规划 Office 2010 中的信息权限管理
适用于: Office 2010
上一次修改主题: 2016-11-29
Microsoft Office 2010 中的信息权限管理 (IRM) 技术通过使用户可以指定访问和使用文档和邮件的权限,帮助组织和信息工作人员以电子方式控制敏感信息。
本文概括地介绍了 IRM 技术及其在 Office 应用程序中的工作方式,并提供了一些详细说明有关如何设置和安装所需的服务器和软件以在 Office 2010 中实现 IRM 的链接。
本文内容:
IRM 概述
IRM 在 Office 2010 中的工作方式
针对 Office 2010 设置 IRM
针对 Office 2010 配置 IRM 设置
针对 Outlook 2010 配置 IRM 设置
IRM 概述
信息权限管理 (IRM) 是 Microsoft 开发的持久文件级技术,该技术使用权限和授权帮助防止未经授权的个人打印、转发或复制敏感信息。使用此技术限制文档或邮件的权限后,使用限制就会遍布该文档或电子邮件,如同文件内容的一部分。
备注
Microsoft Office Professional Plus 2010 中以及 Microsoft Excel 2010、Microsoft Outlook 2010、Microsoft PowerPoint 2010、Microsoft InfoPath 2010 和 Microsoft Word 2010 的独立版本中提供使用 IRM 创建权限受限的内容或电子邮件的功能。可在 Microsoft Office 2003、2007 Microsoft Office system 或 Office 2010 中查看在 Office 2010 中创建的 IRM 内容。
有关 Office 2010、Office 2007 和 Office 2003 中支持的 IRM 及 Active Directory Rights Management Services (AD RMS) 功能的详细信息,请参阅 AD RMS 和 Microsoft Office 部署注意事项(该链接可能指向英文页面)。
Office 2010 对 IRM 的支持满足了组织和知识工作者的两个基本需求:
敏感信息的受限权限 IRM 有助于防止对敏感信息未经授权的访问和重用。组织依靠防火墙、与登录安全相关的措施和其他网络技术帮助保护敏感的知识产权。使用这些技术的基本局限是有权访问信息的合法用户可以与未经授权的用户共用访问权限。这样做有可能破坏安全策略。
信息隐私、控制和完整性 信息工作人员经常会处理机密或敏感信息。通过使用 IRM,员工不必依赖其他人的判断即可确保敏感材料留在公司内部。IRM 通过帮助禁用权限受限的文档和邮件中的转发、复制或打印功能,使用户无法对机密信息使用这些功能。
对于信息技术 (IT) 管理员,IRM 有助于强制实施在文档保密性、工作流和电子邮件保留等方面的现有企业策略。对于 CEO 和安全官,IRM 降低了重要公司信息落入不当人员之手的风险,无论是意外、疏忽还是预谋。
IRM 在 Office 2010 中的工作方式
Office 用户通过使用功能区上的选项向邮件或文档应用权限;例如,通过使用 Word 中“审阅”选项卡上的“限制编辑”命令。可用的保护选项基于为组织自定义的权限策略。权限策略是打包在一起要作为一个策略应用的 IRM 权限组。Office 2010 还提供了几组预定义的权限,例如 Microsoft Outlook 2010 中的“不要转发”。
在有 RMS 服务器的环境中使用 IRM
在组织中启用 IRM 通常需要访问为 Windows Server 2003 运行 Windows Rights Management Services (RMS) 或为 Windows Server 2008 运行 Active Directory Rights Management Services (AD RMS) 的权限管理服务器。(还可以通过使用 Windows Live ID 验证权限来使用 IRM,如下一节中所述。)通过使用身份验证(通常是通过使用 Active Directory 目录服务)强制实施权限。如果未实施 Active Directory,则 Windows Live ID 可以验证权限。
用户无需安装 Office 即可读取受保护的文档和邮件。对于运行 Windows XP 或早期版本的用户,Excel Viewer (https://go.microsoft.com/fwlink/?linkid=184596\&clcid=0x804) 和 Word Viewer (https://go.microsoft.com/fwlink/?linkid=184595\&clcid=0x804) 使拥有正确权限的 Windows 用户能够读取具有受限权限的某些文档,而无需使用 Office 软件。运行 Windows XP 或早期版本的用户可以使用 Microsoft Outlook Web App 或用于 Internet Explorer 的权限管理加载项 (https://go.microsoft.com/fwlink/?linkid=82926\&clcid=0x804) 来读取具有受限权限的电子邮件,而无需使用 Outlook 软件。对于运行 Windows 7、Windows Vista Service Pack 1、Windows Server 2008 或 Windows Server 2008 R2 的用户,已提供了此功能。这些操作系统中附带了 Active Directory Rights Management Services 客户端软件。
在 Office 2010 中,组织可以创建出现在 Office 应用程序中的权限策略。例如,可以定义称为“公司机密”的权限策略,指定仅公司域内部的用户可以打开使用该策略的文档或电子邮件。对可以创建的权限策略数没有限制。
备注
Windows SharePoint Services 3.0 支持对存储在文档库中的文档使用 IRM。通过在 Windows SharePoint Services 中使用 IRM,可以控制用户从 Windows SharePoint Services 3.0 的库中打开文档时对文档可以采取的操作。相比之下,IRM 应用于存储在客户端计算机上的文档时,文档的所有者可以选择向文档的每个用户指派何种权限。有关如何对文档库使用 IRM 的详细信息,请参阅规划文档库 (Windows SharePoint Services) (https://go.microsoft.com/fwlink/?linkid=183051&clcid=0x804)。
利用 Windows Server 2008 上的 AD RMS,用户可以在具有联合信任关系的公司之间共享权限保护文档。有关详细信息,请参阅 Active Directory Rights Management Services 概述 (https://go.microsoft.com/fwlink/?linkid=183052\&clcid=0x804) 和联合 AD RMS(该链接可能指向英文页面) (https://go.microsoft.com/fwlink/?linkid=183053\&clcid=0x804)(该链接可能指向英文页面)。
此外,Microsoft Exchange Server 2010 还利用 AD RMS 提供了新的受 IRM 保护的电子邮件功能,其中包括针对统一消息语音邮件的 AD RMS 保护,以及 Microsoft Outlook 保护规则,这些规则可在 Outlook 2010 中的邮件离开 Microsoft Outlook 客户端之前对这些邮件自动应用 IRM 保护。有关详细信息,请参阅 Exchange 2010 新增功能 (https://go.microsoft.com/fwlink/?linkid=183062\&clcid=0x804) 和了解信息权限管理:Exchange 2010 帮助 (https://go.microsoft.com/fwlink/?linkid=183063\&clcid=0x804)。
有关如何安装和配置 RMS 服务器的详细信息,请参阅 Windows Server 2003 Rights Management Services (RMS)(该链接可能指向英文页面) (https://go.microsoft.com/fwlink/?linkid=73121\&clcid=0x804)(该链接可能指向英文页面) 和 Windows Server 2008 Active Directory Rights Management Services(该链接可能指向英文页面) (https://go.microsoft.com/fwlink/?linkid=180006\&clcid=0x804)(该链接可能指向英文页面)。
在没有本地 RMS 服务器的环境下使用 IRM
在典型安装中,Windows Server 2003 含有 RMS 或者 Windows Server 2008 含有 AD RMS,因而可以对 Office 2010 使用 IRM 权限。如果在与用户相同的域上未配置 RMS 服务器,则 Windows Live ID 可以替代 Active Directory 验证权限。用户必须具有 Internet 访问权限才能连接到 Windows Live ID 服务器。
向需要访问受限文件的内容的用户指派权限时,可以使用 Windows Live ID 帐户。使用 Windows Live ID 帐户进行身份验证时,必须专门向每个用户授予对文件的权限。不能向用户组指派访问文件的权限。
针对 Office 2010 设置 IRM
将 IRM 权限应用于文档或电子邮件时要求以下各项:
访问 Windows Server 2003 的 RMS 或 Windows Server 2008 的 AD RMS 以验证权限。或者,可以通过在 Internet 上使用 Windows Live ID 服务来管理身份验证。
权限管理 (RM) 客户端软件。RM 客户端软件包括在 Windows Vista 及更高版本中,或作为 Windows XP 和 Windows Server 2003 的外接程序提供。
Microsoft Office 2003、2007 Microsoft Office system 或 Office 2010。只有特定版本的 Office 才允许用户创建 IRM 权限。
设置 RMS 服务器访问
Windows RMS 或 AD RMS 管理与 IRM 协同工作以提供权限管理的授权和其他管理服务器功能。启用了 RMS 的客户端程序(例如 Office 2010)使用户能够创建和查看受权限保护的内容。
若要详细了解 RMS 的工作方式以及如何安装和配置 RMS 服务器,请参阅 Windows Server 2003 Rights Management Services (RMS)(该链接可能指向英文页面) (https://go.microsoft.com/fwlink/?linkid=73121\&clcid=0x804)(该链接可能指向英文页面)、Windows Server 2008 Active Directory Rights Management Services(该链接可能指向英文页面) (https://go.microsoft.com/fwlink/?linkid=180006\&clcid=0x804)(该链接可能指向英文页面)和了解信息权限管理:Exchange 2010 帮助 (https://go.microsoft.com/fwlink/?linkid=183062\&clcid=0x804)。
安装权限管理客户端软件
RM 客户端软件包括在 Windows Vista 或 Windows 的更高版本中。在 Windows XP 和 Windows Server 2003 上,必须单独安装和配置必要的 RMS 客户端软件,才能与运行 Windows 的计算机上的 RMS 或 AD RMS 交互,或与 Internet 上的 Windows Live ID 服务进行交互。
下载 RMS 客户端 Service Pack (https://go.microsoft.com/fwlink/?linkid=82927\&clcid=0x804),使 Windows XP 和 Windows Server 2003 上的用户能够运行基于 RMS 技术限制权限的应用程序。
定义和部署权限策略
就像在 Office 2003 和 2007 Office system 中一样,Office 2010 包括了用户可应用于文档和邮件的多组预定义权限,例如 Microsoft Word 2010、Microsoft Excel 2010 和 Microsoft PowerPoint 2010 中的“读取”和“更改”。还可以定义自定义 IRM 权限策略,以便为组织中的用户提供不同的 IRM 权限包。
通过使用 RMS 或 AD RMS 服务器上的管理网站来创建和管理权限策略模板。有关如何创建、配置和发布自定义权限策略模板的信息,请参阅 Windows Server 2003 Rights Management Services (RMS)(该链接可能指向英文页面) (https://go.microsoft.com/fwlink/?linkid=73121\&clcid=0x804)(该链接可能指向英文页面) 和 Windows Server 2008 AD RMS 权限策略模板部署循序渐进指南 (https://go.microsoft.com/fwlink/?linkid=183068\&clcid=0x804)。有关 Exchange Server 2010 Outlook 保护规则,请参阅了解 Outlook 保护规则:Exchange 2010 帮助 (https://go.microsoft.com/fwlink/?linkid=183067\&clcid=0x804)。
针对 Office 2010 可以包括在权限策略模板中的权限在以下各节中列出。
权限
下表中列出的每个 IRM 权限可由在网络(包括运行 RMS 或 AD RMS 的服务器)上配置的 Office 2010 应用程序强制实施。
| IRM 权限 | 说明 |
|---|---|
完全控制 |
授予用户此表中列出的每个权限,以及对与内容关联的权限进行更改的权限。过期不适用于具有完全控制权限的用户。 |
查看 |
允许用户打开 IRM 内容。此权限对应于 Office 2010 用户界面中的读取权限。 |
编辑 |
允许用户配置 IRM 内容。 |
保存 |
允许用户保存文件。 |
提取 |
允许用户制作文件任何部分的副本并将该部分文件粘贴到另一个应用程序的工作区中。 |
导出 |
允许用户使用“另存为”命令将内容保存为其他文件格式。根据使用所选文件格式的应用程序,可能不加保护地保存内容。 |
打印 |
允许用户打印文件的内容。 |
允许宏 |
允许用户针对文件的内容运行宏。 |
转发 |
允许电子邮件收件人转发 IRM 电子邮件,并在“收件人:”或“抄送:”行中添加或移除收件人。 |
答复 |
允许电子邮件收件人对 IRM 电子邮件作出答复。 |
全部答复 |
允许电子邮件收件人对 IRM 电子邮件的“收件人:”和“抄送:”行上的所有用户作出答复。 |
查看权限 |
授予用户查看与文件关联的权限的相关权限。Office 将忽略此权限。 |
权限的预定义组
Office 2010 提供以下权限的预定义组,用户可以在创建 IRM 内容时从这些预定义组中进行选择。Word 2010、Excel 2010 和 PowerPoint 2010 的“权限”对话框中提供了这些选项。在 Office 应用程序中,单击“文件”选项卡,单击“信息”,单击“保护文档”按钮,选择“按人员限制权限”,单击“限制访问”,然后单击“限制该文档权限”以启用下表中列出的权限选项。
| IRM 预定义组 | 说明 |
|---|---|
读取 |
具有“读取”权限的用户只有“查看”权限。 |
更改 |
具有“更改”权限的用户具有“查看”、“编辑”、“提取”和“保存”权限。 |
在 Outlook 2010 中,用户可以在创建电子邮件项时选择以下预定义权限组。通过依次单击“文件”选项卡、“信息”和“设置权限”从电子邮件中访问相应选项。
| IRM 预定义组 | 说明 |
|---|---|
不要转发 |
在 Outlook 中,IRM 电子邮件的作者可将“不要转发”权限应用于“收件人:”、“抄送:”和“密件抄送:”行中的用户。此权限包括“查看”、“编辑”、“答复”和“全部答复”权限。 |
高级权限
可以在 Word 2010、Excel 2010 和 PowerPoint 2010 的高级“权限”对话框中指定其他 IRM 权限。在初始“权限”对话框中,单击“其他选项”。例如,用户可以指定到期日期、允许其他用户打印或复制内容等等。
默认情况下,Outlook 允许通过支持权限管理的浏览器查看邮件。
部署权限策略模板
完成权限策略模板时,将它们发布到所有用户可以访问这些模板的服务器共享位置或将它们复制到用户计算机上的本地文件夹中。Office 组策略模板 (Office14.adm) 文件中可用的 IRM 策略设置可配置为指向权限策略模板的存储位置(本地或可用的服务器共享位置上)。有关信息,请参阅在 Office 2010 中配置信息权限管理。
针对 Office 2010 配置 IRM 设置
您可以锁定很多设置以使用 Office 组策略模板 (Office14.adm) 自定义 IRM。还可以使用 Office 自定义工具 (OCT) 来配置默认设置,这样可以使用户能够配置设置。此外,有一些 IRM 配置选项只能通过使用注册表项设置来配置。
Office 2010 IRM 设置
下表中列出了可以在组策略中以及可以通过使用 OCT 配置的 IRM 设置。在组策略中,这些设置位于“用户配置”\“管理模板”\“Microsoft Office 2010”\“管理受限权限”下。OCT 设置位于 OCT 的“修改用户设置”页上的相应位置。
| IRM 选项 | 说明 |
|---|---|
查询一个组展开条目的 Active Directory 超时时间 |
指定展开组时查询 Active Directory 条目的超时值。 |
附加权限请求 URL |
指定用户可从中获取有关如何访问 IRM 内容的详细信息的位置。 |
允许使用 Office 早期版本的用户通过浏览器进行浏览... |
使没有 Office 2010 的用户能够通过使用 Windows Internet Explorer 的权限管理外接程序查看权限管理内容。 |
限制文档权限时始终在 Office 中展开组 |
用户在“权限”对话框中选择组名以将权限应用于文档时,将自动展开组名以显示该组的所有成员。 |
始终要求用户进行连接以验证权限 |
打开权限管理 Office 文档的用户必须连接到 Internet 或局域网,以便通过 RMS 或 Windows Live ID 确认他们具备有效的 IRM 许可证。 |
禁用具有受限权限内容的 Microsoft Passport 服务 |
如果启用,则用户无法打开由 Windows Live ID 验证的帐户创建的内容。 |
限制文档权限时始终不允许用户指定组 |
当用户在“权限”对话框中选择组时返回一个错误:“您无法将内容发布到通讯组列表。只能为单独用户指定电子邮件地址”。 |
禁止用户更改权限管理内容的权限 |
如果启用,则用户可以使用已包含 IRM 权限的内容,但不能将 IRM 权限应用于新的内容,也不能配置对文档的权限。 |
指定权限策略路径 |
在“权限”对话框中显示在指定文件夹中找到的权限策略模板。 |
关闭信息权限管理用户界面 |
在所有 Office 应用程序的用户界面中禁用与权限管理相关的所有选项。 |
文档模板位置的 URL,在应用程序找不到权限管理文档时显示 |
提供文件夹的路径,该文件夹包含要由不支持权限管理内容的 Office 早期版本使用的自定义纯文本包装模板。 |
有关如何自定义这些设置的详细信息,请参阅在 Office 2010 中配置信息权限管理。
Office 2010 IRM 注册表项选项
下面的 IRM 注册表设置位于 HKCU\Software\Microsoft\Office\14.0\Common\DRM 中。
| 注册表项 | 类型 | 值 | 说明 |
|---|---|---|---|
CorpCertificationServer |
字符串 |
企业证书服务器的 URL |
通常,Active Directory 用于指定 RMS 服务器。此设置允许您针对认证替代在 Active Directory 中指定的 Windows RMS 的位置。 |
RequestPermission |
DWORD |
1 = 此框处于选中状态。 0 = 此框处于清除状态。 |
此注册表项将切换“用户可以从此处请求附加权限”复选框的默认值。 |
CloudCertificationServer |
字符串 |
自定义群认证服务器 URL |
没有对应的组策略设置。 |
CloudLicenseServer |
字符串 |
授权服务器的 URL |
没有对应的组策略设置。 |
DoNotUseOutlookByDefault |
DWORD |
0 = 使用 Outlook 1 = 不使用 Outlook |
“权限”对话框使用 Outlook 验证在该对话框中输入的电子邮件地址。这将导致在限制权限时启动一个 Outlook 实例。请使用此注册表项禁用该选项。 |
下面的 IRM 注册表设置位于 HKCU\Software\Microsoft\Office\12.0\Common\DRM\LicenseServers 中。没有对应的组策略设置。
| 注册表项 | 类型 | 值 | 说明 |
|---|---|---|---|
LicenseServers |
键/配置单元。包含具有许可证服务器名称的 DWORD 值。 |
设置为服务器 URL。如果 DWORD 的值为 1,则 Office 将不提示获取许可证(它将直接获得许可证)。 如果值为零或者没有该服务器的注册表项,则 Office 将提示获取许可证。 |
示例:如果“https://contoso.com/_wmcs/licensing = 1”是此设置的值,则用户在尝试从该服务器获取许可证以打开权限管理文档时,将不会提示获取许可证。 |
下面的 IRM 注册表设置位于 HKCU\Software\Microsoft\Office\12.0\Common\Security 中。没有对应的组策略设置。
| 注册表项 | 类型 | 值 | 说明 |
|---|---|---|---|
DRMEncryptProperty |
DWORD |
1 = 对文件元数据进行加密。 0 = 以明文形式存储元数据。默认值为 0。 |
指定是否对存储在权限管理文件内的所有元数据进行加密。 |
对于 Open XML 格式(例如 docx、xlsx、pptx 等),用户可以决定对存储在受权限管理文件内的 Microsoft Office 元数据进行加密。用户可以对所有 Office 元数据进行加密。这包括超链接引用,或将内容保留为未加密以便其他应用程序能够访问数据。
用户可以选择通过设置注册表项来对元数据进行加密。您可以通过部署注册表设置为用户设置默认选项。没有用于对部分元数据进行加密的选项:要么对所有元数据进行加密,要么不对任何元数据进行加密。
此外,DRMEncryptProperty 注册表设置不会确定非 Office 客户端元数据存储 — 例如在 Microsoft SharePoint 2010 产品中创建的存储 - 是否已加密。
此加密选项不适用于 Microsoft Office 2003 或其他早期文件格式。Office 2010 采用与 2007 Office system 和 Microsoft Office 2003 相同的方式处理早期格式。
针对 Outlook 2010 配置 IRM 设置
在 Outlook 2010 中,用户可以创建和发送具有受限权限的电子邮件,以防止邮件被转发、打印或复制和粘贴。附加到具有受限权限的邮件的 Office 2010 文档、工作簿和演示文稿也将自动受到限制。
作为 Microsoft Outlook 管理员,您可以为 IRM 电子邮件配置若干选项,例如禁用 IRM 或配置本地许可证缓存。
在配置权限管理电子邮件传递时,可以使用以下 IRM 设置和功能:
为 IRM 配置自动许可证缓存。
帮助强制实施电子邮件过期期限。
不要使用 Outlook 来验证电子邮件地址的 IRM 权限。
备注
若要在 Outlook 中禁用 IRM,您必须为所有 Office 应用程序禁用 IRM。没有单独的选项用于仅在 Outlook 中禁用 IRM。
Outlook 2010 IRM 设置
可以使用 Outlook 组策略模板 (Outlk14.adm) 或 Office 组策略模板 (Office14.adm) 锁定大多数为 Outlook 自定义 IRM 的设置。或者,可以使用 Office 自定义工具(OCT,使用户能够配置设置)配置大多数选项的默认设置。OCT 设置位于 OCT 的“修改用户设置”页上的相应位置。
| 位置 | IRM 选项 | 说明 |
|---|---|---|
Microsoft Outlook 2010\杂项 |
在 Exchange 文件夹同步期间,不下载 IRM 电子邮件的权限许可证信息 |
启用以防止通过本地方式缓存许可证信息。如果启用,则用户必须连接到网络检索许可证信息才能打开权限管理电子邮件。 |
Microsoft Outlook 2010\Outlook 选项\电子邮件选项\高级电子邮件选项 |
发送邮件时 |
若要强制电子邮件过期,请启用并输入邮件过期前的天数。只有当用户发送受权限管理的电子邮件时才强制实施过期期限,在过期期限过后,将无法访问邮件。 |
有关如何自定义这些设置的详细信息,请参阅在 Office 2010 中配置信息权限管理。
Outlook 2010 IRM 注册表项选项
“权限”对话框使用 Outlook 来验证在该对话框中输入的电子邮件地址。这会导致在权限受限时启动一个 Outlook 的实例。您可以通过下表中所列的注册表项禁用此选项。此选项没有对应的组策略或 OCT 设置。
以下 IRM 注册表设置位于 HKEY_CURRENT_USER\Software\Microsoft\Office\14.0\Common\DRM 中。
| 注册表项 | 类型 | 值 | 说明 |
|---|---|---|---|
DoNotUseOutlookByDefault |
DWORD |
0 = 使用 Outlook 1 = 不使用 Outlook |
请使用此注册表项禁用该选项。 |