通过使用 Office 2016 中的信息权限管理 (IRM) 保护敏感信息和文档

总结: 在 Office 2016 中使用信息权限管理 (IRM) 来指定访问和使用敏感文档和邮件的权限。

IRM 使个人和管理员能够定义谁有权访问文档、工作簿和演示文稿。 此功能可保护敏感信息免受未经授权的打印、转发或复制。 本文概述了 Office 应用程序中的信息权限管理 (IRM) 技术。 它包含有关设置和安装在 Office 2016 中实现 IRM 所需的软件的指南,以及指向其他信息的链接。

IRM 概述

Azure Rights Management 和 Active Directory Rights Management 是 Microsoft 提供的持久文档级信息保护技术。 它们实现权限和授权来保护敏感信息。 使用 IRM 限制文档或邮件的权限可确保未经授权的个人无法打印、转发或复制文档或邮件。 使用限制嵌入在文档或电子邮件中,随文件一起传输,无论它走到哪里。 Microsoft Office 通过使用信息权限管理 (IRM) 功能来实现对这些技术的支持。

“可以在Office 专业增强版 2016和Microsoft 365 企业应用版中创建具有受限权限的文档或电子邮件。 此功能在独立版本的 Excel 2016、Outlook 2016、PowerPoint 2016、InfoPath 2016 和 Word 2016 中也可用。 可在 Office 2007、Office 2010、Office 2013 或 Office 2016 中查看在 Office 2016 中创建的 IRM 内容。

有关 Office 2016、Office 2013、Office 2010 和 Office 2007 中支持的 IRM 和 Active Directory Rights Management Services (AD RMS) 功能的详细信息,请参阅 AD RMS 和 Microsoft Office 部署注意事项。 有关 IRM 和 Azure RMS 的信息,请参阅 应用程序如何支持 Azure Rights Management什么是 Azure Rights Management

Office 2016 中的 IRM 支持可帮助组织和知识工作者满足两个基本需求:

  • 敏感信息的受限权限 IRM 有助于保护敏感信息免受未经授权的访问和重用。 组织依靠防火墙、登录安全相关措施和其他网络技术来帮助保护敏感的知识产权。 但是,这些技术的主要限制是,授权用户可以与未经授权的个人共享信息,从而导致潜在的安全策略违规。

  • 信息隐私、控制和完整性 信息工作者通常处理机密或敏感信息。 通过使用 IRM,员工不必依赖其他人的自由裁量权来确保敏感材料保留在公司内部。 IRM 通过使用受限权限的文档和邮件中禁用这些功能,防止用户转发、复制或打印机密信息。

对于信息技术 (IT) 经理,IRM 可帮助实施有关文档机密性、工作流和电子邮件保留的现有公司策略。 IRM 是高管和安全人员的重要工具。 它将关键公司信息传到错误人员的风险降到最低。 此保护涵盖意外泄漏、粗心错误和故意攻击。

IRM 在 Office 2016 中的工作原理

Office 用户通过使用“文件”菜单中的选项对邮件或文档应用权限;例如,使用“信息”下的“限制访问”选项保护文档。 可用的保护选项基于可以为组织自定义的权限策略模板。 权限策略模板是一组 IRM 权限,你将其打包在预定义策略中,用户可以将其应用于其文档。 Office 2016 还提供预定义的 “请勿转发” 选项,可向电子邮件收件人授予特定权限。 若要详细了解权限策略模板,请参阅配置和管理 Azure 信息保护模板

注意

除了使用“ 文件 ”菜单中的选项外,还可以在安装适用于 Windows 的 Rights Management 共享应用程序时,从 Office 功能区选择“ 共享保护 ”。 此应用程序还支持其他功能,例如跟踪共享文档的使用情况。 有关详细信息,请参阅 适用于 Windows 的 Rights Management 共享应用程序

若要使用 IRM 保护 Office 2016 中的文档,必须将本地 AD RMS 或 Azure RMS 订阅作为Office 365的一部分或作为独立服务。

将 IRM 与 Active Directory Rights Management Services 配合使用

若要在组织中启用 IRM,需要访问运行 Active Directory Rights Management Services (AD RMS) (适用于 Windows Server 2012 或 Windows Server 2012 R2)的计算机,或者访问具有 Azure RMS 订阅的云租户。 通过使用身份验证(通常通过使用Active Directory 域服务 (AD DS) 或Microsoft Entra ID)来强制实施权限。

组织可以通过创建权限策略模板来定义 Office 应用程序中显示的权限策略。 例如,可以定义名为 Marketing Confidential 的权限策略模板,该模板指定使用该策略的文档或电子邮件只能由该部门内的用户打开。 虽然可以创建的权限策略数量没有限制,但 Office 一次最多只能显示 20 个策略模板。 Azure Rights Management 提供两个预定义的组织范围模板。 可以创建自己的自定义模板,也可以根据需要禁用现有模板。

借助 Windows Server 2012 上的 AD RMS,用户可以在具有联合信任关系的公司之间共享受权限保护的文档。 有关详细信息,请参阅 Active Directory Rights Management Services 概述联合 AD RMS。 借助 Azure RMS,组织之间安全协作的功能是内置的,不需要完成任何特殊配置。

在 Outlook 2016 中,无需特殊电子邮件服务器设置即可创建和读取受保护的电子邮件。 但是,Exchange Server 2016 增强了此功能。 它通过 Microsoft Outlook 保护规则为统一消息语音邮件提供 RMS 保护,并为Outlook 2016中的邮件提供自动 IRM 保护。 此外,在 Exchange Server 中启用 IRM 集成允许用户在Outlook Web App和Exchange ActiveSync启用了 IRM 的移动设备中创建和使用受保护的电子邮件。 有关详细信息,请参阅 Exchange 2016 中的信息权限管理

为 Office 2016 设置 IRM

将 IRM 权限应用于文档或电子邮件需要满足以下条件:

  • 访问用于 Windows Server 2012 或 Windows Server 2012 R2 的 AD RMS,或者访问 Azure Rights Management 以获取使用内容的许可证。

  • Rights Management 客户端软件。 此客户端软件包含在 Windows Vista 及更高版本中。 Rights Management 共享应用程序提供了一个可选加载项,可增强 Office 中的 IRM 功能。

  • Microsoft Office 2007、Office 2010、Office 2013 或 Office 2016。 只有特定版本的 Office 允许用户创建 IRM 权限。

设置 RMS 服务器访问权限

AD RMS 和 Azure RMS 管理许可和其他服务器功能,这些函数与 IRM 配合使用,以便为客户端应用程序(例如 Office 2016)提供权限管理。 启用 RMS 的客户端程序(例如 Office 2016)允许用户创建和查看受权限保护的内容。

在客户端上设置 Rights Management

Windows Vista、Windows 7、Windows 8.1 和 Windows 10 附带 RMS 客户端软件。 若要使用 RMS 共享应用程序激活 Office 中的 IRM 功能,用户可以自行安装它。 或者,管理员可以为用户自动部署它。

注意

不再支持 Windows Vista、Windows 7 和 Windows 8.1。

定义和部署 Office 2016 的权限策略模板

与 Office 2007、Office 2010 和 Office 2013 一样,Office 2016 包括允许用户对文档和邮件应用个人权限的选项,例如在 Word 2016、Excel 2016、PowerPoint 2016 和 Visio 2016 应用个人权限。 在 Outlook 中,可以使用“ 请勿转发 ”选项,以便自信地共享电子邮件,仅向邮件的预期收件人授予有限权限。 可以为组织创建自定义权限策略模板。 这些模板会自动部署到客户端,使用户能够毫不费力地应用它们。

使用 RMS 或 AD RMS 服务器上的管理站点创建和管理权限策略模板。 有关如何创建、配置和发布自定义策略模板的信息,请参阅 AD RMS 权限策略模板部署分步指南

以下部分列出了可包含在 Office 2016 的权限策略模板中的权限。

IRM 权限

下表中列出的每个 IRM 权限都可以由配置为使用 AD RMS 或 Azure RMS 的 Office 2016 应用程序强制实施。

IRM 权限

IRM 权限 说明
完全控制
向用户授予此表中列出的所有权限,以及更改与内容关联的权限的权限。 过期不适用于拥有完全控制权限的用户。
View
允许用户打开 IRM 内容。 此权限对应于 Office 2016 用户界面中的读取访问权限。
编辑
允许用户修改文档的内容。 此权限包括对 Excel 中的内容进行排序和筛选的功能。
Save
允许用户保存文件。
提取
允许用户创建文件的任何部分的副本,并将该文件的这一部分粘贴到另一个应用程序的工作区域中。
导出
允许用户使用“ 另存为” 命令以其他文件格式保存内容。 根据使用所选文件格式的应用程序,内容可能会在没有保护的情况下保存。
打印
允许用户打印文件的内容。
允许宏
允许用户针对文件的内容运行宏,并执行对来自其他应用程序的内容的编程访问,并跨工作表链接到内容。
转发
允许电子邮件收件人转发 IRM 电子邮件,并在“收件人:”和“抄送:”行中添加或删除收件人。 拥有此权限并不意味着你可以向更多用户授予访问权限。 即使有人将内容转发给用户,如果他们没有来自模板的访问权限,他们也无法打开它。 在模板中不授予此权限并不等同于在 Outlook 中使用 “请勿转发 ”选项,因为该选项仅向电子邮件的“收件人:”和“抄送:”行中指定的用户授予权限。
答复
允许电子邮件收件人答复 IRM 电子邮件。
全部答复
允许电子邮件收件人答复 IRM 电子邮件的“收件人:”和“抄送:”行中的所有用户。
查看权限
授予用户查看与文件关联的权限的相关权限。 Office 将忽略此权限。

权限的预定义组

Office 2016 提供以下预定义的权限组,用户可以在创建 IRM 内容时从中进行选择。 Word 2016、Excel 2016、PowerPoint 2016 和 Visio 2016 的“权限”对话框中提供了这些选项。 在 Office 应用程序中,依次选择“ 文件 ”选项卡、“ 信息”、“ 保护文档 ”按钮、“ 限制访问”,然后从列出的权限策略模板中进行选择,或选择 “受限访问”。 如果选择 “受限访问”,则可以选择每个用户的预定义权限组之一。

预定义的读取/更改权限组

IRM 预定义组 说明
阅读
具有“读取”权限的用户具有“查看”权限。
更改
具有“更改”权限的用户有权查看、编辑、提取和保存。

在Outlook 2016中,用户可以在创建电子邮件项目时选择以下预定义的权限组。 若要从电子邮件项访问选项,请选择 “文件”、“ 信息”,然后选择 “设置权限”。 接下来,从列出的“权限策略模板”中进行选择(由 Rights Management 服务器或服务填充),或选择“ 不转发”,这将实现以下权限。

预定义的“不转发”组

IRM 预定义组 说明
不转发
在 Outlook 中,“不要转发到电子邮件”向用户授予“收件人:”、“抄送:”和“密件抄送:”行的“查看”、“编辑”、“答复”和“全部答复”权限。

高级权限

在 Word 2016 中,可以为文档的一部分指定其他 IRM 权限。 在 “信息”中,选择“ 保护文档”,选择“ 限制编辑”,然后选择“ 更多用户” 选项,以添加有权编辑文档指定节的用户。 有关更多限制选项,请选择 “限制 编辑”面板底部的“ 限制 权限”。 例如,用户可以指定到期日期、限制其他用户打印或复制内容等。

为 Office 2016 配置 IRM 设置

可以使用 Office 组策略 模板 (Office) 锁定许多设置来自定义 IRM。 使用此组策略模板在 Active Directory 中配置组策略对象,不应与权限策略模板混淆。 此外,有一些 IRM 配置选项只能通过使用注册表项设置来配置。

Office 2016 IRM 设置

下表列出了可以在 组策略 中为 IRM 配置的设置。 在 组策略,这些设置位于“用户配置\策略\管理模板\Microsoft Office 2016\管理受限权限”下。

组策略的 IRM 设置

IRM 选项 说明
查询一个组扩展条目的 Active Directory 超时时间
在展开组时指定用于查询 Active Directory 条目的超时值。
附加权限请求 URL
指定用户在使用此客户端中受保护的内容时可以获取有关如何访问 IRM 内容的详细信息的位置。
限制文档权限时始终在 Office 中展开组
当用户通过在“ 权限 ”对话框中选择组名称来向文档应用权限时,将自动展开组名称以显示组的所有成员。
始终要求用户连接以验证权限
打开权限管理的 Office 文档的用户必须连接到 RMS 服务,以验证他们是否仍有权通过获取新的 IRM 许可证来使用内容。
限制文档权限时始终不允许用户指定组
当用户在 “权限 ”对话框中选择组时返回错误:''无法将内容发布到通讯组列表。 只能为单个用户指定电子邮件地址。
禁止用户更改权限管理内容的权限
如果启用,则用户能够访问具有现有 IRM 权限的内容。 但是,他们无法对新内容应用 IRM 权限或为文档设置权限。
关闭信息权限管理用户界面
在所有 Office 应用程序的用户界面中禁用与权限管理相关的所有选项。

Office 2016 IRM 注册表项选项

下表列出了可以在注册表中为 IRM 配置的设置。

以下 IRM 注册表设置位于 HKCU\Software\Microsoft\Office\16.0\Common\DRM 中。

IRM 注册表项选项

注册表项 类型 说明
RequestPermission
DWORD
1 = 此框处于选中状态。

0 = 此框处于清除状态。
此注册表项切换“用户可以从 检查 请求其他权限”框的默认值。
DoNotUseOutlookByDefault
DWORD
0 = 使用 Microsoft Outlook

1 = 未使用 Microsoft Outlook
权限 ”对话框使用 Microsoft Outlook 验证在该对话框中输入的电子邮件地址。 这会导致在限制权限时启动 Microsoft Outlook 的实例。 请使用此注册表项禁用该选项。

以下 IRM 注册表设置位于 HKCU\Software\Microsoft\Office\16.0\Common\DRM\LicenseServers 中。 没有相应的组策略设置。

许可证服务器的 IRM 注册表设置

注册表项 类型 说明
LicenseServers
键/Hive。 包含具有许可证服务器名称的 DWORD 值。
设置为服务器 URL。 如果 DWORD 值设置为 1,Office 会自动获取许可证而不提示。

如果值为零或该服务器没有注册表项,Office 会提示输入许可证。
示例:如果 http://contoso.com/_wmcs/licensing = 1 是此设置的值,则尝试从该服务器获取许可证以打开权限管理文档的用户不会提示进行授权。 此操作与用户选中要求在首次使用内容时不再收到通知的复选框的用户相同。

以下 IRM 注册表设置位于 HKCU\Software\Microsoft\Office\16.0\Common\Security 中。 没有相应的组策略设置。

用于安全的 IRM 注册表设置

注册表项 类型 说明
DRMEncryptProperty
DWORD
1 = 对文件元数据进行加密。

0 = 元数据以纯文本形式存储。 默认值为 0。
指定是否加密权限管理文档内存储的所有元数据。

加密元数据与 Azure 信息保护标签不兼容。 如果使用这些标签,请不要将值设置为 1。

在 Open XML 格式(如 docx、xlsx、pptx 等)中,用户可以加密权限管理文件中的 Office 元数据。 或者,它们可以使元数据保持未加密状态,从而允许其他应用程序(例如 Windows 文件服务器上的 FCI 功能)访问数据。

用户可以选择通过设置注册表项来加密元数据。 您可以通过部署注册表设置为用户设置默认选项。 没有用于加密某些元数据的选项:所有元数据都已加密,或者未加密任何元数据。

此外, DRMEncryptProperty 注册表设置不会确定是否对非 Office 客户端元数据存储(例如 SharePoint Server 2016 创建的元数据)进行加密。

为Outlook 2016配置 IRM 设置

在Outlook 2016中,用户可以创建和发送具有受限权限的电子邮件,以帮助防止转发、打印或复制邮件。 附加到具有受限权限的邮件的 Office 2016 文档、工作簿和演示文稿会自动受到限制。

作为 Microsoft Outlook 管理员,可以为 IRM 电子邮件配置多个选项,例如禁用 IRM 或配置本地许可证缓存。

配置权限管理的电子邮件消息时,以下 IRM 设置和功能可能很有用:

  • 为 IRM 配置自动许可证缓存。

  • 帮助强制实施电子邮件过期期限。

  • 请勿使用 Outlook 验证电子邮件地址是否具有 IRM 权限。

注意

若要在 Outlook 中禁用 IRM,必须对所有 Office 应用程序禁用 IRM。 没有单独的选项用于仅在 Outlook 中禁用 IRM。

Outlook IRM 设置

可以使用 Microsoft Outlook 组策略 模板 (Outlk) 或 Office 组策略 模板 (Office) 锁定大多数设置来自定义 Microsoft Outlook 的 IRM。 或者,可以使用 Office 自定义工具 (OCT) 为大多数选项配置默认设置,这使用户能够配置设置。 OCT 设置位于 OCT 的“修改用户设置”页上相应的位置。

Outlook IRM 选项

Location IRM 选项 说明
Microsoft Outlook 2016\Miscellaneous
在 Exchange 文件夹同步期间,不要下载 IRM 电子邮件的权限权限许可证信息
启用 以防止在本地缓存许可证信息。 如果启用,用户必须连接到网络才能检索许可证信息才能打开权限管理的电子邮件。 此选项不会影响在服务器上执行的 Exchange 预许可。
选项 > 更多选项 > 传递选项
发送邮件时
若要强制实施电子邮件过期,请启用并输入邮件过期前的天数。 仅当用户发送权限管理的电子邮件且在过期后无法访问邮件时,才会强制实施过期期限。

Outlook 2016 IRM 注册表项选项

权限 ”对话框使用 Microsoft Outlook 验证在该对话框中输入的电子邮件地址。 这会导致 Microsoft Outlook 实例在权限受限时启动。 可以使用下表中列出的注册表项禁用此选项。 此选项没有相应的组策略或 OCT 设置。

以下 IRM 注册表设置位于 HKEY_CURRENT_USER\Software\Microsoft\Office\15.0\Common\DRM中。

Outlook IRM 注册表项选项

注册表项 类型 说明
DoNotUseOutlookByDefault
DWORD
0 = 使用 Microsoft Outlook

1 = 未使用 Microsoft Outlook
请使用此注册表项禁用该选项。

有关在 Office 2016 中配置 IRM 的概述

可以使用 Office 2016 管理模板文件 (Office 16.admx) 和 Microsoft Outlook 组策略 模板 (Outlk16.admx) 来锁定许多设置以自定义 IRM。 此外,有一些 IRM 配置选项只能使用注册表项设置进行配置。

在Outlook 2016中,用户可以创建和发送具有受限权限的电子邮件,以帮助防止转发、打印或复制和粘贴邮件。 附加到具有受限权限的邮件的 Office 2016 文档、工作簿和演示文稿也会自动受到限制。

作为 Microsoft Outlook 管理员,可以为 IRM 电子邮件配置多个选项,例如禁用 IRM 或配置本地许可证缓存。 除了默认的“不要转发”权限组,您还可以为用户设计 IRM 权限。

开始之前

在开始部署之前,请确定可能需要为 IRM 配置的设置。

可以从 Microsoft 下载中心下载 Office 2016 和Outlook 2016模板,管理模板文件 (适用于 Office 的 ADMX/ADML)

在 Office 2016 中关闭信息权限管理

可以关闭所有 Office 应用程序的 IRM。 若要在Outlook 2016中关闭 IRM,必须关闭所有 Office 应用程序的 IRM。 没有单独的选项可以仅在 Microsoft Outlook 中关闭 IRM。

使用 组策略在 Office 2016 中关闭 IRM

  1. 在组策略中,加载 Office 2016 模板 (Office) ,并找到“用户配置\策略\管理模板\Microsoft Office 2016\管理受限权限”。

  2. 选择“关闭信息权限管理用户界面”

  3. 选择“启用”

  4. 选择“确定”。

为Outlook 2016配置自动许可证缓存

默认情况下,当 Outlook 与 Exchange Server 同步时,Outlook 2016自动下载权限管理电子邮件的 IRM 许可证。 可以配置Outlook 2016,以防止在本地缓存许可证信息。 这将强制用户在可以打开权限管理电子邮件之前连接到网络检索许可证信息。

使用组策略禁用 IRM 自动许可证缓存

  1. 在 组策略 中,加载 Outlook 2016 模板 (Outlk) ,并找到用户配置\策略\管理模板\Microsoft Outlook 2016\杂项

  2. 选择“在 Exchange 文件夹同步期间,不下载 IRM 电子邮件的权限许可证信息”

  3. 选择“启用”

  4. 选择“确定”。