Заметка
Доступ к этой странице требует авторизации. Вы можете попробовать войти в систему или изменить каталог.
Доступ к этой странице требует авторизации. Вы можете попробовать сменить директорию.
В этой статье описаны права на использование, которые можно настроить для автоматического применения, если пользователи, администраторы или настроенные службы выбирают метку конфиденциальности из Защита информации Microsoft Purview.
Права использования выбираются при настройке меток конфиденциальности или шаблонов управления правами для шифрования. Например, можно выбрать роли, которые настраивают логическую группировку прав на использование, или настроить отдельные права отдельно. Кроме того, пользователи могут сами выбирать и применять права на использование.
Важно!
Используйте эту статью, чтобы понять, как права на использование интерпретируются приложениями.
Приложения могут отличаться в том, как они реализуют права на использование, и мы рекомендуем вам ознакомиться с документацией приложения и выполнить собственное тестирование, чтобы проверка поведение приложения перед развертыванием в рабочей среде.
Права и описания использования
В следующей таблице перечислены и описаны права на использование, поддерживаемые Rights Management, а также способы их использования и интерпретации. Они перечислены по общему имени, которое обычно отображается или ссылается на право использования в виде более понятной версии значения из одного слова, используемого в коде ( кодировка в значении политики ).
В этой таблице:
Константа API или значение — это имя пакета SDK для вызова API MSIPC или Microsoft Information Protection SDK, используемое при написании приложения, которое проверяет право на использование или добавляет право на использование в политику.
Имена из шаблонов AD RMS включаются для клиентов в локальном решении для управления правами active Rights Management Services или для миграции из него.
| Право на использование | Описание | Реализация |
|---|---|---|
| Общее имя: Изменить содержимое, Изменить Кодировка в политике: DOCEDIT |
Позволяет пользователю изменять, упорядочивать, форматировать или сортировать содержимое внутри приложения, включая Office в Интернете. Он не предоставляет право на сохранение измененной копии. | Настраиваемые права Office: в рамках параметров "Изменить " и "Полный доступ ". Имя на портале Microsoft Purview: Изменить содержимое, Изменить (DOCEDIT) Имя в шаблонах AD RMS: Изменить Константа ИЛИ значение API: MSIPC: Неприменимо. Пакет SDK для MIP: DOCEDIT |
| Общее имя: Сохранить Кодировка в политике: EDIT |
Позволяет пользователю сохранить элемент в текущем расположении. В Office в Интернете это также позволяет пользователю изменять содержимое. В приложениях Office это право позволяет пользователю сохранять содержимое файла в новом расположении и с новым именем, если выбранный формат файла имеет встроенную поддержку Rights Management. Список доступных форматов файлов ограничен теми, которые поддерживают Rights Management. Это ограничение гарантирует, что исходное шифрование не может быть удалено из файла. |
Настраиваемые права Office: в рамках параметров "Изменить " и "Полный доступ ". Имя на портале Microsoft Purview: Сохранить (ИЗМЕНИТЬ) Имя в шаблонах AD RMS: Сохранить Константа ИЛИ значение API: MSIPC: IPC_GENERIC_WRITE L"EDIT"Пакет SDK для MIP: EDIT |
| Общее имя: Комментарий Кодировка в политике: COMMENT |
Включает параметр для добавления заметок или комментариев к содержимому. Это право доступно в пакете SDK, доступно в виде нерегламентированной политики в модуле PowerShell PurviewInformationProtection и реализовано в некоторых приложениях поставщиков программного обеспечения. Однако он не широко используется и не поддерживается приложениями Office. |
Настраиваемые права Office: не реализовано. Имя на портале Microsoft Purview: не реализовано. Имя в шаблонах AD RMS: не реализовано. Константа ИЛИ значение API: MSIPC: IPC_GENERIC_COMMENT L"COMMENTПакет SDK для MIP: COMMENT |
| Общее имя: Сохранить как, экспортировать Кодировка в политике: EXPORT |
Включает параметр для сохранения содержимого в другое имя файла (сохранить как). Это право также позволяет пользователю выполнять другие параметры экспорта в приложениях, например Отправить в OneNote. |
Настраиваемые права Office: в рамках параметра Полный доступ . Имя на портале Microsoft Purview: Сохранить как, Экспортировать (ЭКСПОРТ) Имя в шаблонах AD RMS: экспорт (сохранить как) Константа ИЛИ значение API: MSIPC: IPC_GENERIC_EXPORT L"EXPORT"Пакет SDK для MIP: EXPORT |
| Общее имя: Переадресация Кодировка в политике: FORWARD |
Включает параметр для пересылки сообщения электронной почты и добавления получателей в строки Кому и Копия . Это право не распространяется на документы; только сообщения электронной почты. Не позволяет средству пересылки предоставлять права другим пользователям в рамках действия пересылки. При предоставлении этого права также предоставьте права изменить содержимое, Изменить (общее имя) и дополнительно предоставить право сохранить (общее имя), чтобы убедиться, что зашифрованное сообщение электронной почты не доставлено в виде вложения. Кроме того, укажите эти права при отправке сообщения электронной почты в другую организацию, которая использует клиент Outlook или веб-приложение Outlook. Или для пользователей в вашей организации, которые не могут использовать шифрование Rights Management, так как вы реализовали элементы управления подключением. |
Настраиваемые права Office: запрещено при использовании стандартной политики "Не пересылать ". Имя на портале Microsoft Purview: Forward (FORWARD) Имя в шаблонах AD RMS: Пересылка Константа ИЛИ значение API: MSIPC: IPC_EMAIL_FORWARD L"FORWARD"Пакет SDK для MIP: FORWARD |
| Общее имя: Полный доступ Кодировка в политике: OWNER |
Предоставляет все права на элемент и все доступные действия могут быть выполнены. Включает возможность удаления шифрования и повторного шифрования документа. Обратите внимание, что это право на использование не совпадает с владельцем Rights Management. | Настраиваемые права Office: как настраиваемый параметр "Полный доступ ". Имя на портале Microsoft Purview: полный доступ (OWNER) Имя в шаблонах AD RMS: полный доступ Константа ИЛИ значение API: MSIPC: IPC_GENERIC_ALL L"OWNER"Пакет SDK для MIP: OWNER |
| Общее имя: Печать Кодировка в политике: PRINT |
Включает параметры для печати содержимого. | Настраиваемые права Office: параметр Печать содержимого в пользовательских разрешениях. Параметр не является параметром для каждого получателя. Имя на портале Microsoft Purview: Печать (ПЕЧАТЬ) Имя в шаблонах AD RMS: Печать Константа ИЛИ значение API: MSIPC: IPC_GENERIC_PRINT L"PRINT"Пакет SDK для MIP: PRINT |
| Общее имя: Reply Кодировка в политике: REPLY |
Включает параметр Ответить в почтовом клиенте без разрешения изменений в строках Кому или Копия . При предоставлении этого права также предоставьте права изменить содержимое, Изменить (общее имя) и дополнительно предоставить право сохранить (общее имя), чтобы убедиться, что зашифрованное сообщение электронной почты не доставлено в виде вложения. Кроме того, укажите эти права при отправке сообщения электронной почты в другую организацию, которая использует клиент Outlook или веб-приложение Outlook. Или для пользователей в вашей организации, которые не могут использовать защиту Rights Management, так как вы реализовали элементы управления подключением. | Настраиваемые права Office: неприменимо. Имя в шаблонах AD RMS: Ответить Константа ИЛИ значение API: MSIPC: IPC_EMAIL_REPLYПакет SDK для MIP: REPLY |
| Общее имя: Ответить всем Кодировка в политике: REPLYALL |
Включает параметр Ответить всем в почтовом клиенте, но не позволяет пользователю добавлять получателей в строки Кому или Копия . При предоставлении этого права также предоставьте права изменить содержимое, Изменить (общее имя) и дополнительно предоставить право сохранить (общее имя), чтобы убедиться, что зашифрованное сообщение электронной почты не доставлено в виде вложения. Кроме того, укажите эти права при отправке сообщения электронной почты в другую организацию, которая использует клиент Outlook или веб-приложение Outlook. Или для пользователей в вашей организации, которые не могут использовать службу Azure Rights Management, так как вы реализовали элементы управления подключением. | Настраиваемые права Office: неприменимо. Имя на портале Microsoft Purview: Ответить всем (REPLY ALL) Имя в шаблонах AD RMS: Ответить всем Константа ИЛИ значение API: MSIPC: IPC_EMAIL_REPLYALL L"REPLYALL"Пакет SDK для MIP: REPLYALL |
| Общее имя: View, Open, Read Кодировка в политике: VIEW |
Позволяет пользователю открыть документ и просмотреть содержимое. Также: — В Microsoft 365 Copilot и других приложениях ИИ позволяет LLM ссылаться на элемент со ссылкой, но без суммирования содержимого, поэтому пользователь может открывать и просматривать содержимое вне приложения ИИ. В Excel этого права недостаточно для сортировки данных. Для этого требуется следующее право: Изменить содержимое, Изменить. Для фильтрации данных в Excel требуются следующие два права: Изменить содержимое, Изменить и Копировать. |
Настраиваемые права Office. В качестве параметра "Чтение " настраиваемой политики ", "Просмотр ". Имя на портале Microsoft Purview: View, Open, Read (VIEW) Имя в шаблонах AD RMS: Чтение Константа ИЛИ значение API: MSIPC: IPC_GENERIC_READ L"VIEW"Пакет SDK для MIP: VIEW |
| Общее имя: Copy Кодировка в политике: EXTRACT |
Включает параметры для копирования данных (включая снимки экрана) из элемента в тот же или другой элемент. Также: — В Microsoft 365 Copilot и других приложениях ИИ позволяет LLM получать доступ к содержимому запрашивающего пользователя и суммировать его. — В некоторых приложениях это право также позволяет сохранить весь документ в незашифрованном виде. В Microsoft Teams и аналогичных приложениях для совместного использования экрана выступающий должен иметь это право, чтобы успешно представить зашифрованный документ. Если выступающий не имеет этого права, участники не смогут просматривать документ, и он отображается как затемненный для них. |
Настраиваемые права Office. Как параметр пользовательской политики Разрешить пользователям с доступом на чтение копировать содержимое . Имя на портале Microsoft Purview: Copy (EXTRACT) Имя в шаблонах AD RMS: Извлечение Константа ИЛИ значение API: MSIPC: IPC_GENERIC_EXTRACT L"EXTRACT"Пакет SDK для MIP: EXTRACT |
| Общее имя: "Права просмотра" Кодировка в политике: VIEWRIGHTSDATA |
Позволяет пользователю просматривать политику, применяемую к документу. Не поддерживается приложениями Office или клиентом Защита информации Microsoft Purview. | Настраиваемые права Office: не реализовано. Имя на портале Microsoft Purview: Просмотр прав (VIEWRIGHTSDATA). Имя в шаблонах AD RMS: просмотр прав Константа ИЛИ значение API: MSIPC: IPC_READ_RIGHTS L"VIEWRIGHTSDATA"Пакет SDK для MIP: VIEWRIGHTSDATA |
| Общее имя: Изменение прав Кодировка в политике: EDITRIGHTSDATA |
Позволяет пользователю изменять политику, применяемую к документу. Включает удаление шифрования. Не поддерживается приложениями Office или клиентом Защита информации Microsoft Purview. | Настраиваемые права Office: не реализовано. Имя на портале Microsoft Purview: Права редактирования (EDITRIGHTSDATA). Имя в шаблонах AD RMS: Изменение прав Константа ИЛИ значение API: MSIPC: PC_WRITE_RIGHTS L"EDITRIGHTSDATA"Пакет SDK для MIP: EDITRIGHTSDATA |
| Общее имя: Разрешить макросы Кодировка в политике: OBJMODEL |
Позволяет запускать макросы или осуществлять другой программный или удаленный доступ к содержимому в документе. | Настраиваемые права Office: как параметр разрешить программный доступ настраиваемой политики. Параметр не является параметром для каждого получателя. Имя на портале Microsoft Purview: Разрешить макросы (OBJMODEL) Имя в шаблонах AD RMS: Разрешить макросы Константа ИЛИ значение API: MSIPC: Не реализовано. Пакет SDK для MIP: OBJMODEL |
Права, включенные в уровни разрешений
Некоторые приложения группируют права использования по уровням разрешений, чтобы упростить выбор прав использования, которые обычно используются вместе. Эти уровни разрешений помогают абстрагировать уровень сложности от пользователей, чтобы они могли выбирать параметры на основе ролей. Например, средство просмотра и ограниченные Редактор. Хотя эти параметры часто показывают пользователям сводку прав, они могут не включать все права, перечисленные в предыдущей таблице.
Используйте следующую таблицу, чтобы получить список этих уровней разрешений и полный список содержащихся в них прав на использование. Права на использование перечислены по общему имени.
| Уровень разрешений | Приложения | Включены права на использование |
|---|---|---|
| Просмотр | Портал Microsoft Purview клиент Защита информации Microsoft Purview |
Просмотр, открытие, чтение; Просмотр прав; Ответ [1]; Ответить всем [1]; Разрешить макросы [2] Примечание. Для сообщений электронной почты используйте проверяющий, а не этот уровень разрешений, чтобы гарантировать, что ответ по электронной почте получен в виде сообщения электронной почты, а не вложения. Рецензент также требуется при отправке сообщения электронной почты в другую организацию, которая использует клиент Outlook или веб-приложение Outlook. Или для пользователей в вашей организации, которые не могут использовать службу Azure Rights Management, так как вы реализовали элементы управления подключением. |
|
Ограниченные Редактор (Ранее рецензент[3]) |
Портал Microsoft Purview клиент Защита информации Microsoft Purview |
Просмотр, открытие, чтение; Спасать; Изменить содержимое, Изменить; Просмотр прав; Ответить: ответить всем; Вперёд; Разрешить макросы [2] |
|
Редактор (ранее соавтор[3]) |
Портал Microsoft Purview клиент Защита информации Microsoft Purview |
Просмотр, открытие, чтение; Спасать; Изменить содержимое, Изменить; Копировать; Просмотр прав; Разрешить макросы [2]; Сохранить как, экспортировать [4]; Печатать; Ответ; Ответить всем; Вперёд |
|
Owner (ранее совладельцем[3]) |
Портал Microsoft Purview клиент Защита информации Microsoft Purview |
Просмотр, открытие, чтение; Спасать; Изменить содержимое, Изменить; Копировать; Просмотр прав; Изменение прав; Разрешить макросы; Сохранить как, экспортировать; Печатать; Ответ; Ответить всем; Вперёд; Полный доступ |
Сноска 1
Не входит на портал Microsoft Purview.
Сноска 2
Не включено в диалоговое окно настраиваемых разрешений в Word, Excel и PowerPoint для Windows (версия 2408 и выше).
Сноска 3
На портале Microsoft Purview и в диалоговом окне настраиваемых разрешений в Word, Excel и PowerPoint для Windows (версия 2411+) обновлено именование уровней разрешений. Рецензент теперь называется ограниченным Редактор, совместный автор теперь называется Редактор, а совладельцем — владелец. Другие приложения по-прежнему используют исходный уровень именования разрешений.
Сноска 4
Не входит на портал Microsoft Purview.
Параметр "Не пересылать" для сообщений электронной почты
Клиенты и службы Exchange (например, клиент Outlook, Outlook в Интернете, правила потока обработки почты Exchange и действия защиты от потери данных для Exchange) имеют дополнительный параметр защиты прав на информацию для электронной почты: Не пересылать.
Хотя этот параметр отображается для пользователей (и администраторов Exchange), как будто это шаблон управления правами по умолчанию, который они могут выбрать, "Не пересылать " не является шаблоном. Вместо этого параметр Не пересылать — это набор прав на использование, который динамически применяется пользователями к получателям электронной почты.
Если к электронной почте применяется параметр "Не пересылать ", это сообщение шифруется, и получатели должны пройти проверку подлинности. Затем получатели не смогут пересылать его, распечатать или скопировать из него. Например, в клиенте Outlook кнопка "Переслать" недоступна, параметры меню "Сохранить как" и "Печать" недоступны, и вы не можете добавлять или изменять получателей в полях "Кому", "Копия" или "Ск".
Незашифрованные документы Office , прикрепленные к электронной почте, автоматически наследуют те же ограничения. К этим документам применяются права на использование: Изменить содержимое, Изменить; Сохранить; Просмотр, открытие, чтение; и Разрешить макросы. Если вам нужны другие права на использование для вложения или вложение не является документом Office, поддерживающим это унаследованное шифрование, зашифруйте файл, прежде чем вложить его в сообщение электронной почты. Затем можно назначить определенные права на использование, необходимые для файла.
Разница между не пересылать и отсутствием права на использование пересылки
Существует важное различие между применением параметра "Не пересылать " и применением шаблона управления правами, который не предоставляет право переадресации электронной почты: параметр "Не пересылать " использует динамический список авторизованных пользователей, основанный на выбранных пользователем получателях исходного сообщения электронной почты; в то время как права в шаблоне имеют статический список авторизованных пользователей, указанный ранее администратором. Какая разница? Рассмотрим пример:
Пользователь хочет отправить по электронной почте некоторые сведения определенным сотрудникам отдела маркетинга, которые не должны предоставляться никому. Должны ли они защитить сообщение электронной почты с помощью шаблона управления правами, который ограничивает права (просмотр, ответ и сохранение) для отдела маркетинга? Или они должны выбрать параметр Не пересылать ? Оба варианта приводят к тому, что получатели не смогут пересылать сообщение электронной почты.
Если шаблон применен, получатели по-прежнему могут делиться информацией с другими сотрудниками отдела маркетинга. Например, получатель может использовать Обозреватель для перетаскивания сообщения электронной почты в общее расположение или НА USB-накопитель. Теперь любой пользователь из отдела маркетинга (и владелец электронной почты), имеющий доступ к этому расположению, может просмотреть информацию в сообщении электронной почты.
Если они применили параметр Не пересылать , получатели не смогут поделиться информацией с кем-либо еще в отделе маркетинга, переместив сообщение электронной почты в другое место. В этом сценарии только исходные получатели (и владелец электронной почты) смогут просматривать сведения в сообщении электронной почты.
Примечание.
Используйте параметр Не пересылать , если важно, чтобы только получатели, выбранные отправителем, видели сведения в сообщении электронной почты. Используйте шаблон для сообщений электронной почты, чтобы ограничить права группы пользователей, которые администратор указывает заранее, независимо от выбранных получателей отправителя.
Параметр "Только шифрование" для сообщений электронной почты
Когда Exchange Online использует Шифрование сообщений Microsoft Purview, становится доступен новый параметр Шифрование электронной почты, который позволяет шифровать данные без дополнительных ограничений.
Этот параметр доступен для клиентов, использующих Exchange Online, и его можно выбрать следующим образом:
- В Outlook в Интернете с параметром Encrypt или меткой конфиденциальности, настроенной для предоставления пользователям разрешений и параметра Только шифрование.
- В качестве еще одного варианта защиты прав для правила потока обработки почты
- Как действие защиты от потери данных Microsoft Purview
-
В приложении Outlook для настольных компьютеров и мобильных устройств:
- С меткой конфиденциальности, настроенной для параметра Разрешить пользователям назначать разрешения и параметр Только шифрование , для Windows, macOS, iOS и Android при использовании меток конфиденциальности с минимальными версиями, перечисленными в таблице для возможностей меток конфиденциальности в Outlook.
- С параметром Шифровать в Windows и macOS для версий, перечисленных в таблице поддерживаемых версий для Приложения Microsoft 365 по каналу обновления.
Дополнительные сведения о параметре только для шифрования см. в следующей записи блога, когда она была впервые объявлена командой Office: Шифрование только развертывание в Office 365 шифрование сообщений.
Если выбран этот параметр, сообщение электронной почты шифруется и получатели должны пройти проверку подлинности. Затем получатели имеют все права на использование, кроме сохранения как, экспорта и полного доступа. Такое сочетание прав на использование означает, что получатели не имеют ограничений, за исключением того, что они не могут удалить шифрование. Например, получатель может копировать фрагменты из сообщения электронной почты, распечатать его, а также перенаправить.
Аналогичным образом, по умолчанию незашифрованные документы Office , вложенные в сообщение электронной почты, наследуют те же разрешения. Эти документы автоматически шифруются, и при скачивании они могут сохраняться, редактироваться, копироваться и печататься из приложений Office получателями. Когда документ сохраняется получателем, он может быть сохранен в новом имени и даже в другом формате. Однако доступны только форматы файлов, поддерживающие шифрование Rights Management, поэтому документ не может быть сохранен без исходного шифрования. Если вам нужны другие права на использование для вложения или вложение не является документом Office, поддерживающим это унаследованное шифрование, зашифруйте файл, прежде чем вложить его в сообщение электронной почты. Затем можно назначить определенные права на использование, необходимые для файла.
Кроме того, можно изменить это шифрование наследования документов, указав Set-IRMConfiguration -DecryptAttachmentForEncryptOnly $trueс помощью Exchange Online PowerShell. Используйте эту конфигурацию, если не нужно сохранять исходное шифрование документа после проверки подлинности пользователя. Когда получатели открывают сообщение электронной почты, документ не шифруется.
Примечание.
Если вы видите ссылки на DecryptAttachmentFromPortal, этот параметр теперь не рекомендуется использовать для Set-IRMConfiguration. Если вы ранее не задали этот параметр, он недоступен.
Автоматическое шифрование документов PDF с помощью Exchange Online
Если Exchange Online использует Шифрование сообщений Microsoft Purview, вы можете автоматически шифровать PDF-документы при их присоединении к зашифрованному сообщению электронной почты. Документ наследует те же разрешения, что и для сообщения электронной почты. Чтобы включить эту конфигурацию, задайте параметр EnablePdfEncryption $True с помощью Set-IRMConfiguration.
Получатели могут использовать Microsoft Edge для просмотра зашифрованного документа PDF. Кроме того, получатели могут прочитать зашифрованный PDF-документ на портале OME.
Издатель Rights Management и владелец Rights Management
Когда элемент шифруется с помощью службы Azure Rights Management, учетная запись, которая шифрует это содержимое, автоматически становится издателем Rights Management для этого содержимого. Эта учетная запись регистрируется как поле издателя в журналах использования.
Издателю Rights Management всегда предоставляется право на использование полного доступа для элемента, а также:
Если параметры шифрования включают дату окончания срока действия, издатель Rights Management по-прежнему может открыть и изменить документ или сообщение электронной почты после этой даты.
Издатель в службе управления правами всегда может получить доступ к документу или электронной почте в режиме автономной работы.
Издатель в службе управления правами по-прежнему может открывать документ после того, как тот будет отозван.
По умолчанию эта учетная запись также является владельцем Rights Management для этого содержимого, что происходит, когда пользователь, создавший элемент, инициирует шифрование. Но есть некоторые сценарии, в которых администратор или служба могут шифровать содержимое от имени пользователей. Например:
Администратор выполняет массовое шифрование файлов в общей папке. Учетная запись администратора в Microsoft Entra идентификаторе шифрует документы для пользователей.
Соединитель Rights Management шифрует документы Office в папке Windows Server. Учетная запись субъекта-службы в Microsoft Entra идентификаторе, созданном для соединителя Rights Management, шифрует документы для пользователей.
В этих сценариях издатель Rights Management может назначить владельца Rights Management другой учетной записи с помощью пакетов SDK microsoft Information Protection или PowerShell. Например, при использовании командлета PowerShell Set-LabelFile с клиентом Защита информации Microsoft Purview можно указать параметр Owner, чтобы назначить владельца Rights Management другой учетной записи.
Когда издатель Rights Management шифрует от имени пользователей, назначение владельца Rights Management гарантирует, что владелец исходного элемента имеет тот же уровень управления зашифрованным содержимым, как если бы он сам инициировал шифрование.
Например, пользователь, создавший документ, может распечатать его, даже если теперь он помечен параметрами шифрования, которые не включают право на использование печати. Один и тот же пользователь всегда может получить доступ к документу, независимо от параметра автономного доступа или даты окончания срока действия, которые могли быть настроены в параметрах шифрования. Кроме того, так как владелец Rights Management имеет право на использование полного доступа, этот пользователь также может повторно зашифровать документ, чтобы предоставить дополнительный доступ пользователям (после чего пользователь становится издателем Rights Management и владельцем Rights Management), и этот пользователь может даже удалить шифрование. Однако только издатель Rights Management может отслеживать и отзывать документ.
Владелец Rights Management для элемента регистрируется как поле электронной почты владельца в журналах использования.
Примечание.
Владелец Rights Management не зависит от владельца файловой системы Windows. Они часто совпадают, но могут отличаться, даже если вы не используете пакеты SDK или PowerShell.
Лицензия на управление правами
Когда пользователь открывает элемент, зашифрованный службой Azure Rights Management, пользователю предоставляется лицензия на использование Rights Management для этого содержимого. Эта лицензия на использование представляет собой сертификат, содержащий права пользователя на использование элемента и ключ шифрования, который использовался для шифрования содержимого. Лицензия на использование также содержит дату окончания срока действия, если она установлена, и срок действия лицензии на использование.
Пользователь должен иметь действительную лицензию на использование, чтобы открыть содержимое в дополнение к сертификату учетной записи прав (RAC), который является сертификатом, который предоставляется при инициализации пользовательской среды , а затем продлевается каждые 31 день.
В течение срока действия лицензии на использование пользователь не будет повторно авторизации или повторно авторизации для содержимого. Это позволяет пользователю продолжать открывать зашифрованный элемент без подключения к Интернету. По истечении срока действия лицензии на использование в следующий раз, когда пользователь обращается к зашифрованным элементам, пользователь должен пройти повторную проверку подлинности и повторно авторизации.
При шифровании элементов с помощью метки конфиденциальности, определяющей параметры шифрования, эти параметры можно изменить в метке конфиденциальности без необходимости повторного шифрования содержимого. Если пользователь уже получил доступ к содержимому, изменения вступают в силу после истечения срока действия лицензии на использование. Однако если пользователи сами применяют разрешения (также известные как пользовательские разрешения, пользовательские разрешения или нерегламентированную политику прав) и эти разрешения необходимо изменить после шифрования элемента, это содержимое должно быть зашифровано снова с новыми разрешениями. Определяемые пользователем разрешения для сообщения электронной почты реализуются с помощью параметра Не пересылать.
Срок действия лицензии на использование по умолчанию для клиента составляет 30 дней. Это значение можно настроить с помощью командлета PowerShell Set-AipServiceMaxUseLicenseValidityTime. Можно настроить более строгий параметр при применении шифрования с помощью метки конфиденциальности, настроенной для назначения разрешений, или шаблона управления правами:
При настройке метки конфиденциальности срок действия лицензии на использование принимает значение из параметра Разрешить автономный доступ .
Дополнительные сведения и рекомендации по настройке этого параметра для метки конфиденциальности см. в таблице рекомендаций из инструкций по настройке разрешений для метки конфиденциальности.
При настройке шаблона управления правами с помощью PowerShell срок действия лицензии на использование принимает значение из параметра LicenseValidityDuration в командлетах Set-AipServiceTemplateProperty и Add-AipServiceTemplate .
Дополнительные сведения и рекомендации по настройке этого параметра с помощью PowerShell см. в справке по каждому командлету.