關於Document Security about-document-security

Document Security可確保只有授權的使用者才能使用您的檔案。 使用Document Security,您可以安全地散發以支援格式儲存的任何資訊。 支援的檔案格式包括:

  • Adobe PDF檔案
  • Microsoft®Word、Excel和PowerPoint檔案

如需有關原則如何保護受支援檔案型別的詳細資訊,請參閱更多Document Security資訊

使用Document Security,您可以輕鬆建立、儲存及套用預先定義的機密性設定至您的檔案。 為了防止資訊擴散到您觸及的範圍之外,您還可以監視和控制在您分發檔案後收件者如何使用您的檔案。

您可以使用原則來保護檔案。 原則 ​是包含機密性設定和授權使用者清單的資訊集合。您在原則中指定的機密性設定可決定收件者如何使用您套用原則的檔案。 例如,您可以指定收件者是否可以列印或複製文字、編輯文字,或新增簽名和註解至受保護檔案。

Document Security使用者透過一般使用者網頁建立原則。 管理員可使用Document Security網頁建立包含所有授權使用者都可使用的共用原則的原則集。

雖然原則儲存在Document Security中,但您可透過使用者端應用程式將其套用至檔案。 如何套用原則至PDF檔案在​ Acrobat說明 ​中有詳細說明。 使用其他應用程式(例如Microsoft® Office)套用原則,已記錄在該應用程式的​ Acrobat Reader DC擴充功能說明 ​中。

當您套用原則至檔案時,原則中指定的機密性設定會保護檔案所包含的資訊。 機密性設定也會保護PDF檔案中的任何檔案(文字、音訊或視訊)。 您可以將受原則保護的檔案分發給受原則授權的收件者。

檔案存取控制與稽核

使用原則來保護檔案,可讓您持續控制該檔案,即使在分發檔案之後也是如此。 您可以監視檔案、變更原則、防止使用者繼續存取檔案,以及切換套用至檔案的原則。

透過Document Security,您可以監視受原則保護的檔案並追蹤事件,例如當授權或未經授權的使用者嘗試開啟檔案時。

元件

Document Security由伺服器和使用者介面組成:

伺服器: Document Security執行交易的中央元件,例如使用者驗證、即時管理原則以及機密性應用。 伺服器也提供原則、稽核記錄及其他相關資訊的中央存放庫。

網頁: ​您用來建立原則、管理受原則保護檔案及監視與受原則保護檔案相關之事件的介面。 管理員也可以設定全域選項,例如受邀使用者的使用者驗證、稽核和傳訊,以及管理受邀的使用者帳戶。

rm_psworkflow

圖中的步驟如下:

  1. 檔案擁有者會使用網頁建立原則。 檔案擁有者可以建立僅供他們存取的個人原則。 管理員和原則組專員可以在經授權的使用者可存取的原則組內建立共用原則。
  2. 檔案擁有者會套用原則,然後儲存並分發檔案。 檔案可以透過電子郵件、網路資料夾或網站來分發。
  3. 收件者會在適當的使用者端應用程式中開啟檔案。 收件者可以根據其原則使用檔案。
  4. 檔案擁有者、原則集協調員或管理員可以使用網頁追蹤檔案並修改對檔案的存取權。

關於Document Security使用者 about-document-security-users

各種型別的使用者與Document Security合作,以完成不同的任務:

  • 系統管理員或其他資訊系統(IS)人員會安裝和設定檔案安全性。 此人也可能負責設定伺服器、網頁、原則及檔案的全域設定。

    例如,這些設定可能包括基本Document Security URL、稽核和隱私權通知、受邀使用者註冊通知和預設離線租期。

  • Document Security管理員會建立原則和原則集,並根據需要管理使用者受原則保護的檔案。 他們也會建立受邀使用者帳戶,並監視系統、檔案、使用者、原則、原則集和自訂事件。 他們也可能負責設定全域伺服器,以及系統管理員的網頁和原則設定。

    管理員可在管理控制檯的「使用者管理」區域中,為使用者指派下列角色。 被指派這些角色的使用者會在管理控制檯的Document Security使用者介面區域中執行其任務。

    Document Security超級管理員

    具有此角色的使用者可以存取管理控制檯中的所有檔案安全性設定。 這些許可權與角色相關聯:

    • 管理設定
    • 管理原則
    • 管理原則集
    • 管理檔案
    • 管理檔案發佈者
    • 管理受邀和本機使用者
    • 檢視事件
    • 委派
    • 邀請外部使用者

    Document Security管理員

    具有此角色的使用者可以使用管理控制檯的Document Security區段中的設定頁面來設定Document Security伺服器。 此許可權與角色「管理設定」相關聯。

    note note
    NOTE
    具有此角色的使用者也必須具有管理主控台使用者角色,才能登入管理主控台並編輯任何組態相關設定。

    Document Security原則集管理員

    具有此角色的使用者可以使用Administration Console的Document Security區段來編輯其他使用者的原則,以及建立、編輯和刪除原則集。 當原則集管理員建立原則集時,他們可以將原則集協調員指派給該原則集。 這些許可權與角色相關聯:

    • 管理原則
    • 管理原則集
    • 管理檔案
    • 管理檔案發佈者
    • 檢視事件
    • 委派
    note note
    NOTE
    具有此角色的使用者也必須具有管理主控台使用者角色,才能登入管理主控台並編輯任何組態相關設定。

    Document Security管理受邀和本機使用者

    具有此角色的使用者可以執行在相關Document Security網頁上管理所有受邀和本地使用者所需的工作。 這些許可權與角色相關聯:

    • 管理受邀和本機使用者
    • 邀請外部使用者
    • 存取一般使用者網頁
    note note
    NOTE
    具有此角色的使用者也必須具有管理主控台使用者角色,才能登入管理主控台並編輯任何組態相關設定。

    Document Security邀請使用者

    具有此角色的使用者可以邀請使用者。 這些許可權與角色相關聯:

    • 邀請外部使用者
    • 存取一般使用者網頁

    Document Security使用者

    具有此角色的使用者可以存取Document Security一般使用者網頁。 也可以將此角色指派給管理員,讓管理員使用一般使用者頁面建立原則。 此許可權與角色存取一般使用者網頁相關聯。

  • 組織內擁有有效Document Security帳戶的使用者可建立自己的原則、使用原則來保護檔案、追蹤和管理其受原則保護的檔案,以及監控與其檔案相關的事件。

  • 原則組協調員管理檔案、檢視事件,以及(根據其許可權)管理其他原則組協調員。 管理員指定使用者作為特定原則集的原則集協調員。

  • 如果您組織外部的使用者(例如業務合作夥伴)位於Document Security目錄中、管理員為其建立帳戶,或透過自動電子郵件邀請流程註冊Document Security,則他們可以使用受原則保護的檔案。 視管理員啟用存取設定的方式而定,受邀使用者也可能具有將原則套用至檔案的許可權、建立、修改和刪除其原則的許可權,以及邀請其他外部使用者使用其受原則保護的檔案的許可權。

  • 開發人員使用AEM Forms SDK來整合自訂應用程式與Document Security。

Document Security管理員可以在「使用者管理」中使用以下許可權來建立自訂角色:

  • Document Security管理設定
  • Document Security管理受邀和本地使用者
  • Document Security管理原則集
  • Document Security管理原則集
  • Document Security檢視伺服器事件
  • Document Security變更原則所有者

原則和受原則保護的檔案 policies-and-policy-protected-documents

原則 ​定義了一組機密性設定,以及可以存取套用原則之檔案的使用者。 原則也可讓檔案的許可權動態變更。 它可授予檔案保護者變更機密性設定的許可權,以撤銷對檔案的存取權或切換原則。

原則保護可透過使用Adobe Acrobat® Pro和Acrobat Standard套用至PDF檔案。 原則保護可套用至其他檔案型別,例如Microsoft®Word、Excel和PowerPoint檔案,方法是使用已安裝適當Acrobat Reader DC擴充功能的使用者端應用程式。

原則如何運作 how-policies-work

原則包含授權使用者的相關資訊,以及套用至檔案的機密性設定。 使用者可以是您組織中的任一人,或者是擁有帳戶的組織外部人員。 如果管理員啟用使用者邀請功能,甚至可以將新使用者新增到原則中,因此可以啟動註冊邀請電子郵件程式。

原則中的機密性設定可決定收件者如何使用檔案。 例如,您可以指定收件者是否可以列印或複製文字、進行變更,或將簽名和註解新增至受保護檔案。 相同的原則也可以為特定使用者指定不同的機密性設定。

NOTE
透過原則套用的機密性設定會覆寫可能已透過密碼或憑證安全性選項套用到Acrobat中PDF檔案的所有設定。 (如需詳細資訊,請參閱Acrobat說明。)

使用者和管理員會透過Document Security網頁建立原則。 一次只能將一個原則套用到檔案。 您可以使用下列其中一種方法來套用原則:

  • 在Acrobat或其他使用者端應用程式中開啟檔案,並選取保護檔案安全的原則。
  • 在Microsoft® Outlook中傳送檔案作為電子郵件附件。 在這種情況下,您可以從原則清單中選取原則。 或者,您可以選取Acrobat以預設機密性設定集建立並自動產生的原則,以僅為電子郵件收件者保護檔案。

可以使用使用者端應用程式從檔案中移除一項原則。

rm_psonline_policy

圖表中的步驟如下:

  1. 檔案擁有者會使用允許線上使用的原則,從支援的使用者端應用程式保護檔案。
  2. Document Security會建立檔案授權和檔案金鑰,並將原則加密。 檔案授權、加密原則及檔案金鑰會傳回至使用者端應用程式。
  3. 檔案會使用檔案金鑰加密,且會捨棄檔案金鑰。 檔案現在內嵌授權和原則。 這些工作會在支援的使用者端應用程式中執行。

當您套用原則至檔案時,其中包含的資訊,包括PDF檔案中任何包含的檔案(文字、音訊或視訊),會受原則中指定的機密性設定保護。 Document Security會產生授權和加密資訊,然後將其嵌入檔案中。 當您分發檔案時,Document Security可以驗證嘗試開啟檔案的收件者,並根據原則中指定的許可權授權存取。

如果已啟用離線使用,收件者也可以在原則所指定期間離線使用受原則保護的檔案(沒有作用中的網際網路或網路連線)。

受原則保護檔案的運作方式 how-policy-protected-documents-work

若要開啟和使用受原則保護的檔案,原則必須包含您的姓名作為收件者,並且您必須擁有有效的Document Security帳戶。 若是PDF檔案,您需要Acrobat或Adobe Reader®。 若是其他檔案型別,您需要安裝有Acrobat Reader DC副檔名的檔案適用應用程式。

當您開啟受原則保護的檔案時,Acrobat、Adobe Reader或Acrobat Reader DC擴充功能會連線至Document Security以驗證您的身分。 接著,您可以繼續登入。 如果正在稽核檔案使用情況,則會顯示通知訊息。 在Document Security決定要授予哪些檔案許可權後,它會管理檔案的解密。 然後,您可以根據原則機密性設定使用檔案。

rm_psopen_online

圖表中的步驟如下:

  1. 檔案使用者會在支援的使用者端應用程式中開啟檔案,並使用伺服器進行驗證。 檔案識別碼會傳送至Document Security伺服器。
  2. Document Security可驗證使用者、檢查授權原則並建立憑單。 憑單(包含檔案金鑰和許可權)會傳回給使用者端應用程式。
  3. 檔案會使用檔案金鑰解密,且會捨棄檔案金鑰。 然後,可以根據原則的機密性設定使用檔案。 這些工作會在支援的使用者端應用程式中執行。

您可以在下列條件下繼續使用檔案:

  • 無限期或在原則中指定的有效期間
  • 直到管理員或套用原則的人撤銷檔案的存取權或變更原則為止

如果原則允許離線存取,您也可以離線使用受原則保護的檔案(沒有網際網路或網路連線)。 首先登入Document Security以同步檔案。 然後,您可以在原則中指定的離線租期期間使用檔案。

離線租賃期結束時,請上線並開啟受原則保護的檔案或使用使用者端應用程式中的命令,再次將檔案與Document Security同步。 如需詳細資訊,請參閱​ Acrobat說明 ​或適當的​ Acrobat Reader DC擴充功能說明

如果您使用「儲存」或「另存新檔」選單命令儲存受原則保護檔案的復本,則會自動套用原則並強制用於新檔案。 嘗試開啟新檔案之類的事件也會針對原始檔案進行稽核和記錄。

原則集 policy-sets

原則集 ​用於將具有共同業務目的的一組原則分組。 然後,這些原則集將可供系統中的部分使用者使用。

每個原則集可以有一或多個關聯的原則集協調員。 原則集協調員是管理員或擁有更多許可權的使用者。 原則組協調員 ​通常是組織內的專家,可以最好地編寫特定原則組中的原則。

原則集協調員可以執行以下工作:

  • 建立原則
  • 編輯和刪除原則集中的任何原則
  • 編輯原則集設定
  • 新增和移除原則集協調員
  • 檢視原則集內任何原則或檔案的原則和檔案事件
  • 撤銷檔案的存取權
  • 切換檔案的原則。
NOTE
您可使用getAllPolicysetnames() API從資料庫擷取最多1000個原則集名稱。

原則集是由管理員和具有許可權的原則集專員在Document Security管理網頁中建立和刪除的。

原則集可供有限數量的使用者使用,方法是指定網域中的哪些使用者或群組可以使用原則集的原則來保護檔案。

安裝Document Security時,會建立名為​ 全域原則集 ​的預設原則集。 安裝軟體的管理員負責管理這個原則集。

最佳做法 best-practices

原則是可套用至各種檔案的一組可重複使用的許可權和使用者群組。 適用於受保護的檔案。 這些原則可確保只有授權的使用者才能使用允許的功能。 政策和原則集的數量預期會隨著部門內不同使用者角色和檔案的增加而增加。 若要建立和管理原則,以下是一些考量事項和最佳實務:

  • 建立可重複使用的原則: Adobe建議在各種檔案中重複使用原則。 它有助於將原則數量維持在最小,提供最佳效能,並使原則管理更容易。 若要建立可重複使用的原則:
  1. 識別並定義部門與組織層次的存取控制需求。

  2. 建立使用者群組並將使用者新增至這些群組。

  3. 建立原則集。

  4. 開啟原則集並建立原則。 新增使用者群組並設定原則的機密性(存取控制)設定。

將使用者群組新增至原則,而非個別使用者。 這可讓您更輕鬆地管理原則並套用至許多使用者。

  • 建立自訂原則集: ​原則集將多個原則合併為一個可管理的實體。 為您的組織或部門建立自訂原則集,使用這些原則集來群組相關原則,並讓系統中的部分使用者可以使用它們。

    使用原則集可以更輕鬆地將相關原則指派和管理給組織或部門中的特定使用者。 例如,財務與人力資源部門的個別原則集可協助您輕鬆管理相關原則,並將其套用至指定給相應部門的檔案。

  • 使用外部授權器以動態方式套用許可權: ​您可以使用外部授權器根據外部條件評估及動態套用許可權。 根據外部條件以動態方式評估許可權時,您可以:

    • 為您組織中的檔案提供集中式存取控制。

    • 動態判斷使用者是否可以存取受原則保護的檔案,藉此控制對受原則保護檔案的存取權。 例如,動態地決定使用者是否可以列印受原則保護的檔案。

    • 使用內容管理系統所使用的存取控制機制,以及標準原則評估程式。 例如,當服務決定使用者是否可以列印受原則保護的檔案時,它可以使用標準原則評估程式。 此外,它也可以使用您的內容管理系統所使用的存取控制機制。

    雖然您可以使用外部授權處理常式完全取代Document Security原則評估程式,但建議您使用外部授權處理常式來評估原則程式。 因此,檔案存取可受內容管理系統使用的相同控制機制控制。 例如,當Document Security服務確定使用者是否可以列印受原則保護的檔案時,它會使用標準原則評估程式。 它也會使用您的內容管理系統所使用的存取控制機制。 如需詳細資訊,請參閱建立外部授權處理常式

  • 將原則集保留為有限的數目: ​有幾個因素會導致原則與原則集持續成長。 常見因素包括:

    • 一段時間內組織內的使用者角色、部門和檔案的增加。
    • 組織的部門會單獨工作,並嚴格控制部門特定的政策。 它會在組織內導向相同的原則。

    Adobe建議將原則和原則集的數量維持在最小。 它有助於輕鬆管理原則和原則集,並提供更好的效能。 若要將數字維持在最小值:

    • 建立可重複使用的原則。 這些原則可以在多個部門之間共用。
    • 如果某些原則套用至多個部門,而不是每個部門的個別原則集,請考慮建立全組織的原則集。
    • 原則集中的群組相關原則。 不要為每個原則建立個別的原則集。
    • 使用外部授權者來動態控制使用者許可權。
    note note
    NOTE
    您可以使用getAllPolicysetnames() API來擷取最多1000個原則集名稱。 在內部,API會擷取API叫用程式具有檔案發佈者許可權的最多1000個原則,然後建立與擷取之原則相關的唯一原則集名稱清單,並傳回給您。 例如,當API擷取1000個原則,且擷取的原則與總共200個原則集相關聯時,API只會傳回200個原則集名稱。
recommendation-more-help
19ffd973-7af2-44d0-84b5-d547b0dffee2