2013 также предоставляет предопределенный не пересылать , которые дает права, определенные для каждого получателя из сообщения электронной почты. Дополнительные сведения о шаблонах политики прав см Настройка пользовательские шаблоны на Azure Rights Management.
| Примечание |
|---|
| Кроме использования параметров в меню файла Office пользователи могут выбрать параметр Управление доступом защищено из ленты Office при установке приложения для управления доступом Rights Management для Windows. Это приложение также включает дополнительные функции, например возможность следить за использованием документов, к которым предоставлен общий доступ. Подробнее см. в статье Приложение для управления доступом Rights Management для Windows. |
Для защиты документа в Office 2013 с помощью IRM необходимо использовать локальный сервер AD RMS или подписку Azure RMS как часть Office 365 или как автономную службу.
Использование IRM с сервером RMS
Чтобы включить IRM в организации, необходим доступ к компьютеру с установленными службами Active Directory Rights Management Services (AD RMS) для Windows Server 2008,Windows Server 2008 R2,Windows Server 2012,Windows Server 2012 R2, или облачный клиент с подпиской на Azure RMS. Разрешения вводятся с использованием проверки подлинности, обычно с использованием доменных служб Active Directory (AD DS) или Azure Active Directory.
Организации могут определять политики разрешений, которые отображаются в приложениях Office, создавая шаблоны политики прав. Например, можно определить шаблон политики прав с именем Конфиденциальная информация отдела маркетинга, который указывает, что только пользователи из отдела маркетинга могут открывать те документы и электронные сообщения, к которым применяется эта политика. Хотя ограничений на количество создаваемых политик разрешений нет, в Office может одновременно отображаться не более 20 шаблонов политики. В службе управления правами Azure доступны два предопределенных шаблона на уровне организации. Вы можете либо отключить их, либо добавить в них собственные шаблоны.
| Примечание |
|---|
| В SharePoint поддерживается автоматическое применение политик IRM в документах, хранящихся в библиотеках документов. С помощью этого параметра можно управлять действиями, которые пользователи могут выполнять над документами при их открытии. Такой способ отличается от применения IRM к документам, хранящимся на клиентских компьютерах, когда владелец документа может выбирать, какие права назначить каждому пользователю документа. Дополнительные сведения об использовании IRM с библиотеками документов см. в статье Планирование библиотеки документов (SharePoint Foundation 2010). |
С помощью службы AD RMS в Windows Server 2008, Windows Server 2008 R2 и Windows Server 2012 пользователи могут обмениваться защищенными документами между компаниями с федеративным отношением доверия. Дополнительные сведения см. в статьях Обзор службы управления правами Active Directory и Федерация служб AD RMS. Возможность безопасного взаимодействия между организациями встроена в Azure RMS и не требует отдельной настройки.
Чтобы создавать защищенные электронные сообщения и работать с ними в Outlook 2013, дополнительные настройки на почтовом сервере не нужны. Exchange Server 2013 обеспечивает дополнительные возможности защиты сообщений с помощью IRM, включая RMS-защиту для сообщений голосовой почты единой системы обмена сообщениями и правила защиты Outlook, которые могут автоматически защищать сообщения в Outlook 2013 с помощью IRM в клиенте Outlook перед их отправкой. Кроме того, включение интеграции IRM в сервер Exchange Server дает пользователям возможность создавать и использовать защищенные сообщения электронной почты в Outlook Web App и на мобильных устройствах с включенной IRM-защитой для Exchange ActiveSync. Дополнительные сведения см. в статьях Новые возможности в Exchange 2013 и Управление правами на доступ к данным.
Настройка IRM для Office 2013
Для применения разрешений IRM к документам или сообщениям электронной почты необходимо следующее.
Получение доступа к службам Active Directory Rights Management для Windows Server 2008, Windows Server 2008 R2, Windows Server 2012, Windows Server 2012 R2 или службе управления правами Azure, чтобы получить лицензии на использование содержимого.
Клиентское программное обеспечение для службы управления правами. Такое клиентское программное обеспечение входит в состав Windows Vista и более поздних версий. Приложение для управления доступом Rights Management предусматривает использование дополнительной надстройки для расширения возможностей IRM в Office.
Microsoft Office 2007, Office 2010 или Office 2013. Только определенные выпуски Office позволяют создавать разрешения IRM.
Настройка доступа к серверу RMS
Службы AD RMS и Azure RMS управляют лицензированием и другими серверными функциями, которые вместе с IRM обеспечивают управление правами в клиентских приложениях, таких как Office 2013. Клиентская программа с поддержкой RMS, например Office 2013, позволяет пользователям создавать и просматривать защищенное правами содержимое.
Дополнительные сведения о принципах работы RMS и об установке и настройке сервера RMS или включении облачной службы Azure RMS см. на домашней странице служб Microsoft Rights Management Services.
Установка клиентского программного обеспечения управления правами
Клиентское программное обеспечение RMS входит в состав Windows Vista, Windows 7, Windows 8 и Windows 8.1. Чтобы обеспечить дополнительные возможности IRM в Office с помощью приложения для управления доступом RMS, пользователи могут установить его сами или позволить администраторам выполнить автоматическое развертывание.
Определение и развертывание шаблонов политики прав для Office 2013
Как и в Office 2007 и Office 2010, Office 2013 предусматривает возможность для пользователей задавать отдельные права для документов и сообщений, например право на чтение и изменение в Word 2013, Excel 2013 и PowerPoint 2013. В Outlook можно использовать параметр Не пересылать, позволяющий отправлять электронные сообщения с соблюдением конфиденциальности и предоставлением получателям сообщения только ограниченных прав. Можно также определить настраиваемые шаблоны политики прав для организации. Их развертывание для клиентов происходит автоматически, чтобы пользователи могли их применить одним щелчком мыши.
Создание шаблонов прав и управление ими осуществляется с помощью сайта администрирования на сервере AD RMS. Дополнительные сведения о создании, настройке и публикации настраиваемых шаблонов политик разрешений см. в пошаговом руководстве по созданию и развертыванию шаблонов политики прав для служб AD RMS. Сведения о правилах защиты Exchange Server 2010 в Outlook см. в статье Общие сведения о правилах защиты Outlook.
Права, которые можно включить в шаблоны политики разрешений для Office 2013, перечислены в следующих разделах.
Права IRM
Каждое из перечисленных в таблице ниже прав IRM может быть реализовано приложениями Office 2013, настроенными для работы с Azure RMS или AD RMS.
Права на управление разрешениями IRM
| Право службы управления правами на доступ к данным | Описание |
|---|---|
Полный доступ |
Предоставляет пользователю все перечисленные ниже права, а также право вносить изменения в разрешения, связанные с контентом. Истечение срока действия не применимо к пользователям, имеющим право полного доступа. |
Представление |
Позволяет пользователю открывать содержимое управления правами на доступ к данным. Это право соответствует праву доступа на чтение в пользовательском интерфейсе Office 2013. |
Правка |
Позволяет пользователю изменять содержимое документа. Сюда входит возможность сортировать и фильтровать содержимое в Excel. |
Сохранение |
Позволяет пользователю сохранять файл. |
Извлечение |
Позволяет пользователю копировать любую часть файла и вставлять эту часть файла в рабочую область другого приложения. |
Экспорт |
Позволяет сохранять содержимое в другом формате с помощью команды Сохранить как. В зависимости от приложения, использующего выбранный формат файла, содержимое может быть сохранено без защиты. |
Печать |
Позволяет пользователю печатать содержимое файла. |
Разрешить макросы |
Позволяет пользователю запускать макрос для содержимого в файле, а также обеспечивает возможность программного доступа к содержимому из других приложений и добавление ссылок на содержимое других листов. |
Перенаправление |
Позволяет получателю электронного сообщения пересылать сообщение с защитой IRM, добавлять или удалять получателей в строках "Кому" и "Копия". Это не дает возможности предоставлять права дополнительным пользователям. Даже если пользователю пересылают содержимое, без данных о правах в шаблоне пользователь не сможет открыть содержимое. Не предоставление этого права с помощью шаблона отличается от использования параметра Не пересылать в Outlook, так как этот параметр обеспечивает права только пользователям, указанным в строках "Кому" и "Копия". |
Ответ |
Позволяет получателям электронной почты отвечать на сообщения электронной почты, к которым применяется управление правами на доступ к данным. |
Ответить всем |
Позволяет получателям сообщений электронной почты отвечать всем пользователям, включенным в поля "Кому" и "Копия" сообщения, к которому применяется управление правами на доступ к данным. |
Просмотр прав |
Предоставляет пользователю разрешение просматривать связанные с файлом права. Office игнорирует это право. |
Предварительно определенные группы разрешений
Office 2013предоставляет следующие предопределенные группы прав, которые пользователь может выбрать при создании IRM содержимого. Возможности, доступные в разрешений диалоговое окно Word 2013, Excel 2013, и PowerPoint 2013. В Office приложение, выберите файл , выберите сведения, выберите защитить документ кнопки, выберите ограничения доступаи выбрать один из шаблонов политики прав в списке, который заполняются от сервера управления правами на доступ или службы, или выберите ограниченный доступ, которое даст возможность выбрать одну из групп стандартных разрешений для каждого пользователя.
Предопределенные группы разрешений на чтение и изменение
| Предварительно определенная группа службы управления правами на доступ к данным | Описание |
|---|---|
Чтение |
Пользователи, получившие разрешение на чтение, имеют право на просмотр. |
Изменение |
Пользователи, получившие разрешение на изменение, имеют права на просмотр, редактирование, извлечение и сохранение. |
При создании элемента электронной почты в Outlook 2013 пользователи могут выбрать приведенную ниже предопределенную группу прав. Чтобы найти этот параметр для элемента электронной почты, выберите команды Файл, Сведения и Установить разрешения. Затем выберите один из представленных шаблонов политики прав, которые заполняет сервер или служба управления правами, или выберите параметр Не пересылать, который реализует следующие права:
Предопределенная группа "Не пересылать"
| Предварительно определенная группа службы управления правами на доступ к данным | Описание |
|---|---|
Не пересылать |
В Outlook использование в электронном сообщении параметра "Не пересылать" дает право пользователям, указанным в строках "Кому", "Копия" и "Скрытая копия", просматривать, редактировать, отвечать и отвечать всем. |
Дополнительные разрешения
В Word 2013 для частей документа можно указывать другие разрешения IRM. Выберите элементы Сведения, Защитить документ и Ограничить редактирование, а затем выберите параметр Дополнительные пользователи, чтобы добавить пользователей с правами на редактирование указанных разделов документа. Чтобы просмотреть дополнительные параметры ограничения, нажмите Ограничить разрешение в нижней части панели Ограничить редактирование. Например, пользователь может указать срок действия, запретить другим пользователям печатать или копировать содержимое и т. д.
Настройка параметров службы управления правами на доступ к данным в Office 2013
Можно заблокировать множество параметров для настройки IRM с помощью шаблона групповой политики Office (Office15.admx). Используйте этот шаблон групповой политики, чтобы настроить объекты групповой политики в Active Directory. Его не следует путать с шаблонами политики прав, описанными выше в этой статье. Можно использовать центр развертывания Office для настройки параметров по умолчанию, что позволяет пользователю менять параметры. Кроме того, есть параметры конфигурации службы IRM, которые можно настроить только с помощью разделов реестра.
Параметры службы управления доступа к данным Office 2013
В следующей таблице перечислены параметры IRM, которые можно выбрать в групповой политике и с помощью OCT. В групповой политике эти параметры размещены в разделе User Configuration\Administrative Templates\Microsoft Office 2013\Manage Restricted Permissions. Параметры центра развертывания Office располагаются в соответствующих разделах на странице Изменение пользовательских настроек центра развертывания Office.
Параметры IRM для групповой политики или центра развертывания Office
| Параметр IRM | Описание |
|---|---|
Время ожидания Active Directory для запроса одной записи для расширения группы |
Указание времени ожидания для запроса записи Active Directory при развертывании группы. |
URL-адрес запроса дополнительных разрешений |
Укажите расположение, где пользователь сможет получить дополнительную информацию о доступе к содержимому, защищенному с помощью IRM, при использовании защищенного содержимого в этом клиенте. |
Всегда развертывать группы в Office при ограничении разрешений для документов |
Когда пользователи применяют разрешения к документу, выбирая имя группы в диалоговом окне Разрешения, имя группы автоматически расширяется для отображения всех членов группы. |
Пользователи должны подключаться для проверки разрешений |
Пользователи, открывающие документ Office, защищенный с указанием прав, должны подключаться к службе RMS, чтобы подтвердить, что у них есть право на использование содержимого путем получения новой лицензии IRM. |
Никогда не разрешать пользователям указывать группы при ограничении разрешений для документов |
При выборе пользователями группы в диалоговом окне Разрешение возвращается ошибка: "Содержимое нельзя публиковать в списках рассылки. Можно лишь указывать адреса электронной почты отдельных пользователей". |
Не позволять пользователям изменять разрешения в контенте с управлением правами |
Если включено, пользователи могут пользоваться содержимым, в которое уже включены разрешения IRM, но не могут применять разрешения IRM к новому содержимому или настраивать права на доступ к документу. |
Отключить интерфейс пользователя службы управления доступом к данным |
Отключение всех параметров, относящихся к управлению правами и включенных в интерфейс всех приложений Office. |
Дополнительные сведения о настройке этих параметров см. в статье Настройка управления правами на доступ к данным в Office 2013.
Параметры раздела реестра службы управления доступом к данным Office 2013
В следующих таблицах приведены параметры, которые можно настраивать для IRM в реестре.
Следующие параметры реестра IRM хранятся в разделе HKCU\Software\Microsoft\Office\15.0\Common\DRM.
Параметры раздела реестра IRM
| Запись реестра | Тип | Значение | Описание |
|---|---|---|---|
RequestPermission |
DWORD |
1 = в поле стоит флажок. 0 = флажка нет. |
Этот раздел реестра переключает выбранное по умолчанию состояние флажка Пользователи могут запрашивать дополнительные разрешения от. |
DoNotUseOutlookByDefault |
DWORD |
0 = Outlook используется 1 = Outlook не используется |
Диалоговое окно Разрешение использует Outlook для проверки адресов электронной почты, введенных в этом диалоговом окне. После этого при наличии ограниченных разрешений запускается экземпляр Outlook. Раздел позволяет отключить параметр. |
Следующий параметр реестра IRM находится в разделе HKCU\Software\Microsoft\Office\15.0\Common\DRM\LicenseServers. Соответствующего параметра групповой политики нет.
Параметр реестра IRM для серверов лицензирования
| Запись реестра | Тип | Значение | Описание |
|---|---|---|---|
LicenseServers |
Раздел/куст. Содержит значения DWORD с именем сервера лицензий. |
Устанавливает URL-адрес сервера. Если значение DWORD = 1, Office не предлагает получить лицензию, а получает ее автоматически. Если значение равно нулю, или в реестре нет записи для этого сервера, Office запрашивает лицензию. |
Пример. Если значение этого параметра — "https://contoso.com/_wmcs/licensing = 1", то пользователь, который попытается запросить лицензию с этого сервера для открытия документа с настроенными правами, не получит запроса для проверки подлинности. То же произойдет, если пользователь при первом использовании содержимого установит флажок с просьбой не напоминать снова. |
Следующий параметр IRM реестра находится в разделе HKCU\Software\Microsoft\Office\15.0\Common\Security. Соответствующего параметра групповой политики нет.
Параметры IRM реестра для обеспечения безопасности
| Запись реестра | Тип | Значение | Описание |
|---|---|---|---|
DRMEncryptProperty |
DWORD |
1 = метаданные файла шифруются. 0 = метаданные сохраняются в простом текстовом формате. Значение по умолчанию равно 0. |
Укажите, нужно ли шифровать все метаданные, которые хранятся в документе с настроенными правами. |
Зашифрованные метаданных не совместим с Azure Information Protection метки. При использовании этих меток не задано значение 1.
В случае форматов файлов Open XML (например, docx, xlsx, pptx и т. д.) пользователи могут зашифровать метаданные Office, которые хранятся в файле с настроенными правами, или оставить содержимое метаданных без шифрования, чтобы доступ к данным можно было получать из других приложений, например FCI на файловом сервере Windows.
При желании можно зашифровать метаданные, настроив раздел реестра. Развернув параметр реестра, можно установить для пользователей параметры по умолчанию.
Кроме того, параметр реестра DRMEncryptProperty не определяет, шифруется ли хранилище метаданных клиента, не относящегося к Office (например, метаданные, созданные с помощью SharePoint 2013).
Настройка параметров службы управления правами на доступ к данным в Outlook 2013
В Outlook 2013 пользователи могут создавать и отправлять сообщения электронной почты с ограниченными разрешениями, чтобы предотвратить пересылку, печать и копирование сообщений. Документы, книги и презентации Office 2013, прикрепленные к сообщениям с ограниченными разрешениями, также автоматически наследуют ограниченные разрешения.
Администратор Outlook может настраивать ряд параметров для электронной почты службы управления правами на доступ к данными, например, отключать управление электронными правами на доступ к данным или настроить кэширование локальных лицензий.
При настройке обмена сообщениями электронной почты с управлением правами можно использовать следующие параметры и возможности службы управления правами на доступ к данным.
Настройка автоматического кэширования лицензий для управления правами на доступ к данным.
Помощь при внедрении срока действия сообщения электронной почты.
Запрет использования Outlook для проверки правильности адресов электронной почты для разрешений службы управления правами на доступ к данными.
| Примечание |
|---|
| Для отключения управления правами на доступ к данным в Outlook необходимо отключить управление правами на доступ к данным для всех приложений Office. Невозможно отключить управление правами на доступ к данным только для Outlook. |
Параметры службы управления доступа к данным Outlook 2013
Можно заблокировать большую часть параметров, чтобы настроить управление правами на доступ к данным для Outlook с использованием шаблона групповой политики Outlook (Outlk15.admx) или шаблона групповой политики Office (Office15.admx). Также для большинства параметров можно настроить значения по умолчанию, используя центр развертывания Office, который позволяет пользователям настраивать параметры. Параметры центра развертывания Office можно найти в соответствующих местах на странице Изменение параметров пользователя центра развертывания Office.
Параметры службы управления доступа к данным Outlook
| Расположение | Параметр IRM | Описание |
|---|---|---|
Microsoft Outlook 2013\Разное |
Не загружать информацию о лицензии разрешения на права для почты управления правами на доступ к данным во время синхронизации автономной папки Exchange |
Включите, чтобы запретить локальное кэширование сведений о лицензии. Если это правило включено, пользователи должны подключиться к сети для получения сведений о лицензии, чтобы открыть электронное сообщение с настроенными правами. Это не влияет на предварительное лицензирование Exchange, выполняющееся на сервере. |
Microsoft Outlook 2010\Параметры Outlook\Параметры электронной почты\Дополнительные параметры электронной почты |
При отправке сообщения |
Чтобы установить срок действия для электронного сообщения, включите правило и введите число дней до истечения срока действия сообщения. Период истечения применяется, только если пользователь отправляет сообщение с настроенными правами, а после истечения периода срока действия доступ к сообщению запрещен. |
Дополнительные сведения о настройке этих параметров см. в статье Настройка управления правами на доступ к данным в Office 2013.
Параметры раздела реестра IRM для Outlook 2013
Диалоговое окно Разрешения использует Outlook для проверки адресов электронной почты, введенных в этом диалоговом окне. В результате при ограничении разрешений запускается экземпляр Outlook. Можно отключить этот параметр, используя раздел реестра, указанный в следующей таблице. Этому параметру не соответствует групповая политика или параметр центра развертывания Office.
Следующий параметр IRM размещен в разделе HKEY_CURRENT_USER\Software\Microsoft\Office\15.0\Common\DRM.
Параметры раздела реестра IRM для Outlook
| Запись реестра | Тип | Значение | Описание |
|---|---|---|---|
DoNotUseOutlookByDefault |
DWORD |
0 = Outlook используется 1 = Outlook не используется |
Раздел позволяет отключить параметр. |
См. также
План идентификации, проверки подлинности и авторизации в Office 2013
Службы управления правами Active Directory
Общие сведения об управлении правами на доступ к данным
Планирование библиотек документов (службы Windows SharePoint Services)