průvodce Správa istrator: Sledování a odvolávání přístupu k dokumentům pomocí služby Azure Information Protection

  • Článek

Poznámka:

Hledáte Microsoft Purview Information Protection, dříve Microsoft Information Protection (MIP)?

Doplněk Azure Information Protection pro Office je teď v režimu údržby a bude vyřazen z dubna 2024. Místo toho doporučujeme používat popisky, které jsou integrované v aplikacích a službách Office 365, které také podporují sledování a odvolávání přístupu k dokumentům.

Sledování dokumentů poskytuje správcům informace o tom, kdy byl k chráněnému dokumentu přistupovat Správa istrator nebo globální Správa istrator služby Azure Rights Management. V případě potřeby můžou správci i uživatelé odvolat přístup k dokumentům pro sledované dokumenty.

Ve verzích 2.9.111.0 nebo novějších se všechny chráněné dokumenty Office, které ještě nejsou zaregistrované ke sledování, automaticky zaregistrují při příštím otevření prostřednictvím klienta sjednoceného popisování AIP. Chráněné dokumenty jsou podporovány pro sledování a odvolávání, i když nejsou označené.

Registrace dokumentu pro sledování umožňuje správcům sledovat podrobnosti o přístupu, včetně úspěšných událostí přístupu a odepřených pokusů, a v případě potřeby odvolat přístup.

Poznámka:

Funkce sledování a odvolání přístupu jsou podporované jenom pro typy souborů Office.

Chráněné dokumenty jsou podporovány pro sledování a odvolávání, i když nejsou označené.

Sledování přístupu k dokumentům

Správa můžou sledovat přístup k chráněným dokumentům přes PowerShell pomocí ID obsahu vygenerované pro chráněný dokument během registrace.

Zobrazení podrobností o přístupu k dokumentu:

K vyhledání podrobností o dokumentu, který chcete sledovat, použijte následující rutiny:

  1. Najděte hodnotu ContentID dokumentu, který chcete sledovat.

    Pomocí get-AipServiceDocumentLog vyhledejte dokument pomocí názvu souboru nebo e-mailové adresy uživatele, který použil ochranu.

    Například;

    Get-AipServiceDocumentLog -ContentName "test.docx" -Owner “alice@contoso.com” -FromTime "12/01/2020 00:00:00" -ToTime "12/31/2020 23:59:59"

    Tento příkaz vrátí ID obsahu pro všechny odpovídající chráněné dokumenty, které jsou registrovány ke sledování.

    Poznámka:

    Chráněné dokumenty se registrují ke sledování při prvním otevření na počítači s nainstalovaným klientem sjednoceného popisování. Pokud tento příkaz nevrátí ID obsahu pro chráněný soubor, otevřete ho na počítači s nainstalovaným klientem sjednoceného popisování a zaregistrujte dokument pro sledování.

  2. K vrácení sledovacích dat použijte rutinu Get-AipServiceTrackingLog s ID obsahu dokumentu.

    Příklad:

    Get-AipServiceTrackingLog -ContentId c03bf90c-6e40-4f3f-9ba0-2bcd77524b87

    Vrátí se data sledování, včetně e-mailů uživatelů, kteří se pokusili o přístup, jestli byl udělen nebo odepřen přístup, čas a datum pokusu o přístup a doménu a umístění, odkud pokus o přístup pochází.

Odvolání přístupu k dokumentu z PowerShellu

Správa mohou odvolat přístup k jakémukoli chráněnému dokumentu uloženému v místních sdílených složkách obsahu pomocí Rutina Set-AIPServiceDocumentRe vyvolána.

  1. Vyhledejte hodnotu ContentID dokumentu, pro který chcete odvolat přístup.

    Pomocí get-AipServiceDocumentLog vyhledejte dokument pomocí názvu souboru nebo e-mailové adresy uživatele, který použil ochranu.

    Příklad:

    Get-AipServiceDocumentLog -ContentName "test.docx" -Owner “alice@contoso.com” -FromTime "12/01/2020 00:00:00" -ToTime "12/31/2020 23:59:59"

    Vrácená data obsahují hodnotu ContentID dokumentu.

    Tip

    Hodnoty ContentID mají jenom dokumenty, které jsou chráněné a registrované ke sledování.

    Pokud váš dokument nemá žádné ID obsahu, otevřete ho na počítači s nainstalovaným klientem sjednoceného popisování a zaregistrujte soubor pro sledování.

  2. K odvolání přístupu použijte Set-AIPServiceDocumentRe vyvolaný s ID obsahu dokumentu.

    Příklad:

    Set-AipServiceDocumentRevoked -ContentId 0e421e6d-ea17-4fdb-8f01-93a3e71333b8 -IssuerName testIssuer

Poznámka:

Pokud je povolený offline přístup , budou mít uživatelé nadále přístup k dokumentům, které byly odvolány, dokud nevyprší období offline zásad.

Tip

Uživatelé můžou také odvolat přístup k dokumentům, u kterých použili ochranu přímo z nabídky Citlivost v aplikace Office. Další informace najdete v uživatelské příručce: Odvolání přístupu k dokumentům pomocí služby Azure Information Protection

Zrušení odvolání přístupu

Pokud jste omylem odvolali přístup k určitému dokumentu, použijte stejnou hodnotu ContentID s rutinou Clear-AipServiceDocumentRevolat přístup.

Pokud chcete použít rutinu Clear-AipServiceDocumentRevoked , musíte nejprve načíst AipService.dll.

Příklad:

Import-Module -Name "C:\Program Files\WindowsPowerShell\Modules\AIPService\1.0.0.4\AipService.dll"
Clear-AipServiceDocumentRevoked -ContentId   0e421e6d-ea17-4fdb-8f01-93a3e71333b8 -IssuerName testIssuer

Přístup k dokumentu se uděluje uživateli, který jste definovali v parametru IssuerName .

Vypnutí funkcí sledování a odvolávání přístupu pro vašeho tenanta

Pokud potřebujete vypnout funkce sledování a odvolávání přístupu pro vašeho tenanta, jako jsou požadavky na ochranu osobních údajů ve vaší organizaci nebo oblasti, proveďte oba následující kroky:

  1. Spusťte rutinu Disable-AipServiceDocumentTrackingFeature .

  2. Nastavte upřesňující nastavení klienta EnableTrackAndRevoke na Hodnotu False.

Sledování dokumentů a možnosti odvolání přístupu jsou pro vašeho tenanta vypnuté:

  • Otevírání chráněných dokumentů pomocí klienta sjednoceného popisování AIP už neregistruje dokumenty ke sledování a odvolávání přístupu.
  • Protokoly přístupu se neukládají, když jsou otevřené chráněné dokumenty, které jsou už zaregistrované. Protokoly přístupu uložené před vypnutím těchto funkcí jsou stále dostupné.
  • Správa nebudou moct sledovat nebo odvolat přístup přes PowerShell a koncoví uživatelé už neuvidíMožnost nabídky Odvolat v jejich aplikace Office

Tip

Pokud chcete sledování a odvolat zpět, nastavte EnableTrackAndRevoke na True a spusťte také rutinu Enable-AipServiceDocumentTrackingFeature .

Vypnutí možnosti odvolání přístupu koncovým uživatelům

Pokud nechcete, aby koncoví uživatelé měli možnost odvolat přístup k chráněným dokumentům ze svých aplikace Office, můžete odebrat možnost Odvolat přístup z vašich aplikace Office.

Poznámka:

Odebráním možnosti Odvolat přístup zůstane vaše chráněné dokumenty sledovány na pozadí a bude mít možnost správce odvolat přístup k dokumentům přes PowerShell.

Pokud chcete odebrat možnost Odvolat přístup z aplikace Office s, nastavte upřesňující nastavení klienta EnableRevokeGuiSupport na Hodnotu False.

Další informace najdete v tématu Uživatelská příručka: Odvolání přístupu k dokumentům pomocí služby Azure Information Protection.

Další kroky

Další informace naleznete v tématu: