规划 2007 Office system 中的信息权限管理
更新时间: 2007年6月
应用到: Office Resource Kit
上一次修改主题: 2007-06-21
在许多企业中,对于员工医疗和财务记录、薪资信息和私人数据等敏感信息,只是通过限制访问存储这些信息的网络或计算机来保护。2007 Microsoft Office system 中的信息权限管理 (IRM) 技术通过使用户可以指定访问和使用文档和邮件的权限,帮助组织和信息工作者以电子方式管理敏感信息。
本主题概括地介绍了 IRM 技术及其在 Office 应用程序中的工作方式,并提供了一些详细说明有关设置和安装所需的服务器和软件以在 Office 中实现 IRM 的链接。
IRM 是什么?
IRM 是 Microsoft 开发的持久文件级技术,该技术使用权限和授权帮助防止未经授权的个人打印、转发或复制敏感信息。使用此技术限制文档或邮件的权限后,使用限制就会遍布该文档或电子邮件,如同文件内容的一部分。
.gif "Note") 注意 |
|---|
| 以下套件中提供使用 IRM 创建权限受限的内容或电子邮件的功能:Microsoft Office Professional Plus 2007、Microsoft Office Enterprise 2007 和 Microsoft Office Ultimate 2007。Office 应用程序的独立版本中也提供 IRM。 |
2007 Office system对 IRM 的支持满足了企业和知识工作者的两个基本需求:
对敏感信息的受限权限
IRM 有助于防止对敏感信息未经授权的访问和重复使用。企业依靠防火墙、与登录安全相关的措施和其他网络技术帮助保护敏感的知识产权。使用这些技术的基本局限是有权访问信息的合法用户可以与未经授权的用户共用访问权限。这样做有可能破坏安全策略。
信息隐私、控制和完整性
信息工作者经常会处理机密或敏感信息。通过使用 IRM,员工不需要依赖其他人的判断就可以确保敏感材料留在公司内部。IRM 通过帮助禁用权限受限的文档和邮件中的转发、复制或打印功能,去除了用户对机密信息的这些能力。
对于信息技术 (IT) 管理员,IRM 有助于强制实施在文档保密性、工作流程和电子邮件保留等方面的现有企业策略。对于 CEO 和安全官,IRM 降低了重要公司信息落入不当人员之手的风险,无论是意外、疏忽还是预谋。
IRM 在 Office system 中的工作方式
Office 用户通过使用功能区上的选项向邮件或文档应用权限:例如,通过使用 Word 中“审阅”选项卡上的“保护文档”命令。可用的保护选项基于为组织自定义的权限策略。权限策略是打包在一起要作为一个策略应用的 IRM 权限组。2007 Office system还提供了几组预定义的权限,如“不要转发”。
在有 RMS 服务器的环境中使用 IRM
在组织中启用 IRM 通常需要访问以 Windows Server 2003 或更新版本运行 Microsoft Windows Rights Management Services (RMS) 的权限管理服务器。(还可以通过使用 Microsoft Windows Live ID 验证权限来使用 IRM,如下一节中所述)。通过使用身份验证(通常是通过使用 Microsoft Active Directory 目录服务)强制实施权限。如果未实施 Active Directory,则 Microsoft Windows Live ID 可以验证权限。
用户无须安装 Office 即可读取受保护的文档和邮件。Internet Explorer 的权限管理加载项 (免费从 Microsoft 下载)使具有正确权限的 Microsoft Windows 用户可以读取权限受限的电子邮件和某些文档,而不必使用 Office 软件。
在 2007 Office system中,公司可以创建显示在 Office 应用程序中的权限策略。例如,可以定义称为“Company Confidential”的权限策略,指定仅公司范围内的用户可以打开使用该策略的文档或电子邮件。对可以创建的权限策略数没有限制。
| 注意 |
|---|
| Windows SharePoint Services 3.0 支持对存储在文档库中的文档使用 IRM。通过在 Windows SharePoint Services 中使用 IRM,可以控制用户从 Windows SharePoint Services 3.0 的库中打开文档时对文档可以采用的操作。相比之下,IRM 应用于存储在客户端计算机上的文档时,文档的所有者可以选择向文档的每个用户指派何种权限。有关对文档库使用 IRM 的详细信息,请参阅规划文档库 (Windows SharePoint Services)。 |
有关安装和配置 RMS 服务器的详细信息,请参阅用权限管理服务和信息权限管理在 Microsoft Office 2003 中实现信息保护(该链接可能指向英文页面) 。有关在 2007 Office system中配置 IRM 以及创建权限策略的详细信息,请参阅在 2007 Office system 中提供自定义信息权限管理权限策略模板。
在没有本地 RMS 服务器的环境下使用 IRM
在典型安装中,Windows Server 2003 含有 Windows Rights Management Services,因而可以对 2007 Office system使用 IRM 权限。如果在与用户相同的域上未配置 RMS 服务器,则 Microsoft Windows Live ID 可以替代 Active Directory 验证权限。用户必须访问 Internet 才能连接到 Windows Live ID 服务器。
向需要访问受限文件的内容的用户指派权限时,可以使用 Windows Live ID 帐户。使用 Windows Live ID 帐户进行身份验证时,必须专门向每个用户授予对文件的权限。不能向用户组指派访问文件的权限。
为 Office 2007 system 设置 IRM
将 IRM 权限应用于文档或电子邮件时要求:
访问 Windows Server 2003 或更高版本服务器的 RMS 以验证权限。或者,可以通过在 Internet 上使用 Windows Live ID 服务来管理身份验证。
权限管理 (RM) 客户端软件。
Microsoft Office 2003 或 2007 Office system。只有特定版本的 Office 可以让用户创建 IRM 权限(请参阅前面的注释)。
设置 RMS 服务器访问
Windows RMS 管理与 IRM 协同工作以提供权限管理的授权和其他管理服务器功能。启用了 RMS 的客户端程序(如 Office)使用户可以创建和查看权限受保护的内容。
若要详细了解 RMS 的工作原理以及如何安装和配置 RMS 服务器,请参阅用权限管理服务和信息权限管理在 Microsoft Office 2003 中实现信息保护(该链接可能指向英文页面) 。尽管该文章中的内容是为 Office 2003 而撰写,但 RMS 服务器这部分内容也涉及对 2007 Office system实施 IRM。Windows Server 2003 Rights Management Services (RMS) 中提供有关 RMS 版本的最新信息。
安装权限管理客户端软件
尽管 IRM 是 Microsoft Office System 的组成部分,但是必须单独安装和配置必要的 RMS 客户端软件,才能与 Windows Server 2003 或更高版本服务器的 RMS 或 Internet 上的 Windows Live ID 服务进行交互。
下载 RMS 客户端 Service Pack 使用户能够运行基于 RMS 技术限制权限的应用程序。
定义和部署权限策略
就像在 Office 2003 中一样,2007 Office system包括了用户可应用于文档和邮件的多组预定义权限,如“不要转发”权限。还可以定义自定义 IRM 权限策略,以便为组织中的人员提供各种 IRM 权限包。有关为 Office 创建权限策略模板以及模板中可以包括的权限的详细信息,请参阅在 2007 Office system 中提供自定义信息权限管理权限策略模板。