Administratorhandbuch: Nachverfolgen und Widerrufen des Dokumentzugriffs mit Azure Information Protection

  • Artikel

Hinweis

Suchen Sie nach Microsoft Purview Information Protection, ehemals Microsoft Information Protection (MIP)?

Das Azure Information Protection-Add-In für Office befindet sich jetzt im Wartungsmodus und wird im April 2024 eingestellt. Stattdessen empfehlen wir, Bezeichnungen zu verwenden, die in Ihre Office 365-Apps und -Dienste integriert sind, die auch das Nachverfolgen und Widerrufen des Dokumentzugriffs unterstützen.

Die Dokumentverfolgung liefert Administratoren mit der Rolle Azure Information Protection Administrator oder Azure Rights Management Global Administrator Informationen darüber, wann auf ein geschütztes Dokument zugegriffen wurde. Falls erforderlich, können sowohl Administratoren als auch Benutzer den Dokumentzugriff für nachverfolgte Dokumente widerrufen.

Ab Version Version 2.9.111.0 werden geschützte Office-Dokumente, die noch nicht für die Verfolgung registriert sind, automatisch registriert, wenn sie das nächste Mal über den AIP Unified Labeling Client geöffnet werden. Geschützte Dokumente werden zum Nachverfolgen und Widerrufen unterstützt, auch wenn sie nicht beschriftet sind.

Durch das Registrieren eines Dokuments für die Nachverfolgung können Administratoren Zugriffsdetails nachverfolgen, einschließlich erfolgreicher Zugriffsereignisse und verweigerter Versuche sowie bei Bedarf den Zugriff widerrufen.

Hinweis

Features zum Nachverfolgen und Widerrufen werden nur für Office Dateitypen unterstützt.

Geschützte Dokumente werden zum Nachverfolgen und Widerrufen unterstützt, auch wenn sie nicht beschriftet sind.

Dokumentenzugriff verfolgen

Administratoren können den Zugriff auf geschützte Dokumente über PowerShell anhand der ContentID verfolgen, die bei der Registrierung für das geschützte Dokument generiert wurde.

Zur Anzeige der Details zum Dokumentenzugriff:

Verwenden Sie die folgenden Cmdlets, um Details für das Dokument zu finden, das Sie nachverfolgen möchten:

  1. Suchen Sie den Wert ContentID für das Dokument, das Sie verfolgen möchten.

    Verwenden Sie die Funktion Get-AipServiceDocumentLog, um anhand des Dateinamens und/oder der E-Mail-Adresse des Benutzers, der den Schutz angewendet hat, nach einem Dokument zu suchen.

    Beispiel:

    Get-AipServiceDocumentLog -ContentName "test.docx" -Owner “alice@contoso.com” -FromTime "12/01/2020 00:00:00" -ToTime "12/31/2020 23:59:59"

    Dieser Befehl gibt die ContentID für alle übereinstimmenden, geschützten Dokumente zurück, die zur Verfolgung registriert sind.

    Hinweis

    Geschützte Dokumente werden für die Nachverfolgung registriert, wenn sie zuerst auf einem Computer mit dem installierten einheitlichen Bezeichnungsclient geöffnet werden. Wenn dieser Befehl die ContentID für ihre geschützte Datei nicht zurückgibt, öffnen Sie sie auf einem Computer mit dem einheitlichen Bezeichnungsclient, der installiert ist, um das Dokument für die Nachverfolgung zu registrieren.

  2. Verwenden Sie das Cmdlet Get-AipServiceTrackingLog mit der ContentID Ihres Dokuments, um Ihre Tracking-Daten zurückzugeben.

    Zum Beispiel:

    Get-AipServiceTrackingLog -ContentId c03bf90c-6e40-4f3f-9ba0-2bcd77524b87

    Die Nachverfolgungsdaten werden zurückgegeben, einschließlich E-Mails von Benutzern, die den Zugriff versucht haben, ob der Zugriff gewährt oder verweigert wurde, die Uhrzeit und das Datum des Versuchs sowie die Domäne und den Speicherort, an dem der Zugriffsversuch stammt.

Widerrufen des Dokumentzugriffs von PowerShell

Admins können mit dem Cmdlet Set-AIPServiceDocumentRevoked den Zugriff auf geschützte Dokumente in ihren lokalen Inhaltsfreigaben widerrufen.

  1. Suchen Sie den Wert ContentID für das Dokument, für das Sie den Zugriff widerrufen möchten.

    Verwenden Sie die Funktion Get-AipServiceDocumentLog, um anhand des Dateinamens und/oder der E-Mail-Adresse des Benutzers, der den Schutz angewendet hat, nach einem Dokument zu suchen.

    Zum Beispiel:

    Get-AipServiceDocumentLog -ContentName "test.docx" -Owner “alice@contoso.com” -FromTime "12/01/2020 00:00:00" -ToTime "12/31/2020 23:59:59"

    Die zurückgegebenen Daten enthalten den ContentID-Wert für Ihr Dokument.

    Tipp

    Nur geschützte und zur Verfolgung registrierte Dokumente haben einen ContentID-Wert.

    Wenn Ihr Dokument keine ContentID hat, öffnen Sie es auf einem Rechner, auf dem der Unified Labeling Client installiert ist, um die Datei für die Verfolgung zu registrieren.

  2. Verwenden Sie den Befehl Set-AIPServiceDocumentRevoked mit der ContentID Ihres Dokuments, um den Zugriff zu widerrufen.

    Zum Beispiel:

    Set-AipServiceDocumentRevoked -ContentId 0e421e6d-ea17-4fdb-8f01-93a3e71333b8 -IssuerName testIssuer

Hinweis

Wenn Offline-Zugriff erlaubt ist, können Benutzer weiterhin auf die widerrufenen Dokumente zugreifen, bis der Zeitraum der Offline-Richtlinie abgelaufen ist.

Tipp

Benutzer können den Zugriff auf Dokumente, die sie geschützt haben, auch direkt über das Menü Sensibilität in ihren Office-Anwendungen aufheben. Weitere Informationen finden Sie im Benutzerhandbuch: Entzug des Dokumentenzugriffs mit Azure Information Protection

Widerrufen des Zugriffs:

Wenn Sie versehentlich den Zugriff auf ein bestimmtes Dokument widerrufen haben, verwenden Sie denselben ContentID-Wert mit dem Cmdlet Clear-AipServiceDocumentRevoked, um den Zugriff wieder zu entziehen.

Um das Cmdlet Clear-AipServiceDocumentRevoked zu verwenden, müssen Sie zunächst die AipService.dll laden.

Zum Beispiel:

Import-Module -Name "C:\Program Files\WindowsPowerShell\Modules\AIPService\1.0.0.4\AipService.dll"
Clear-AipServiceDocumentRevoked -ContentId   0e421e6d-ea17-4fdb-8f01-93a3e71333b8 -IssuerName testIssuer

Der Dokumentenzugriff wird dem Benutzer gewährt, den Sie im Parameter IssuerName definiert haben.

Deaktivieren von Nachverfolgen und Widerrufen von Features für Ihren Mandanten

Wenn Sie Features für Ihren Mandanten deaktivieren und widerrufen müssen, z. B. für Datenschutzanforderungen in Ihrer Organisation oder Region, führen Sie beide der folgenden Schritte aus:

  1. Führen Sie das Cmdlet Disable-AipServiceDocumentTrackingFeature aus.

  2. Setzen Sie die erweiterte Client-Einstellung EnableTrackAndRevoke auf False.

Dokumentverfolgung und Optionen zum Widerrufen des Zugriffs werden für Ihren Mandanten deaktiviert:

  • Das Öffnen geschützter Dokumente mit dem AIP Unified Labeling Client (einheitlicher Bezeichnungs-Assistent) registriert die Dokumente nicht mehr für den Nachverfolgen und Widerrufen.
  • Zugriffsprotokolle werden nicht gespeichert, wenn geschützte Dokumente, die bereits registriert sind, geöffnet werden. Zugriffsprotokolle, die vor dem Deaktivieren dieser Features gespeichert wurden, sind weiterhin verfügbar.
  • Admins können den Zugriff nicht mehr über PowerShell nachverfolgen oder widerrufen, und Endbenutzer sehen die Menüoption Revoke in ihren Office-Anwendungen nicht mehr.

Tipp

Um Tracking und Widerruf wieder zu aktivieren, setzen Sie EnableTrackAndRevoke auf True, und führen Sie außerdem das Cmdlet Enable-AipServiceDocumentTrackingFeature aus.

Deaktivieren der Möglichkeit für Endbenutzer, den Zugriff zu widerrufen

Wenn Sie nicht möchten, dass Endbenutzer die Möglichkeit haben, den Zugriff auf geschützte Dokumente aus ihren Office-Anwendungen zu widerrufen, können Sie die Option Zugriff widerrufen aus Ihren Office-Anwendungen entfernen.

Hinweis

Wenn Sie die Option Zugriff widerrufen entfernen, werden Ihre geschützten Dokumente weiterhin im Hintergrund verfolgt, und der Administrator hat weiterhin die Möglichkeit, den Zugriff auf Dokumente über PowerShell zu widerrufen.

Um die Option Zugriff widerrufen aus Office-Anwendungen zu entfernen, setzen Sie die erweiterte Clienteinstellung EnableRevokeGuiSupport auf False.

Weitere Informationen finden Sie im Benutzerhandbuch: Entziehen Sie den Dokumentenzugriff mit Azure Information Protection.

Nächste Schritte

Weitere Informationen finden Sie unter