Guía del administrador: Seguimiento y revocación del acceso a documentos con Azure Information Protection

Nota

¿Está buscando Microsoft Purview Information Protection, anteriormente Microsoft Information Protection (MIP)?

El cliente de etiquetado unificado de Azure Information Protection está ahora en modo de mantenimiento. Se recomienda usar etiquetas integradas en las aplicaciones y servicios de Office 365. Aprende más

El seguimiento de documentos proporciona información para los administradores, con el rol Administrador de azure Information Protection o administrador global de Azure Rights Management, sobre cuándo se obtuvo acceso a un documento protegido. Si es necesario, tanto los administradores como los usuarios pueden revocar el acceso a documentos con seguimiento.

En las versiones 2.9.111.0 o posteriores, los documentos protegidos de Office que aún no están registrados para el seguimiento se registran automáticamente la próxima vez que se abran a través del cliente de etiquetado unificado de AIP. Los documentos protegidos son compatibles con el seguimiento y revocación, incluso si no están etiquetados.

El registro de un documento para el seguimiento permite a los administradores realizar un seguimiento de los detalles de acceso, incluidos los eventos de acceso correctos y los intentos denegados, así como revocar el acceso si es necesario.

Nota

Las características de seguimiento y revocación solo se admiten para los tipos de archivo de Office.

Los documentos protegidos son compatibles con el seguimiento y revocación, incluso si no están etiquetados.

Seguimiento del acceso a documentos

Los administradores pueden realizar un seguimiento del acceso a los documentos protegidos a través de PowerShell mediante el ContentID generado para el documento protegido durante el registro.

Para ver los detalles del acceso al documento:

Use los siguientes cmdlets para buscar detalles del documento del que desea realizar el seguimiento:

  1. Busque el valor contentID del documento al que desea realizar un seguimiento.

    Use Get-AipServiceDocumentLog para buscar un documento con el nombre de archivo o la dirección de correo electrónico del usuario que aplicó protección.

    Por ejemplo:

    Get-AipServiceDocumentLog -ContentName "test.docx" -Owner “alice@contoso.com” -FromTime "12/01/2020 00:00:00" -ToTime "12/31/2020 23:59:59"
    

    Este comando devuelve contentID para todos los documentos protegidos coincidentes registrados para el seguimiento.

    Nota

    Los documentos protegidos se registran para el seguimiento cuando se abren por primera vez en un equipo con el cliente de etiquetado unificado instalado. Si este comando no devuelve el ContentID del archivo protegido, ábralo en una máquina con el cliente de etiquetado unificado instalado para registrar el documento para su seguimiento.

  2. Use el cmdlet Get-AipServiceTrackingLog con el ContentID del documento para devolver los datos de seguimiento.

    Por ejemplo:

    Get-AipServiceTrackingLog -ContentId c03bf90c-6e40-4f3f-9ba0-2bcd77524b87
    

    Se devuelven los datos de seguimiento, incluidos los correos electrónicos de los usuarios que intentaron acceder, si se concedió o denegó el acceso, la hora y la fecha del intento, y el dominio y la ubicación donde se originó el intento de acceso.

Revocación del acceso a documentos desde PowerShell

Los administradores pueden revocar el acceso a cualquier documento protegido almacenado en sus recursos compartidos de contenido local mediante el cmdlet Set-AIPServiceDocumentRevoked .

  1. Busque el valor contentID del documento para el que desea revocar el acceso.

    Use Get-AipServiceDocumentLog para buscar un documento con el nombre de archivo o la dirección de correo electrónico del usuario que aplicó protección.

    Por ejemplo:

    Get-AipServiceDocumentLog -ContentName "test.docx" -Owner “alice@contoso.com” -FromTime "12/01/2020 00:00:00" -ToTime "12/31/2020 23:59:59"
    

    Los datos devueltos incluyen el valor contentID del documento.

    Sugerencia

    Solo los documentos que se han protegido y registrado para el seguimiento tienen un valor ContentID .

    Si el documento no tiene contentID, ábralo en una máquina con el cliente de etiquetado unificado instalado para registrar el archivo para el seguimiento.

  2. Use set-AIPServiceDocumentRevoked con el ContentID del documento para revocar el acceso.

    Por ejemplo:

    Set-AipServiceDocumentRevoked -ContentId 0e421e6d-ea17-4fdb-8f01-93a3e71333b8 -IssuerName testIssuer
    

Nota

Si se permite el acceso sin conexión , los usuarios seguirán pudiendo acceder a los documentos que se han revocado hasta que expire el período de directiva sin conexión.

Sugerencia

Los usuarios también pueden revocar el acceso a los documentos en los que aplicaron protección directamente desde el menú Confidencialidad de sus aplicaciones de Office. Para más información, consulte Guía del usuario: Revocación del acceso a documentos con Azure Information Protection

Anulación del acceso

Si ha revocado accidentalmente el acceso a un documento específico, use el mismo valor contentID con el cmdlet Clear-AipServiceDocumentRevoked para anular la revocación del acceso.

Para usar el cmdlet Clear-AipServiceDocumentRevoked , primero debe cargar el AipService.dll.

Por ejemplo:

Import-Module -Name "C:\Program Files\WindowsPowerShell\Modules\AIPService\1.0.0.4\AipService.dll"
Clear-AipServiceDocumentRevoked -ContentId   0e421e6d-ea17-4fdb-8f01-93a3e71333b8 -IssuerName testIssuer

El acceso al documento se concede al usuario que definió en el parámetro IssuerName .

Desactivar las características de seguimiento y revocación del inquilino

Si necesita desactivar las características de seguimiento y revocación del inquilino, como para los requisitos de privacidad de su organización o región, realice los dos pasos siguientes:

  1. Ejecute el cmdlet Disable-AipServiceDocumentTrackingFeature .

  2. Establezca la opción de cliente avanzado EnableTrackAndRevoke en False.

El seguimiento de documentos y las opciones para revocar el acceso están desactivados para el inquilino:

  • Abrir documentos protegidos con el cliente de etiquetado unificado de AIP ya no registra los documentos para realizar un seguimiento y revocarlos.
  • Los registros de acceso no se almacenan cuando se abren documentos protegidos que ya están registrados. Los registros de acceso que se almacenaron antes de desactivar estas características siguen estando disponibles.
  • Los administradores no podrán realizar un seguimiento ni revocar el acceso a través de PowerShell y los usuarios finales ya no verán la opción de menú Revocar en sus aplicaciones de Office.

Sugerencia

Para volver a realizar el seguimiento y revocarlo, establezca EnableTrackAndRevoke en True y ejecute también el cmdlet Enable-AipServiceDocumentTrackingFeature .

Desactivar la capacidad de los usuarios finales de revocar el acceso

Si no desea que los usuarios finales tengan la capacidad de revocar el acceso a documentos protegidos de sus aplicaciones de Office, puede quitar la opción Revocar acceso de las aplicaciones de Office.

Nota

Al quitar la opción Revocar acceso , se sigue realizando el seguimiento de los documentos protegidos en segundo plano y se conserva la capacidad de administrador de revocar el acceso a los documentos a través de PowerShell.

Para quitar la opción Revocar acceso de las aplicaciones de Office, establezca la opción de cliente avanzado EnableRevokeGuiSupport en False.

Para más información, consulte Guía del usuario: Revocación del acceso a documentos con Azure Information Protection.

Pasos siguientes

Para más información, consulte: