Suivre et révoquer l’accès aux documents
Le suivi des documents fournit aux administrateurs des informations sur l’accès à un document protégé. Si nécessaire, les administrateurs et les utilisateurs peuvent révoquer l’accès aux documents pour les documents suivis.
Un document doit être inscrit pour le suivi avant qu’un administrateur puisse suivre les détails de l’accès, notamment les événements d’accès réussis et les tentatives refusées, et révoquer l’accès si nécessaire. Consultez la section suivante pour connaître les versions minimales des applications Office pour l’étiquetage intégré qui prend en charge l’inscription des fichiers la prochaine fois qu’ils sont ouverts.
Remarque
Les fonctionnalités de suivi et de révocation sont prises en charge uniquement pour les types de fichiers Office.
Configuration requise
Utilisez le tableau des fonctionnalités et la ligne Suivi et révocation des documents pour identifier les versions minimales de Word, Excel et PowerPoint qui inscrivent automatiquement les documents Office locaux protégés par étiquette (s’ils ne sont pas déjà inscrits) la prochaine fois qu’ils sont ouverts.
Les applets de commande PowerShell de cet article utilisent le module PowerShell AIPService , que vous pouvez installer à partir de PowerShell Gallery. Vous devez exécuter Connect-AipService pour vous connecter à votre locataire avant d’exécuter l’une des applets de commande documentées.
Limitations
Les documents protégés par mot de passe ne sont pas pris en charge par les fonctionnalités de suivi et de révocation.
Si vous joignez plusieurs documents à un e-mail, puis que vous protégez l’e-mail et que vous l’envoyez, chacune des pièces jointes obtient la même valeur ContentID. Cette valeur ContentID est retournée uniquement avec le premier fichier qui a été ouvert. La recherche des autres pièces jointes ne renvoie pas la valeur ContentID requise pour obtenir les données de suivi.
En outre, la révocation de l’accès pour l’une des pièces jointes révoque également l’accès pour les autres pièces jointes dans le même e-mail protégé.
Les documents protégés avec des autorisations définies par l’administrateur qui sont chargés sur SharePoint ou OneDrive perdent leur valeur ContentID et l’accès ne peut pas être suivi ou révoqué.
Si un utilisateur télécharge un fichier protégé avec des autorisations définies par l’administrateur à partir de SharePoint ou OneDrive, un nouveau ContentID est appliqué au document. L’utilisation de la valeur ContentID d’origine pour suivre les données n’inclut aucun accès effectué pour le fichier téléchargé de l’utilisateur. En outre, la révocation de l’accès en fonction de la valeur ContentID d’origine ne révoque pas l’accès pour les fichiers téléchargés.
Si les administrateurs ont accès aux fichiers téléchargés, ils peuvent utiliser PowerShell pour identifier le ContentID d’un document pour le suivi et la révocation des actions.
Suivre l’accès aux documents
Les administrateurs peuvent suivre l’accès aux documents protégés via PowerShell à l’aide du ContentID généré pour le document protégé lors de l’inscription.
Pour afficher les détails de l’accès au document :
Utilisez les applets de commande suivantes pour trouver les détails du document que vous souhaitez suivre :
Recherchez la valeur ContentID du document que vous souhaitez suivre.
Utilisez Get-AipServiceDocumentLog pour rechercher un document à l’aide du nom de fichier ou de l’adresse e-mail de l’utilisateur qui a appliqué la protection.
Par exemple :
Get-AipServiceDocumentLog -ContentName "test.docx" -Owner “alice@contoso.com” -FromTime "12/01/2020 00:00:00" -ToTime "12/31/2020 23:59:59"
Cette commande retourne le ContentID pour tous les documents protégés correspondants qui sont inscrits pour le suivi.
Remarque
Les documents protégés sont enregistrés pour le suivi lorsqu’ils sont ouverts pour la première fois dans une application Office qui prend en charge l’inscription de fichiers. Si cette commande ne retourne pas le ContentID de votre fichier protégé, ouvrez-le dans une application Office qui prend en charge l’inscription de fichiers.
Utilisez l’applet de commande Get-AipServiceTrackingLog avec le ContentID de votre document pour renvoyer vos données de suivi.
Par exemple :
Get-AipServiceTrackingLog -ContentId c03bf90c-6e40-4f3f-9ba0-2bcd77524b87
Les données de suivi sont retournées, y compris les e-mails des utilisateurs qui ont tenté d’accéder, que l’accès ait été accordé ou refusé, l’heure et la date de la tentative, ainsi que le domaine et l’emplacement d’origine de la tentative d’accès.
Révoquer l’accès au document à partir de PowerShell
Les administrateurs peuvent révoquer l’accès à tout document protégé stocké dans leurs partages de contenu locaux, à l’aide de l’applet de commande Set-AIPServiceDocumentRevoked .
Remarque
Si l’accès hors connexion est autorisé, les utilisateurs continueront à pouvoir accéder aux documents qui ont été révoqués jusqu’à l’expiration de la période de stratégie hors connexion.
Recherchez la valeur ContentID du document pour lequel vous souhaitez révoquer l’accès.
Utilisez Get-AipServiceDocumentLog pour rechercher un document à l’aide du nom de fichier ou de l’adresse e-mail de l’utilisateur qui a appliqué la protection.
Par exemple :
Get-AipServiceDocumentLog -ContentName "test.docx" -Owner “alice@contoso.com” -FromTime "12/01/2020 00:00:00" -ToTime "12/31/2020 23:59:59"
Les données retournées incluent la valeur ContentID de votre document.
Conseil
Seuls les documents qui ont été protégés et enregistrés pour le suivi ont une valeur ContentID . Si votre document n’a pas de ContentID, ouvrez-le dans une application Office qui prend en charge l’inscription de fichiers.
Utilisez Set-AIPServiceDocumentRevoked avec le ContentID de votre document pour révoquer l’accès.
Par exemple :
Set-AipServiceDocumentRevoked -ContentId 0e421e6d-ea17-4fdb-8f01-93a3e71333b8 -IssuerName testIssuer
En utilisant le menu Confidentialité dans leurs applications Office, les utilisateurs peuvent également révoquer l’accès aux documents qu’ils ont protégés.
Restaurer l’accès
Si vous avez révoqué accidentellement l’accès à un document spécifique, utilisez la même valeur ContentID avec l’applet de commande Clear-AipServiceDocumentRevoked pour restaurer l’accès.
Par exemple :
Clear-AipServiceDocumentRevoked -ContentId 0e421e6d-ea17-4fdb-8f01-93a3e71333b8 -IssuerName testIssuer
L’accès au document est accordé à l’utilisateur que vous avez défini dans le paramètre IssuerName .
Désactiver le suivi et révoquer des fonctionnalités pour votre locataire
Si vous devez désactiver le suivi et révoquer des fonctionnalités pour votre locataire, telles que pour les exigences de confidentialité dans votre organisation ou région, exécutez l’applet de commande Disable-AipServiceDocumentTrackingFeature .
Le suivi des documents et les options permettant de révoquer l’accès sont désactivés pour votre locataire :
- L’ouverture de documents protégés n’enregistre plus les documents pour le suivi et la révocation.
- Les journaux d’accès ne sont pas stockés lorsque des documents protégés déjà inscrits sont ouverts. Les journaux d’accès stockés avant la désactivation de ces fonctionnalités sont toujours disponibles.
- Les administrateurs ne pourront pas suivre ou révoquer l’accès via PowerShell, et bien que les utilisateurs finaux voient toujours l’option de menu Révoquer dans leurs applications Office, le site affiche un message indiquant que le suivi et la révocation ont été désactivés par leur administrateur.
Si vous devez réactiver le suivi et révoquer, exécutez l’applet de commande Enable-AipServiceDocumentTrackingFeature .
Supprimer les options de suivi et de révocation du menu de confidentialité
Si vous devez supprimer le bouton Suivre & révoquer du menu de confidentialité sur les clients Office, utilisez les paramètres avancés PowerShell avec l’applet de commande Set-LabelPolicy .
Exemple de commande PowerShell :
Set-LabelPolicy -Identity Global -AdvancedSettings @{EnableRevokeGuiSupport="False"}