Guide de l’administrateur : suivre et révoquer l’accès aux documents avec Azure Information Protection
Remarque
Recherchez-vous Microsoft Purview Information Protection, anciennement Microsoft Information Protection (MIP) ?
Le complément Azure Information Protection pour Office est désormais en mode maintenance et sera mis hors service en avril 2024. Au lieu de cela, nous vous recommandons d’utiliser des étiquettes intégrées à vos applications et services Office 365, qui prennent également en charge le suivi et la révocation de l’accès aux documents.
Le suivi des documents fournit des informations aux administrateurs, avec le rôle Administrateur Azure Information Protection ou Administrateur Azure Rights Management Global, à propos de l’accès à un document protégé. Si nécessaire, les administrateurs et les utilisateurs peuvent révoquer l’accès aux documents suivis.
Dans les versions 2.9.111.0 ou ultérieures, les documents protégés Office qui ne sont pas encore inscrits pour le suivi seront automatiquement inscrits la prochaine fois qu’ils seront ouverts via le client d’étiquetage unifié AIP. Les documents protégés sont pris en charge pour le suivi et la révocation, même s’ils ne sont pas étiquetés.
L’enregistrement d’un document pour le suivi permet aux administrateurs de suivre les détails de l’accès, notamment les événements d’accès réussis et les tentatives refusées, ainsi que de révoquer l’accès si nécessaire.
Remarque
Les fonctionnalités de suivi et de révocation sont prises en charge uniquement pour les types de fichiers Office.
Les documents protégés sont pris en charge pour le suivi et la révocation, même s’ils ne sont pas étiquetés.
Superviser l’accès au document
Les administrateurs peuvent suivre l’accès aux documents protégés via PowerShell à l’aide du ContentID généré pour le document protégé pendant l’enregistrement.
Pour afficher les détails de l’accès au document :
Utilisez les cmdlets suivantes pour trouver les détails du document que vous souhaitez suivre :
Recherchez la valeur ContentID pour le document que vous souhaitez suivre.
Utilisez Get-AipServiceDocumentLog pour rechercher un document à l’aide du nom de fichier et/ou de l’adresse e-mail de l’utilisateur qui a appliqué la protection.
Par exemple :
Get-AipServiceDocumentLog -ContentName "test.docx" -Owner “alice@contoso.com” -FromTime "12/01/2020 00:00:00" -ToTime "12/31/2020 23:59:59"Cette commande retourne le ContentID pour tous les documents protégés correspondants enregistrés pour le suivi.
Remarque
Les documents protégés sont enregistrés pour le suivi lorsqu’ils sont ouverts pour la première fois sur un ordinateur avec le client d’étiquetage unifié installé. Si cette commande ne retourne pas le ContentID de votre fichier protégé, ouvrez-le sur un ordinateur avec le client d’étiquetage unifié installé pour enregistrer le document pour le suivi.
Utilisez la cmdletGet-AipServiceTrackingLog avec le ContentID de votre document pour retourner vos données de suivi.
Par exemple :
Get-AipServiceTrackingLog -ContentId c03bf90c-6e40-4f3f-9ba0-2bcd77524b87Les données de suivi sont retournées, y compris les e-mails des utilisateurs qui ont tenté d’y accéder, que l’accès ait été accordé ou refusé, l’heure et la date de la tentative, ainsi que le domaine et l’emplacement où provient la tentative d’accès.
Révoquer l’accès au document à partir de PowerShell
Les administrateurs peuvent révoquer l’accès pour tout document protégé stocké dans leurs partages de contenu locaux, à l’aide de la cmdlet Set-AIPServiceDocumentRevoked.
Recherchez la valeur ContentID pour le document pour lequel vous souhaitez révoquer l’accès.
Utilisez Get-AipServiceDocumentLog pour rechercher un document à l’aide du nom de fichier et/ou de l’adresse e-mail de l’utilisateur qui a appliqué la protection.
Par exemple :
Get-AipServiceDocumentLog -ContentName "test.docx" -Owner “alice@contoso.com” -FromTime "12/01/2020 00:00:00" -ToTime "12/31/2020 23:59:59"Les données retournées incluent la valeur ContentID de votre document.
Conseil
Seuls les documents qui ont été protégés et inscrits pour le suivi ont une valeur ContentID.
Si votre document n’a pas de contentID, ouvrez-le sur un ordinateur avec le client d’étiquetage unifié installé pour enregistrer le fichier pour le suivi.
Utilisez Set-AIPServiceDocumentRevoked avec le ContentID de votre document pour révoquer l’accès.
Par exemple :
Set-AipServiceDocumentRevoked -ContentId 0e421e6d-ea17-4fdb-8f01-93a3e71333b8 -IssuerName testIssuer
Remarque
Si l’accès hors connexion est autorisé, les utilisateurs continueront à accéder aux documents qui ont été révoqués jusqu’à l’expiration de la période de stratégie hors connexion.
Conseil
Les utilisateurs peuvent également révoquer l’accès pour tous les documents sur lesquels ils ont appliqué la protection directement depuis le menu Confidentialité de leurs applications Office. Pour plus d’informations, consultez Guide de l’utilisateur : Révoquer l’accès aux documents avec Azure Information Protection
Annulez la révocation de l’accès
Si vous avez accidentellement révoqué l’accès à un document spécifique, utilisez la même valeur de ContentID avec la cmdlet Clear-AipServiceDocumentRevoked pour annuler la révocation de l’accès.
Pour utiliser la cmdlet Clear-AipServiceDocumentRevoked, vous devez d’abord charger AipService.dll.
Par exemple :
Import-Module -Name "C:\Program Files\WindowsPowerShell\Modules\AIPService\1.0.0.4\AipService.dll"
Clear-AipServiceDocumentRevoked -ContentId 0e421e6d-ea17-4fdb-8f01-93a3e71333b8 -IssuerName testIssuer
L’accès au document est accordé à l’utilisateur que vous avez défini dans le paramètre IssuerName.
Désactiver le suivi et révoquer les fonctionnalités de votre client
Si vous devez désactiver les fonctionnalités de suivi et de révocation pour votre client, par exemple pour les exigences de confidentialité de votre organisation ou de votre région, effectuez les deux étapes suivantes :
Exécutez la cmdlet Disable-AipServiceDocumentTrackingFeature.
Définissez le paramètre client avancé EnableTrackAndRevoke sur Faux.
Le suivi des documents et les options permettant de révoquer l’accès sont désactivés pour votre client :
- L’ouverture de documents protégés avec le client d’étiquetage unifié AIP n’enregistre plus les documents pour le suivi et la révocation.
- Les journaux d’accès ne sont pas stockés lorsque des documents protégés déjà enregistrés sont ouverts. Les journaux d’accès stockés avant de désactiver ces fonctionnalités sont toujours disponibles.
- Les administrateurs ne pourront plus suivre ou révoquer l’accès via PowerShell, et les utilisateurs finaux ne verront plus l’option de menu Révoquer dans leurs applications Office.
Conseil
Pour réactiver le suivi et la révocation, définissez EnableTrackAndRevoke sur Vrai, puis exécutez également la cmdlet Enable-AipServiceDocumentTrackingFeature.
Désactiver la possibilité pour les utilisateurs finaux de révoquer l’accès
Si vous ne souhaitez pas que les utilisateurs finaux aient la possibilité de révoquer l’accès aux documents protégés de leurs applications Office, vous pouvez supprimer l’option Révoquer l’accès de vos applications Office.
Remarque
La suppression de l’option Révoquer l’accès garde le suivi en arrière-plan de vos documents protégés et conserve la possibilité pour l’administrateur de révoquer l’accès aux documents via PowerShell.
Pour supprimer l’option Révoquer l’accès des applications Office, définissez le paramètre client avancé EnableRevokeGuiSupport sur Faux.
Pour plus d’informations, consultez Guide de l’utilisateur : Révoquer l’accès aux documents avec Azure Information Protection.
Étapes suivantes
Pour plus d’informations, consultez l’article suivant :
Commentaires
Bientôt disponible : Tout au long de l’année 2024, nous abandonnerons progressivement le mécanisme de retour d’information GitHub Issues pour le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultez : https://aka.ms/ContentUserFeedback.
Soumettre et afficher des commentaires pour