規劃 Office 2010 的資訊版權管理
適用版本: Office 2010
上次修改主題的時間: 2016-11-29
Microsoft Office 2010 的資訊版權管理 (IRM) 技術可讓使用者指定存取和使用文件及訊息的權限,協助組織和資訊工作者以電子方式控制敏感資訊。
本文摘要說明 IRM 技術及其在 Office 應用程式中的運作方式,以及如何設定及安裝必要伺服器與軟體,以便在 Office 2010 中實作 IRM 的詳細資訊連結。
本文內容:
IRM 概觀
IRM 在 Office 2010 中的運作方式
為 Office 2010 設定 IRM
設定 Office 2010 的 IRM 設定
設定 Outlook 2010 的 IRM 設定
IRM 概觀
資訊版權管理 (IRM) 是 Microsoft 提供的一項持續性檔案層級技術,可使用權限和授權,協助防止敏感資訊遭到未經授權的人員列印、轉寄或複製。一旦使用此技術來限制文件或訊息的權限之後,使用限制便會成為檔案內容的一部分,與文件或電子郵件一同傳送。
注意
Microsoft Office Professional Plus 2010 提供使用 IRM 建立具有限制權限的內容或電子郵件訊息,獨立版本的 Microsoft Excel 2010、Microsoft Outlook 2010、Microsoft PowerPoint 2010、Microsoft InfoPath 2010 及 Microsoft Word 2010 中也有相同的功能。在 Office 2010 中所建立的 IRM 內容,可以在 Microsoft Office 2003、2007 Microsoft Office 系統 或 Office 2010 中加以檢視。
如需 Office 2010、Office 2007 及 Office 2003 中所支援的 IRM 與 Active Directory Rights Management Services (AD RMS) 功能的詳細資訊,請參閱 AD RMS 與 Microsoft Office 部署考量(可能為英文網頁)。
Office 2010 中的 IRM 支援可協助組織和知識工作者因應下列兩種基本需求:
適用於敏感資訊的受限制權限 IRM 可協助防止未經授權存取和重複使用敏感資訊。組織依賴防火牆、登入安全性相關的措施,以及其他網路技術,協助保護敏感的智慧財產。使用這些技術的基本限制是,可以存取該資訊的合法使用者可以與未經授權的人員共用該資訊。這可能會違反安全性原則。
資訊隱私權、控制和完整性 資訊工作者通常會使用機密或敏感資訊。透過使用 IRM,員工不必依賴其他人的決定,即可確保敏感資訊會保留於公司內部。IRM 可協助使用受限制的權限來停用文件和訊息中的功能,讓使用者無法轉寄、複製或列印機密資訊。
對於資訊技術 (IT) 管理員而言,IRM 有助於施行與文件機密性、工作流程及電子郵件保留相關的現有公司原則。對於 CEO 與保全人員而言,IRM 可以降低關鍵公司資訊落入錯誤的人員之手 (不論是意外、無心或純屬惡意) 的風險。
IRM 在 Office 2010 中的運作方式
Office 使用者可以使用功能區的選項,將權限套用至訊息或文件:例如,使用 Word [校閱] 索引標籤的 [限制編輯] 命令。可用的保護選項則是根據您為組織自訂的「權限原則」而定。權限原則是 IRM 權限的群組,您可將其封裝在一起,當成一個原則來套用。Office 2010 也提供數個預先定義的權限群組,例如,Microsoft Outlook 2010 中的 [不可轉寄]。
搭配使用 IRM 與 RMS 伺服器
在組織中啟用 IRM 一般會需要存取執行 Windows Server 2003 之 Windows Rights Management Services (RMS) 或 Windows Server 2008 之 Active Directory Rights Management Services (AD RMS) 的版權管理伺服器。也可以如下一節所述,藉由使用 Windows Live ID 驗證權限以使用 IRM。經由驗證作業會進行權限限制,一般使用 Active Directory 目錄服務。若未實作 Active Directory,則 Windows Live ID 會驗證權限。
使用者並不需要安裝 Office 即可讀取受保護的文件及訊息。對於執行 Windows XP 或舊版作業系統的使用者而言,Excel Viewer (https://go.microsoft.com/fwlink/?linkid=184596\&clcid=0x404) 及 Word Viewer (https://go.microsoft.com/fwlink/?linkid=184595\&clcid=0x404) 可讓具有正確權限的 Windows 使用者,能讀取某些具有限制權限的文件,而不需要使用 Office 軟體。執行 Windows XP 或舊版作業系統的使用者,可以使用 Microsoft Outlook Web App 或 Rights Management Add-on for Internet Explorer (https://go.microsoft.com/fwlink/?linkid=82926\&clcid=0x404) 讀取具有限制權限的電子郵件訊息,而不需使用 Outlook 軟體。使用者若執行 Windows 7、Windows Vista Service Pack 1、Windows Server 2008 或 Windows Server 2008 R2,即已經可以使用這項功能。這些作業系統已包括 Active Directory Rights Management Services 用戶端軟體。
在Office 2010 中,組織可以建立會在Office 應用程式中出現的權限原則。例如,您可能會定義名為 [公司機密] 的權限原則,指定使用該原則的文件或電子郵件僅可由公司網域內部的使用者開啟。可建立的權限原則個數並無限制。
注意
Windows SharePoint Services 3.0 支援在文件庫中儲存的文件上使用 IRM。透過在 Windows SharePoint Services 中使用 IRM,即可控制使用者從 Windows SharePoint Services 3.0 的文件庫開啟文件時,可在文件上執行的動作。相反地,若 IRM 已套用至用戶端電腦上所儲存的文件,則文件的擁有者可以選擇要將哪些權限指派給文件的每位使用者。如需 IRM 與文件庫搭配使用的詳細資訊,請參閱規劃文件庫 (Windows SharePoint Services) (https://go.microsoft.com/fwlink/?linkid=183051&clcid=0x404)。
使用者可利用 Windows Server 2008 的 AD RMS,在具有同盟信任關係的公司之間共用受版權保護的文件。如需詳細資訊,請參閱 Active Directory Rights Management Services 概觀 (https://go.microsoft.com/fwlink/?linkid=183052\&clcid=0x404) 及建立 AD RMS 同盟關係(可能為英文網頁) (https://go.microsoft.com/fwlink/?linkid=183053\&clcid=0x404)(可能為英文網頁)。
另外,Microsoft Exchange Server 2010 也能透過 AD RMS 提供受 IRM 保護的新電子郵件功能,包括整合通訊語音信箱的 AD RMS 保護,以及可以在郵件離開 Microsoft Outlook 用戶端之前,自動將 IRM 保護套用至 Outlook 2010 中郵件的 Microsoft Outlook 保護規則。如需詳細資訊,請參閱 Exchange 2010 的新功能 (https://go.microsoft.com/fwlink/?linkid=183062\&clcid=0x404) 及了解資訊版權管理:Exchange 2010 說明 (https://go.microsoft.com/fwlink/?linkid=183063\&clcid=0x404)。
如需如何安裝和設定 RMS 伺服器的詳細資訊,請參閱 Windows Server 2003 版權管理服務 (RMS) (https://go.microsoft.com/fwlink/?linkid=73121\&clcid=0x404) 和 Windows Server 2008 Active Directory Rights Management Services(可能為英文網頁) (https://go.microsoft.com/fwlink/?linkid=180006\&clcid=0x404)(可能為英文網頁)。
使用 IRM 時不使用本機 RMS 伺服器
在一般安裝中,含有 RMS 的 Windows Server 2003 或含有 AD RMS 的 Windows Server 2008 可讓 IRM 權限能與 Office 2010 搭配使用。如果 RMS 伺服器不是設定於使用者所在的網域上,則 Windows Live ID 會驗證權限,而非 Active Directory。使用者必須具有網際網路存取權,才能連線到 Windows Live ID 伺服器。
當您將權限指派給需要存取受限制檔案內容的使用者時,可以使用 Windows Live ID 帳戶。當您使用 Windows Live ID 帳戶進行驗證時,必須特別為每位使用者授與檔案權限。您無法為使用者群組指派存取檔案的權限。
為 Office 2010 設定 IRM
將 IRM 權限套用至文件或電子郵件需要下列項目:
Windows Server 2003 RMS 或 Windows Server 2008 AD RMS 的存取權,以驗證權限。或者,可以使用網際網路上的 Windows Live ID 服務來管理驗證。
版權管理 (RM) 用戶端軟體。在 Windows Vista 和更新版本均隨附 RM 用戶端軟體,Windows XP 和 Windows Server 2003 則是以增益集方式提供。
Microsoft Office 2003、2007 Microsoft Office 系統 或 Office 2010。只有特定版本的 Office 可讓使用者建立 IRM 權限。
設定 RMS 伺服器存取
Windows RMS 或 AD RMS 可管理授權,以及可與 IRM 搭配使用以提供版權管理的其他系統管理伺服器功能。啟用 RMS 的用戶端程式 (例如 Office 2010) 讓使用者能夠建立和檢視受權限保護的內容。
若要深入了解 RMS 的運作方式,以及如何安裝和設定 RMS 伺服器,請參閱 Windows Server 2003 版權管理服務 (RMS) (https://go.microsoft.com/fwlink/?linkid=73121\&clcid=0x404)、Windows Server 2008 Active Directory 版權管理服務(可能為英文網頁) (https://go.microsoft.com/fwlink/?linkid=180006\&clcid=0x404)(可能為英文網頁),以及了解資訊版權管理:Exchange 2010 說明 (https://go.microsoft.com/fwlink/?linkid=183062\&clcid=0x404)。
安裝版權管理用戶端軟體
Windows Vista 與 Windows 更新版本均隨附 RM 用戶端軟體。Windows XP 與 Windows Server 2003 則必須分開安裝以及設定必要的 RMS 用戶端軟體,才能與執行 Windows 或在網際網路上執行 Windows Live ID 服務之電腦上的 RMS 或 AD RMS 互動。
下載含有 Service Pack 2 的 Microsoft Windows Rights Management Services 用戶端 (https://go.microsoft.com/fwlink/?linkid=82927\&clcid=0x404) 使 Windows XP 和 Windows Server 2003 的使用者能夠執行以 RMS 技術限制權限的應用程式。
定義和部署權限原則
如同 Office 2003 和2007 Office System,Office 2010 也包含使用者可套用至文件和訊息的預先定義權限群組,例如 Microsoft Word 2010、Microsoft Excel 2010 及 Microsoft PowerPoint 2010 中的 [讀取] 與 [變更]。您也可以定義自訂的 IRM 權限原則,為組織使用者提供不同的 IRM 權限套件。
您可以使用 RMS 或 AD RMS 伺服器上的管理網站,建立及管理權限原則範本。如需如何建立、設定及張貼自訂權限原則範本的相關資訊,請參閱 Windows Server 2003 版權管理服務 (RMS) (https://go.microsoft.com/fwlink/?linkid=73121\&clcid=0x404) 及建立與部署 Active Directory Rights Management Services 權限原則範本的逐步指南 (https://go.microsoft.com/fwlink/?linkid=183068\&clcid=0x404)。如需 Exchange Server 2010 Outlook 保護規則的資訊,請參閱了解 Outlook 保護規則:Exchange 2010 說明 (https://go.microsoft.com/fwlink/?linkid=183067\&clcid=0x404)。
接下來幾節列出可加入 Office 2010 權限原則範本的權限。
權限
下表列出的每個 IRM 權限均可透過 Office 2010 應用程式強制執行,而這些應用程式是在包含執行 RMS 或 AD RMS 之伺服器的網路上進行設定。
| IRM 權限 | 描述 |
|---|---|
完全控制 |
授與使用者此表中所列的每項權限,以及變更與內容相關聯的權限。具有「完全控制」的使用者不會套用到期時間。 |
檢視 |
允許使用者開啟 IRM 內容。此權限對應至 Office 2010 使用者介面中的「讀取權」。 |
編輯 |
允許使用者設定 IRM 內容。 |
儲存 |
允許使用者儲存檔案。 |
解壓縮 |
允許使用者複製檔案的任何部分,並將該部分的檔案貼到其他應用程式的工作區。 |
匯出 |
允許使用者使用 [另存新檔] 命令,以其他檔案格式儲存內容。根據使用所選檔案格式的應用程式之不同,可能會在不受保護的情況下儲存內容。 |
列印 |
允許使用者列印檔案內容。 |
允許巨集 |
允許使用者對檔案內容執行巨集。 |
轉寄 |
允許電子郵件收件者轉寄 IRM 電子郵件訊息,並從 [收件者:] 和 [副本:] 行新增或移除收件者。 |
回覆 |
允許電子郵件收件者回覆 IRM 電子郵件訊息。 |
全部回覆 |
允許電子郵件收件者回覆 IRM 電子郵件訊息 [收件者:] 和 [副本:] 行中的所有使用者。 |
檢視權限 |
給予使用者權限,以檢視與檔案相關聯的權限。Office 會忽略此權限。 |
預先定義的權限群組
Office 2010 會提供下列預先定義的權限群組,當使用者建立 IRM 內容時可從中選擇。Word 2010、Excel 2010 及 PowerPoint 2010 中的 [權限] 對話方塊中即提供這些選項。在 Office 應用程式中,依序按一下 [檔案] 索引標籤、[資訊] 及 [保護文件] 按鈕,選取 [依人員限制權限],按一下 [限制存取],然後按一下 [限制此文件的權限] 以啟用列在下表中的權限選項。
| IRM 預先定義的群組 | 描述 |
|---|---|
讀取 |
具有「讀取」權限的使用者只有「檢視」權限。 |
變更 |
具有「變更」權限的使用者會具有「檢視」、「編輯」、「解壓縮」及「儲存」等權限。 |
在 Outlook 2010 中,使用者可以在建立電子郵件項目時,選取下列預先定義的權限群組。依序按一下[檔案] 索引標籤、[資訊] 及 [設定權限],即可從電子郵件存取此選項。
| IRM 預先定義的群組 | 描述 |
|---|---|
不可轉寄 |
在 Outlook 中,IRM 電子郵件訊息的作者可將「不可轉寄」權限套用至 [收件者:] 行、[副本:] 行及 [密件副本:] 行中的使用者。此權限包括「檢視」、「編輯」、「回覆」及「全部回覆」等權限。 |
進階權限
您可以在 Word 2010、Excel 2010 及 PowerPoint 2010 的進階 [權限] 對話方塊中,指定其他 IRM 權限。在初始 [權限] 對話方塊中,按一下 [其他選項]。例如,使用者可以指定到期日期、讓其他使用者列印或複製內容等等。
Outlook 預設可在支援版權管理的瀏覽器中檢視訊息。
部署權限原則範本
完成權限原則範本後,可將它們張貼至伺服器共用,讓所有使用者可在該位置存取範本,或將它們複製到使用者電腦上的本機資料夾。在 Office 群組原則範本檔案 (Office14.adm) 中,可用的 IRM 原則設定可以設定成指向儲存權限原則範本的位置 (在本機上或在可用的伺服器共用上)。如需相關資訊,請參閱<在 Office 2010 中設定資訊版權管理>。
設定 Office 2010 的 IRM 設定
您可以使用 Office 群組原則範本 (Office14.adm) 鎖定數個設定以自訂 IRM。您也可以使用 Office 自訂工具 (OCT) 設定預設設定,如此可讓使用者能設定這些設定值。除此之外,還提供只能使用登錄機碼設定加以設定的 IRM 設定選項。
Office 2010 IRM 設定
下表列出您可在群組原則中針對 IRM 進行的設定,以及使用 OCT 進行的設定。在群組原則中,這些設定位於「使用者設定\系統管理範本\Microsoft Office 2010\管理限制權限」下。 OCT 設定位於 OCT 之 [修改使用者設定] 頁面上的對應位置。
| IRM 選項 | 描述 |
|---|---|
查詢群組擴充之單一項目的 Active Directory 逾時值 |
指定在擴充群組時查詢 Active Directory 項目的逾時值。 |
其他權限要求 URL |
指定讓使用者取得如何存取 IRM 內容之資訊的位置。 |
允許使用舊版 Office 的使用者以瀏覽器讀取… |
讓沒有 Office 2010 的使用者可以使用 Windows Internet Explorer 版權管理附加元件來檢視受版權管理的內容。 |
當限制文件的權限時,永遠展開 Office 的群組 |
當使用者在 [權限] 對話方塊中選取群組名稱以便將權限套用至文件時,群組名稱會自動展開,以顯示所有的群組成員。 |
永遠要求使用者連線以驗證權限 |
開啟受版權管理之 Office 文件的使用者必須連線到網際網路或本機區域網路,透過 RMS 或 Windows Live ID 確認他們具有有效 IRM 授權。 |
停用限制權限內容的 Microsoft Passport 服務 |
若啟用此項,使用者便無法開啟由 Windows Live ID 驗證帳戶建立的內容。 |
當限制文件的權限時,永不允許使用者指定群組 |
會在使用者於 [權限] 對話方塊中選取群組時傳回錯誤:「您無法發佈內容至 [通訊群組清單]。您可能僅指定了個別使用者的電子郵件地址」。 |
防止使用者變更版權管理內容的權限 |
若啟用此項,使用者可以使用已包含 IRM 權限的內容,但無法將 IRM 權限套用至新內容,也無法設定文件上的版權。 |
指定權限原則路徑 |
在 [權限] 對話方塊中顯示於指定資料夾中找到的權限原則範本。 |
關閉資訊版權管理使用者介面 |
停用所有 Office 應用程式之使用者介面內所有與版權管理相關的選項。 |
當應用程式無法辨識版權管理文件時,將顯示文件範本位置的 URL |
提供一個資料夾路徑,其包含的自訂純文字包裝函式範本不支援受版權管理的內容,且這些範本為 Office 舊版所用。 |
如需如何自訂這些設定的詳細資訊,請參閱<在 Office 2010 中設定資訊版權管理>。
Office 2010 IRM 登錄機碼選項
下列 IRM 登錄設定位於 HKCU\Software\Microsoft\Office\14.0\Common\DRM。
| 登錄項目 | 類型 | 值 | 描述 |
|---|---|---|---|
CorpCertificationServer |
字串 |
企業憑證伺服器的 URL |
一般而言,會使用 Active Directory 來指定 RMS 伺服器。這個設定可讓您針對憑證覆寫 Active Directory 中指定的 Windows RMS 位置。 |
RequestPermission |
DWORD |
1 = 已核取方塊。 0 = 已清除方塊。 |
這個登錄機碼會切換 [使用者可從下列位置要求其他權限] 核取方塊的預設值。 |
CloudCertificationServer |
字串 |
自訂雲端憑證伺服器的 URL |
沒有對應的群組原則設定。 |
CloudLicenseServer |
字串 |
授權伺服器的 URL |
沒有對應的群組原則設定。 |
DoNotUseOutlookByDefault |
DWORD |
0 = 使用 Outlook 1 = 不使用 Outlook |
[權限] 對話方塊會使用 Outlook 來驗證在該對話方塊中輸入的電子郵件地址。這會在限制權限時,啟動 Outlook 的執行個體。使用這個機碼來停用選項。 |
下列 IRM 登錄設定位於 HKCU\Software\Microsoft\Office\12.0\Common\DRM\LicenseServers 中。沒有對應的群組原則設定。
| 登錄項目 | 類型 | 值 | 描述 |
|---|---|---|---|
LicenseServers |
機碼/登錄區。包含具有授權伺服器名稱的 DWORD 值。 |
設定為伺服器 URL。如果 DWORD 的值是 1,則 Office 不會顯示提示使用者輸入以取得授權 (只會直接取得)。 如果值為零或者沒有任何於該伺服器的登錄項目,Office 便會提示您輸入授權。 |
範例:如果 ‘https://contoso.com/_wmcs/licensing = 1’ 是此設定的值,則系統便不會提示嘗試從該伺服器取得授權以開啟版權管理文件的使用者輸入授權。 |
下列 IRM 登錄設定位於 HKCU\Software\Microsoft\Office\12.0\Common\Security 中。沒有對應的群組原則設定。
| 登錄項目 | 類型 | 值 | 描述 |
|---|---|---|---|
DRMEncryptProperty |
DWORD |
1 = 已加密檔案中繼資料。 0 = 中繼資料會以純文字儲存。預設值為 0。 |
指定是否要加密版權管理檔案內儲存的所有中繼資料。 |
針對 Open XML 格式 (例如,docx、xlsx、pptx 等),使用者可以決定要加密版權管理檔案內儲存的 Microsoft Office 中繼資料。使用者可以加密所有的 Office 中繼資料。這包括超連結參照,或者讓內容保留未加密狀態,讓其他應用程式可以存取資料。
使用者可以選擇藉由設定登錄機碼來加密中繼資料。您可以透過部署登錄設定,為使用者設定預設選項。沒有任何選項可用於加密部分中繼資料:加密所有中繼資料或全部都不加密。
除此之外,DRMEncryptProperty 登錄設定不會決定是否要加密非 Office 用戶端中繼資料存放區,例如在 Microsoft SharePoint 2010 產品 中建立的存放區。
此加密選項不適用於 Microsoft Office 2003 或其他舊版檔案格式。Office 2010 會以與 2007 Office System 和 Microsoft Office 2003 相同的方式來處理舊版格式。
設定 Outlook 2010 的 IRM 設定
在 Outlook 2010 中,使用者可以建立及傳送有權限限制的電子郵件訊息,以防郵件訊息被轉寄、列印或複製和貼上。若郵件訊息有權限限制,則附在該郵件訊息中的 Office 2010 文件、活頁簿及簡報也會自動受到限制。
身為 Microsoft Outlook 管理員,您可以為 IRM 電子郵件設定數種選項,例如停用 IRM 或是設定本機授權快取。
設定受版權管理的電子郵件訊息時,下列 IRM 設定和功能會非常有用:
設定 IRM 的自動授權快取。
協助強制執行電子郵件訊息的到期時間。
不使用 Outlook 驗證電子郵件地址是否有 IRM 權限。
注意
若要停用 Outlook 中的 IRM,則所有 Office 應用程式都必須停用 IRM,因為只有 Outlook 沒有獨立選項可停用 IRM。
Outlook 2010 IRM 設定
您可以使用 Outlook 群組原則範本 (Outlk14.adm) 或是 Office 群組原則範本 (Office14.adm),鎖住大部分的設定,以便為 Outlook 自訂 IRM。您也可以使用 Office 自訂工具 (OCT) 設定大部分選項的預設設定,如此可讓使用者能設定這些設定。OCT 設定位於 OCT 之 [修改使用者設定] 頁面上的對應位置。
| 位置 | IRM 選項 | 描述 |
|---|---|---|
Microsoft Outlook 2010\其他 |
在 Exchange 資料夾同步處理過程中不要下載 IRM 電子郵件的權限授權資訊。 |
可防止在本機快取授權資訊。若啟用此項,使用者便必須連線到網路以擷取授權資訊,才能開啟受權限管理的電子郵件訊息。 |
Microsoft Outlook 2010\Outlook 選項\ 電子郵件選項\ 進階電子郵件選項 |
傳送訊息時 |
若要強制執行電子郵件到期時間,請啟用並輸入訊息到期前的天數。只有當使用者傳送受版權管理的電子郵件時,才會強制執行到期時間,而到期後將無法存取該郵件。 |
如需如何自訂這些設定的詳細資訊,請參閱<在 Office 2010 中設定資訊版權管理>。
Outlook 2010 IRM 登錄機碼選項
[權限] 對話方塊會使用 Outlook 驗證在該對話方塊中輸入的電子郵件地址。這會造成 Outlook 執行個體在有權限限制的情況下啟動。您可以使用下表所列的登錄機碼停用此選項。此選項沒有對應的群組原則或 OCT 設定。
下列 IRM 登錄設定位於 HKEY_CURRENT_USER\Software\Microsoft\Office\14.0\Common\DRM。
| 登錄項目 | 類型 | 值 | 描述 |
|---|---|---|---|
DoNotUseOutlookByDefault |
DWORD |
0 = 使用 Outlook 1 = 不使用 Outlook |
使用這個機碼來停用選項。 |