Administratorhandbuch: Konfigurieren und Verwenden der Dokumentkontrolle für den Rights Management Service-Schutz über das alte Portal

  • Artikel

Hinweis

Die ältere Seite für die Azure Information Protection-Dokumentkontrolle wird nur für den klassischen Client und nicht für den Unified Labeling-Client unterstützt. Weitere Informationen finden Sie unter Entfernte und eingestellte Dienste.

Die neuesten Anleitungen finden Sie unter Nachverfolgen und Widerrufen des Dokumentzugriffs.

Bei Verwendung eines Abonnements, das die Dokumentkontrolle unterstützt, ist die Website für die Dokumentkontrolle standardmäßig für alle Benutzer in Ihrer Organisation aktiviert. Durch die Dokumentkontrolle erhalten Benutzer und Administratoren Informationen dazu, wann auf ein geschütztes Dokument zugegriffen wird und ob ein nachverfolgtes Dokument ggf. gesperrt werden kann.

Verwenden von PowerShell zum Verwalten der Website zur Dokumentkontrolle

Die folgenden Abschnitte enthalten Informationen dazu, wie Sie die Website zur Dokumentkontrolle über PowerShell verwalten können. Installationsanweisungen für das PowerShell-Modul finden Sie unter Installation des AIPService PowerShell-Moduls.

Weitere Informationen zu den einzelnen Cmdlets finden Sie unter den bereitgestellten Links.

Steuerung des Datenschutzes für Ihre Website für die Dokumentkontrolle

Wenn das Anzeigen aller Dokumentkontrollinformationen in Ihrer Organisation aufgrund von Datenschutzanforderungen nicht zulässig ist, können Sie die Dokumentkontrolle mithilfe des Cmdlets Disable-AipServiceDocumentTrackingFeature deaktivieren.

Dieses Cmdlet deaktiviert den Zugriff auf die Website für die Dokumentkontrolle, damit keine Benutzer in Ihrer Organisation die von ihnen geschützten Dokumente nachverfolgen oder den Zugriff darauf widerrufen können. Mit dem Cmdlet Enable-AipServiceDocumentTrackingFeature können Sie die Dokumentkontrolle jederzeit wieder aktivieren, und mit Get-AipServiceDocumentTrackingFeature können Sie den Aktivierungsstatus der Dokumentkontrolle überprüfen.

Wenn die Website für die Dokumentkontrolle aktiviert ist, werden standardmäßig bestimmte Informationen angezeigt. Hierzu zählen beispielsweise die E-Mail-Adressen der Personen, die versucht haben, auf geschützte Dokumente zuzugreifen, sowie der Zeitpunkt des Zugriffsversuchs und der Standort. Diese Informationen können hilfreich sein, um zu bestimmen, wie die freigegebenen Dokumente verwendet werden und ob sie bei verdächtigen Aktivitäten gesperrt werden sollen. Aus Datenschutzgründen müssen diese Benutzerinformationen allerdings unter Umständen für einige oder alle Benutzer deaktiviert werden.

Wenn Benutzer vorhanden sind, bei denen die Nachverfolgung dieser Aktivität durch andere Benutzer unterbunden werden soll, fügen Sie sie einer in Microsoft Entra ID gespeicherten Gruppe hinzu, und geben Sie diese Gruppe mit dem Cmdlet Set-AipServiceDoNotTrackUserGroup an. Bei der Ausführung dieses Cmdlets darf nur eine einzelne Gruppe angegeben werden. Diese Gruppe kann allerdings geschachtelte Gruppen enthalten.

Anderen Benutzern werden auf der Website für die Dokumentkontrolle keine Aktivitäten für die Mitglieder dieser Gruppe angezeigt, wenn die Aktivitäten mit Dokumenten zusammenhängen, die für sie freigegeben wurden. Darüber hinaus werden keine E-Mail-Benachrichtigungen an den Benutzer gesendet, der das Dokument freigegeben hat.

Bei Verwendung dieser Konfiguration können alle Benutzer weiterhin die Website für die Dokumentkontrolle verwenden und den Zugriff auf die von ihnen geschützten Dokumente widerrufen. Sie können jedoch keine Aktivitäten von Benutzern einsehen, die Sie mit dem Cmdlet „Set-AipServiceDoNotTrackUserGroup“ angegeben haben.

Diese Einstellung gilt nur für Endbenutzer. Administratoren für Azure Information Protection können die Aktivitäten aller Benutzer immer nachverfolgen, selbst wenn die Benutzer mithilfe von „Set-AipServiceDoNotTrackUserGroup“ angegeben wurden. Weitere Informationen dazu, wie Administratoren Dokumente für Benutzer nachverfolgen können, finden Sie im Abschnitt Nachverfolgen und Sperren von Dokumenten für Benutzer.

Protokollierungsinformationen von der Website zur Dokumentkontrolle

Sie können die folgenden Cmdlets verwenden, um Protokollierungsinformationen von der Dokumentverfolgungssite herunterzuladen:

  • Get-AipServiceTrackingLog

    Dieses Cmdlet gibt Informationen zur Nachverfolgung geschützter Dokumente für einen bestimmten Benutzer zurück, der Dokumente geschützt hat (Rights Management-Aussteller) oder auf geschützte Dokumente zugegriffen hat. Verwenden Sie dieses Cmdlet zum Beantworten der Frage „Welche geschützten Dokumente hat ein bestimmter Benutzer nachverfolgt oder darauf zugegriffen?“

  • Get-AipServiceDocumentLog

    Dieses Cmdlet gibt Informationen zum Schutz der nachverfolgten Dokumente für einen bestimmten Benutzer zurück, wenn dieser Benutzer Dokumente geschützt hat (Rights Management-Aussteller) oder der Rights Management-Besitzer der Dokumente war oder wenn geschützte Dokumente so konfiguriert wurden, dass dem Benutzer direkt der Zugriff gewährt wurde. Verwenden Sie dieses Cmdlet zum Beantworten der Frage „Wie werden Dokumente für einen bestimmten Benutzer geschützt?“

Von der Website für die Dokumentkontrolle verwendete Ziel-URLs

Die folgenden URLs dienen zum Nachverfolgen von Dokumenten und müssen auf allen Geräten und in allen Diensten zwischen den Clients, auf denen der Azure Information Protection-Client ausgeführt wird, und dem Internet zugelassen werden. Fügen Sie diese URLs beispielsweise Firewalls oder (bei Verwendung von Internet Explorer mit erhöhter Sicherheit) Ihren vertrauenswürdigen Websites hinzu.

  • https://*.azurerms.com

  • https://*.microsoftonline.com

  • https://*.microsoftonline-p.com

  • https://ecn.dev.virtualearth.net

Dies sind die Standard-URLs für den Azure Rights Management-Dienst. Einzige Ausnahme: virtualearth.net (wird bei Bing-Karten zum Anzeigen des Benutzerstandorts verwendet).

Nachverfolgen und Sperren von Dokumenten für Benutzer

Wenn sich Benutzer auf der Website für die Dokumentkontrolle anmelden, können sie Dokumente nachverfolgen und sperren, die sie mithilfe des Azure Information Protection-Clients geschützt haben. Wenn Sie sich als globaler Administrator von Microsoft Entra für Ihren Mandanten anmelden, können Sie durch Klicken auf das Administratorsymbol in den Administratormodus wechseln. Andere Administratorrollen unterstützen diesen Modus für die Website zur Dokumentkontrolle nicht.

Admin icon in the document tracking site

Im Administratormodus können Sie die Dokumente anzeigen, die von den Benutzern in Ihrer Organisation zum Nachverfolgen durch den Azure Information Protection-Client ausgewählt wurden.

Hinweis

Sollte dieses Symbol nicht angezeigt werden, obwohl Sie ein globaler Administrator sind, liegt das daran, dass Sie selbst noch keine Dokumente freigegeben haben. Verwenden Sie in diesem Fall die folgende URL, um die Website für die Dokumentkontrolle aufzurufen: https://portal.azurerms.com/#/admin

Im Administratormodus ausgeführte Aktionen werden überwacht, in Verwendungsprotokolldateien protokolliert und müssen bestätigt werden, um den Vorgang fortsetzen zu können. Weitere Informationen zu dieser Protokollierung finden Sie im nächsten Abschnitt.

Im Administratormodus können Sie nach Benutzer oder nach Dokumente suchen. Bei der Suche nach Benutzer werden alle Dokumente angezeigt, die vom angegebenen Benutzer zum Nachverfolgen durch den Azure Information Protection-Client ausgewählt wurden.

Bei der Suche nach Dokument werden alle Benutzer in Ihrer Organisation angezeigt, die dieses Dokument über den Azure Information Protection-Client nachverfolgt haben. Sie können die Suchergebnisse genauer untersuchen, um die Dokumente nachzuverfolgen, die Benutzer geschützt haben, und diese Dokumente ggf. sperren.

Klicken Sie neben Administratormodus beenden auf X, um den Administratormodus zu beenden:

Exit administrator mode in the document tracking site

Eine Anleitung zur Verwendung der Website für die Dokumentkontrolle finden Sie unter Benutzerhandbuch: Nachverfolgen und Widerrufen Ihrer Dokumente bei Verwendung von Azure Information Protection.

Verwenden von PowerShell zum Registrieren von mit Bezeichnungen versehenen Dokumenten über die Website zur Dokumentkontrolle

Damit ein Dokument nachverfolgt und gesperrt werden kann, muss es zuerst auf der Website zur Dokumentkontrolle registriert werden. Diese Aktion erfolgt, wenn Benutzer die Option Nachverfolgen und Sperren im Datei-Explorer oder in ihren Office-Apps auswählen, wenn sie den Azure Information Protection-Client verwenden.

Wenn Sie Dateien für Benutzer über das Cmdlet Set-AIPFileLabel mit Bezeichnungen versehen und schützen, können Sie die Datei mithilfe des Parameters EnableTracking auf der Website zur Dokumentkontrolle registrieren. Beispiel:

Set-AIPFileLabel -Path C:\Projects\ -LabelId ade72bf1-4714-4714-4714-a325f824c55a -EnableTracking

Verwendungsprotokollierung für die Website für die Dokumentkontrolle

Für die Dokumentkontrolle sind zwei Felder in den Verwendungsprotokolldateien relevant: AdminAction und ActingAsUser.

AdminAction: Dieses Feld hat den Wert „true“, wenn ein Administrator die Website für die Dokumentkontrolle im Administratormodus verwendet, um beispielsweise ein Dokument im Auftrag eines Benutzers zu sperren oder um zu ermitteln, wann es freigegeben wurde. Wenn sich ein Benutzer bei der Website für die Dokumentkontrolle anmeldet, ist dieses Feld leer.

ActingAsUser: Wenn das Feld „AdminAction“ den Wert „true“ hat, enthält dieses Feld den Namen des Benutzers, in dessen Auftrag der Administrator als gesuchter Benutzer oder Besitzer des Dokuments handelt. Wenn sich ein Benutzer bei der Website für die Dokumentkontrolle anmeldet, ist dieses Feld leer.

Bei einigen Anforderungstypen wird auch protokolliert, wie Benutzer und Administratoren die Website für die Dokumentkontrolle verwenden. Der Anforderungstyp RevokeAccess wird beispielsweise verwendet, wenn ein Benutzer oder Administrator im Auftrag eines Benutzers ein Dokument auf der Website für die Dokumentkontrolle gesperrt hat. Verwenden Sie diesen Anforderungstyp in Kombination mit dem Feld „AdminAction“, um zu ermitteln, ob ein Benutzer sein eigenes Dokument gesperrt hat („AdminAction“ ist leer) oder ob ein Administrator ein Dokument im Namen eines Benutzers gesperrt hat („AdminAction“ hat den Wert „true“).

Weitere Informationen zur Protokollierung der Nutzung finden Sie unter Protokollierung und Analyse der Schutznutzung von Azure Information Protection.

Nächste Schritte

Sie haben nun die Website für die Dokumentkontrolle für den Azure Information Protection-Client konfiguriert. Unter den folgenden Links finden Sie zusätzliche Informationen, die Sie ggf. zur Unterstützung dieses Clients benötigen: