Guía del administrador: Seguimiento y revocación del acceso a documentos con Azure Information Protection
Nota:
¿Está buscando Microsoft Purview Information Protection, anteriormente Microsoft Information Protection (MIP)?
El complemento de Azure Information Protection para Office está ahora en modo de mantenimiento y se retirará en abril de 2024. En su lugar, recomendamos usar etiquetas integradas en las aplicaciones y servicios de Office 365, que también permiten el seguimiento y revocación del acceso a documentos.
El seguimiento de documentos proporciona información a los administradores, ya sea con el rol de administrador de Azure Information Protection o administrador global de Azure Rights Management, sobre cuándo se accedió a un documento protegido. Si es necesario, tanto los administradores como los usuarios pueden revocar el acceso a documentos con seguimiento.
En la versión 2.9.111.0 o versiones posteriores, los documentos protegidos de Office que aún no están registrados para su seguimiento se registran automáticamente la próxima vez que se abran a través del cliente de etiquetado unificado de AIP. Los documentos protegidos se pueden controlar y revocar, incluso si no están etiquetados.
El registro de un documento para su seguimiento permite a los administradores controlar los detalles de acceso, incluidos los eventos de acceso correctos y los intentos denegados, así como revocar el acceso si es necesario.
Nota:
Las características de seguimiento y revocación solo se admiten para los tipos de archivo de Office.
Los documentos protegidos se pueden controlar y revocar, incluso si no están etiquetados.
Controlar el acceso a documentos
Los administradores pueden realizar un seguimiento del acceso a los documentos protegidos mediante PowerShell con el ContentID generado para el documento protegido durante el registro.
Para ver los detalles de acceso al documento:
Use los siguientes cmdlets para buscar los detalles del documento del que desea realizar el seguimiento:
Busque el valor contentID del documento del que desea realizar el seguimiento.
Use Get-AipServiceDocumentLog para buscar un documento con el nombre de archivo o la dirección de correo electrónico del usuario que aplicó protección.
Por ejemplo:
Get-AipServiceDocumentLog -ContentName "test.docx" -Owner “alice@contoso.com” -FromTime "12/01/2020 00:00:00" -ToTime "12/31/2020 23:59:59"Este comando devuelve el valor de contentID para todos los documentos protegidos coincidentes que estén registrados para su seguimiento.
Nota:
Los documentos protegidos se registran para realizar su seguimiento cuando se abren por primera vez en un equipo con el cliente de etiquetado unificado instalado. Si este comando no devuelve contentID para el archivo protegido, ábralo en un equipo con el cliente de etiquetado unificado instalado para registrar el documento para su seguimiento.
Use el cmdlet Get-AipServiceTrackingLog con el contentID del documento para devolver los datos de seguimiento.
Por ejemplo:
Get-AipServiceTrackingLog -ContentId c03bf90c-6e40-4f3f-9ba0-2bcd77524b87Se devuelven datos de seguimiento, incluidos los correos electrónicos de los usuarios que intentaron acceder, si se concedió o denegó el acceso, la hora y la fecha del intento, y el dominio y la ubicación desde donde se originó el intento de acceso.
Revocación del acceso a documentos desde PowerShell
Los administradores pueden revocar el acceso a cualquier documento protegido almacenado en sus recursos compartidos de contenido local mediante el cmdlet Set-AIPServiceDocumentRevoked.
Busque el valor contentID del documento cuyo acceso desea revocar.
Use Get-AipServiceDocumentLog para buscar un documento con el nombre de archivo o la dirección de correo electrónico del usuario que aplicó protección.
Por ejemplo:
Get-AipServiceDocumentLog -ContentName "test.docx" -Owner “alice@contoso.com” -FromTime "12/01/2020 00:00:00" -ToTime "12/31/2020 23:59:59"Los datos devueltos incluyen el valor de ContentID del documento.
Sugerencia
Solo los documentos que se han protegido y registrado para el seguimiento tienen un valor para ContentID.
Si su documento no tiene ContentID, ábralo en un equipo con el cliente de etiquetado unificado instalado para registrar el archivo para su seguimiento.
Use Set-AIPServiceDocumentRevoked con el ContentID del documento para revocar el acceso.
Por ejemplo:
Set-AipServiceDocumentRevoked -ContentId 0e421e6d-ea17-4fdb-8f01-93a3e71333b8 -IssuerName testIssuer
Nota:
Si se permite el acceso sin conexión, los usuarios seguirán pudiendo acceder a los documentos que se han revocado hasta que expire el período de la directiva de acceso sin conexión.
Sugerencia
Los usuarios también pueden revocar el acceso a los documentos en los que aplicaron protección directamente desde el menú Confidencialidad de sus aplicaciones de Office. Para más información, consulte Guía del usuario: Revocación del acceso a documentos con Azure Information Protection
Anulación de la revocación de acceso
Si ha revocado accidentalmente el acceso a un documento específico, use el mismo valor de ContentID con el cmdlet Clear-AipServiceDocumentRevoked para anular la revocación del acceso.
Para usar el cmdlet Clear-AipServiceDocumentRevoked, primero debe cargar el archivo AipService.dll.
Por ejemplo:
Import-Module -Name "C:\Program Files\WindowsPowerShell\Modules\AIPService\1.0.0.4\AipService.dll"
Clear-AipServiceDocumentRevoked -ContentId 0e421e6d-ea17-4fdb-8f01-93a3e71333b8 -IssuerName testIssuer
Se concede acceso al documento al usuario que definió en el parámetro IssuerName.
Desactivación de las características de seguimiento y revocación del inquilino
Si necesita desactivar las características de seguimiento y revocación del inquilino, como los requisitos de privacidad de su organización o región, complete los dos pasos siguientes:
Ejecute el cmdlet Disable-AipServiceDocumentTrackingFeature.
Establezca la configuración de cliente avanzado EnableTrackAndRevoke en False.
El seguimiento de documentos y las opciones para revocar el acceso se desactivan para el inquilino:
- Al abrir documentos protegidos con el cliente de etiquetado unificado de AIP, ya no se registran los documentos para realizar un seguimiento y revocarlos.
- Los registros de acceso no se almacenan cuando se abren documentos protegidos que ya están registrados. Los registros de acceso que se almacenaron antes de desactivar estas características siguen estando disponibles.
- Los administradores no podrán realizar un seguimiento ni revocar el acceso a través de PowerShell y los usuarios finales ya no verán la opción de menú Revocar en sus aplicaciones de Office.
Sugerencia
Para volver a activar el seguimiento y la revocación, establezca EnableTrackAndRevoke en True y ejecute también el cmdlet Enable-AipServiceDocumentTrackingFeature.
Desactivación de la capacidad de los usuarios finales de revocar el acceso
Si no desea que los usuarios finales tengan la capacidad de revocar el acceso a los documentos protegidos de sus aplicaciones de Office, puede quitar la opción Revocar acceso de las aplicaciones de Office.
Nota:
Al quitar la opción Revocar acceso, se sigue realizando un seguimiento de los documentos protegidos en segundo plano y se conserva la capacidad del administrador de revocar el acceso a los documentos a través de PowerShell.
Para quitar la opción Revocar acceso de las aplicaciones de Office, establezca la configuración de cliente avanzado EnableRevokeGuiSupport en False.
Para más información, consulte Guía del usuario: Revocación del acceso a documentos con Azure Information Protection.
Pasos siguientes
Para más información, consulte:
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de