Nachverfolgen und Widerrufen des Dokumentzugriffs
Die Dokumentnachverfolgung enthält Informationen für Administratoren darüber, wann auf ein geschütztes Dokument zugegriffen wurde. Bei Bedarf können sowohl Administratoren als auch Benutzer den Dokumentzugriff für nachverfolgte Dokumente widerrufen.
Ein Dokument muss für die Nachverfolgung registriert werden, bevor ein Administrator Zugriffsdetails nachverfolgen kann, einschließlich erfolgreicher Zugriffsereignisse und verweigerter Versuche, und den Zugriff bei Bedarf widerrufen kann. Im nächsten Abschnitt finden Sie Mindestversionen von Office-Apps für integrierte Bezeichnungen, die die Dateiregistrierung beim nächsten Öffnen unterstützen.
Hinweis
Funktionen zum Nachverfolgen und Widerrufen werden nur für Office-Dateitypen unterstützt.
Anforderungen
Verwenden Sie die Funktionstabelle und die Zeile Dokumentnachverfolgung und Sperrung , um die Mindestversionen von Word, Excel und PowerPoint zu identifizieren, die beim nächsten Öffnen automatisch mit Bezeichnungen geschützte lokale Office-Dokumente registrieren (sofern sie nicht bereits registriert sind).
PowerShell-Cmdlets in diesem Artikel verwenden das PowerShell-Modul AIPService , das Sie aus dem PowerShell-Katalog installieren können. Sie müssen Connect-AipService ausführen, um eine Verbindung mit Ihrem Mandanten herzustellen, bevor Sie eines der dokumentierten Cmdlets ausführen.
Begrenzungen
Kennwortgeschützte Dokumente werden von Funktionen zum Nachverfolgen und Widerrufen nicht unterstützt.
Wenn Sie mehrere Dokumente an eine E-Mail anfügen und dann die E-Mail schützen und senden, erhält jede Anlage denselben ContentID-Wert. Dieser ContentID-Wert wird nur bei der ersten geöffneten Datei zurückgegeben. Bei der Suche nach den anderen Anlagen wird nicht der ContentID-Wert zurückgegeben, der zum Abrufen von Nachverfolgungsdaten erforderlich ist.
Darüber hinaus wird durch das Widerrufen des Zugriffs für eine der Anlagen auch der Zugriff auf die anderen Anlagen in derselben geschützten E-Mail widerrufen.
Dokumente, die mit vom Administrator definierten Berechtigungen geschützt sind und in SharePoint oder OneDrive hochgeladen werden, verlieren ihren ContentID-Wert , und der Zugriff kann nicht nachverfolgt oder widerrufen werden.
Wenn ein Benutzer eine Datei herunterlädt, die mit vom Administrator definierten Berechtigungen von SharePoint oder OneDrive geschützt ist, wird eine neue ContentID auf das Dokument angewendet. Die Verwendung des ursprünglichen ContentID-Werts zum Nachverfolgen von Daten schließt keinen Zugriff auf die heruntergeladene Datei des Benutzers ein. Darüber hinaus wird durch das Widerrufen des Zugriffs basierend auf dem ursprünglichen ContentID-Wert der Zugriff für die heruntergeladenen Dateien nicht widerrufen.
Wenn Administratoren Zugriff auf die heruntergeladenen Dateien haben, können sie powerShell verwenden, um die ContentID eines Dokuments zum Nachverfolgen und Widerrufen von Aktionen zu identifizieren.
Nachverfolgen des Dokumentzugriffs
Administratoren können den Zugriff auf geschützte Dokumente über PowerShell nachverfolgen, indem sie die ContentID verwenden, die während der Registrierung für das geschützte Dokument generiert wurde.
So zeigen Sie Dokumentzugriffsdetails an:
Verwenden Sie die folgenden Cmdlets, um Details für das Dokument zu finden, das Sie nachverfolgen möchten:
Suchen Sie den ContentID-Wert für das Dokument, das Sie nachverfolgen möchten.
Verwenden Sie get-AipServiceDocumentLog , um mithilfe des Dateinamens oder der E-Mail-Adresse des Benutzers, der den Schutz angewendet hat, nach einem Dokument zu suchen.
Beispiel:
Get-AipServiceDocumentLog -ContentName "test.docx" -Owner “alice@contoso.com” -FromTime "12/01/2020 00:00:00" -ToTime "12/31/2020 23:59:59"
Dieser Befehl gibt die ContentID für alle übereinstimmenden geschützten Dokumente zurück, die für die Nachverfolgung registriert sind.
Hinweis
Geschützte Dokumente werden für die Nachverfolgung registriert, wenn sie zum ersten Mal in einer Office-App geöffnet werden, die die Dateiregistrierung unterstützt. Wenn dieser Befehl die ContentID für Ihre geschützte Datei nicht zurückgibt, öffnen Sie sie in einer Office-App, die die Dateiregistrierung unterstützt.
Verwenden Sie das Cmdlet Get-AipServiceTrackingLog mit der ContentID Ihres Dokuments, um Ihre Nachverfolgungsdaten zurückzugeben.
Zum Beispiel:
Get-AipServiceTrackingLog -ContentId c03bf90c-6e40-4f3f-9ba0-2bcd77524b87
Es werden Nachverfolgungsdaten zurückgegeben, einschließlich E-Mails von Benutzern, die zugriff versucht haben, ob der Zugriff gewährt oder verweigert wurde, die Uhrzeit und das Datum des Versuchs sowie die Domäne und den Standort, von denen der Zugriffsversuch stammt.
Widerrufen des Dokumentzugriffs über PowerShell
Administratoren können den Zugriff auf alle geschützten Dokumente widerrufen, die in ihren lokalen Inhaltsfreigaben gespeichert sind, indem sie das Cmdlet Set-AIPServiceDocumentRevoked verwenden .
Hinweis
Wenn der Offlinezugriff zulässig ist, können Benutzer weiterhin auf die Dokumente zugreifen, die gesperrt wurden, bis der Offlinerichtlinienzeitraum abläuft.
Suchen Sie den ContentID-Wert für das Dokument, für das Sie den Zugriff widerrufen möchten.
Verwenden Sie get-AipServiceDocumentLog , um mithilfe des Dateinamens oder der E-Mail-Adresse des Benutzers, der den Schutz angewendet hat, nach einem Dokument zu suchen.
Zum Beispiel:
Get-AipServiceDocumentLog -ContentName "test.docx" -Owner “alice@contoso.com” -FromTime "12/01/2020 00:00:00" -ToTime "12/31/2020 23:59:59"
Die zurückgegebenen Daten enthalten den ContentID-Wert für Ihr Dokument.
Tipp
Nur Dokumente, die für die Nachverfolgung geschützt und registriert wurden, weisen einen ContentID-Wert auf. Wenn Ihr Dokument keine ContentID aufweist, öffnen Sie es in einer Office-App, die die Dateiregistrierung unterstützt.
Verwenden Sie Set-AIPServiceDocumentRevoked mit der ContentID Ihres Dokuments, um den Zugriff zu widerrufen.
Zum Beispiel:
Set-AipServiceDocumentRevoked -ContentId 0e421e6d-ea17-4fdb-8f01-93a3e71333b8 -IssuerName testIssuer
Mithilfe des Menüs Vertraulichkeit in ihren Office-Apps können Benutzer auch den Zugriff auf alle dokumente widerrufen, die sie geschützt haben.
Wiederherstellen des Zugriffs
Wenn Sie versehentlich den Zugriff auf ein bestimmtes Dokument widerrufen haben, verwenden Sie denselben ContentID-Wert mit dem Cmdlet Clear-AipServiceDocumentRevoked , um den Zugriff wiederherzustellen.
Zum Beispiel:
Clear-AipServiceDocumentRevoked -ContentId 0e421e6d-ea17-4fdb-8f01-93a3e71333b8 -IssuerName testIssuer
Der Dokumentzugriff wird dem Benutzer gewährt, den Sie im IssuerName-Parameter definiert haben.
Deaktivieren des Nachverfolgens und Widerrufens von Features für Ihren Mandanten
Wenn Sie das Nachverfolgen und Widerrufen von Features für Ihren Mandanten deaktivieren müssen, z. B. für Datenschutzanforderungen in Ihrer Organisation oder Region, führen Sie das Cmdlet Disable-AipServiceDocumentTrackingFeature aus.
Dokumentnachverfolgung und Optionen zum Widerrufen des Zugriffs sind für Ihren Mandanten deaktiviert:
- Beim Öffnen geschützter Dokumente werden die Dokumente nicht mehr zum Nachverfolgen und Widerrufen registriert.
- Zugriffsprotokolle werden nicht gespeichert, wenn bereits registrierte geschützte Dokumente geöffnet werden. Zugriffsprotokolle, die vor dem Deaktivieren dieser Features gespeichert wurden, sind weiterhin verfügbar.
- Administratoren können den Zugriff nicht über PowerShell nachverfolgen oder widerrufen, und obwohl Endbenutzern weiterhin die Menüoption Widerrufen in ihren Office-Apps angezeigt wird, zeigt die Website eine Meldung an, dass die Nachverfolgung und Sperrung durch ihren Administrator deaktiviert wurde.
Wenn Sie das Nachverfolgen und Widerrufen wieder aktivieren müssen, führen Sie das Cmdlet Enable-AipServiceDocumentTrackingFeature aus.
Entfernen der Optionen zum Nachverfolgen und Widerrufen aus dem Vertraulichkeitsmenü
Wenn Sie die Schaltfläche Nachverfolgen & Widerrufen aus dem Vertraulichkeitsmenü auf Office-Clients entfernen müssen, verwenden Sie erweiterte PowerShell-Einstellungen mit dem Cmdlet Set-LabelPolicy .
PowerShell-Beispielbefehl:
Set-LabelPolicy -Identity Global -AdvancedSettings @{EnableRevokeGuiSupport="False"}