Guide d’Administration : configuration et utilisation du suivi des documents pour la protection du service Rights Management avec le portail de suivi hérité

  • Article

Remarque

Le site de suivi de documents Azure Information Protection hérité n’est pris en charge que pour le client classique, et non pour le client d’étiquetage unifié. Pour plus d’informations, consultez Services supprimés et retirés.

Pour obtenir les dernières instructions, consultez Suivre et révoquer l’accès aux documents.

Si votre abonnement prend en charge le suivi des documents, le site de suivi des documents est activé par défaut pour tous les utilisateurs de votre organisation. Le suivi des documents fournit des informations pour les utilisateurs et administrateurs concernant les dates d’accès à un document protégé et, si nécessaire, un document suivi peut être révoqué.

Utilisation de PowerShell pour gérer le site de suivi des documents

Les sections suivantes contiennent des informations sur la façon dont vous pouvez gérer le site de suivi des documents à l’aide de PowerShell. Pour des instructions d’installation du module PowerShell, consultez Installer le module AIPService PowerShell.

Pour plus d’informations sur chacune des applets de commande, utilisez les liens fournis.

Contrôles de confidentialité de votre site de suivi de documents

Si l’affichage de toutes les informations de suivi des documents est interdit dans votre entreprise pour des raisons de confidentialité, vous pouvez désactiver le suivi des documents à l’aide de l’applet de commande Disable-AipServiceDocumentTrackingFeature

Cette applet de commande désactive l’accès au site de suivi de documents afin que tous les utilisateurs de votre organisation ne puissent pas effectuer le suivi ou révoquer l’accès à des documents qu’ils ont protégés. Vous pouvez réactiver le suivi des documents à tout moment, à l’aide de Enable-AipServiceDocumentTrackingFeature, et vous pouvez vérifier si le suivi des documents est actuellement activé ou désactivé à l’aide de Get-AipServiceDocumentTrackingFeature.

Lorsque le site de suivi des documents est activé, il fournit par défaut des informations telles que les adresses de messagerie des personnes qui ont tenté d’accéder aux documents protégés et indique quand ces personnes ont tenté d’y accéder, ainsi que leur emplacement. Ce niveau d’informations peut être utile pour déterminer comment les documents partagés sont utilisés et s’ils doivent être révoqués en cas d’activité suspecte. Toutefois, pour des raisons de confidentialité, vous devrez peut-être désactiver ces informations utilisateur pour une partie ou l’intégralité des utilisateurs.

Si vous avez des utilisateurs pour lesquels cette activité ne doit pas être suivie par d’autres utilisateurs, ajoutez-les à un groupe qui est stocké dans Microsoft Entra ID, et spécifiez ce groupe avec l’applet de commande Set-AipServiceDoNotTrackUserGroup. Lorsque vous exécutez cette applet de commande, vous devez spécifier un groupe unique. Toutefois, le groupe peut contenir des groupes imbriqués.

Pour ces membres du groupe, les utilisateurs ne peuvent pas voir les activités sur le site de suivi du document lorsque cette activité est liée à des documents qu’ils partagent avec eux. En outre, aucune notification par e-mail n’est envoyée à l’utilisateur qui a partagé le document.

Lorsque vous utilisez cette configuration, tous les utilisateurs peuvent toujours utiliser le site de suivi de documents et révoquer l’accès à des documents qu’ils ont protégés. Toutefois, ils ne voient pas l’activité des utilisateurs que vous avez spécifiés à l’aide de l’applet de commande Set-AipServiceDoNotTrackUserGroup.

Ce paramètre affecte uniquement les utilisateurs finaux. Les administrateurs d’Azure Information Protection peuvent toujours suivre les activités de tous les utilisateurs, même lorsque ces utilisateurs sont spécifiés à l’aide de Set-AipServiceDoNotTrackUserGroup. Pour plus d’informations sur la façon dont les administrateurs peuvent suivre les documents pour les utilisateurs, consultez la section Suivi et révocation de documents pour les utilisateurs.

Journalisation des informations à partir du site de suivi des documents

Vous pouvez utiliser les applets de commande suivantes pour télécharger les informations de journalisation à partir du site de suivi des documents :

  • Get-AipServiceTrackingLog

    Cette applet de commande retourne des informations de suivi sur les documents protégés pour un utilisateur spécifié qui a protégé des documents (l’émetteur Rights Management) ou qui a accédé à des documents protégés. Utilisez cette applet de commande pour répondre à la question « Quels documents protégés un utilisateur spécifié a-t-il suivi ou accès ? »

  • Get-AipServiceDocumentLog

    Cette applet de commande retourne des informations de protection sur les documents suivis pour un utilisateur spécifié si cet utilisateur a protégé des documents (l’émetteur Rights Management) ou a été le propriétaire de Rights Management pour les documents, ou les documents protégés ont été configurés pour accorder l’accès directement à l’utilisateur. Utilisez cette applet de commande pour répondre à la question « Comment les documents sont-ils protégés pour un utilisateur ? »

URL de destination utilisées par le site de suivi de documents

Les URL suivantes sont utilisées pour le suivi des documents et doivent être autorisées sur tous les appareils et services entre les clients qui exécutent le client Azure Information Protection et Internet. Par exemple, ajoutez ces URL aux pare-feu ou à vos sites approuvés si vous utilisez Internet Explorer avec la sécurité renforcée.

  • https://*.azurerms.com

  • https://*.microsoftonline.com

  • https://*.microsoftonline-p.com

  • https://ecn.dev.virtualearth.net

Ces URL sont standard pour le service Azure Rights Management, à l’exception de l’URL virtualearth.net utilisée par les cartes Bing pour afficher l’emplacement de l’utilisateur.

Suivi et révocation de documents pour les utilisateurs

Quand les utilisateurs se connectent au site de suivi des documents, ils peuvent suivre et révoquer des documents qu’ils ont protégés à l’aide du client Azure Information Protection. Quand vous vous connectez comme administrateur Global Microsoft Entra, vous pouvez cliquer sur l’icône Administrateur pour passer en mode Administrateur. Les autres rôles d’administrateur ne prennent pas en charge ce mode pour le site de suivi des documents.

Admin icon in the document tracking site

Le mode Administrateur vous permet d’afficher les documents que les utilisateurs de votre entreprise ont choisi de suivre à l’aide du client Azure Information Protection.

Remarque

Si vous ne voyez pas cette icône, alors que vous êtes administrateur général, cela signifie que vous n’avez pas encore partagé de documents. Dans ce cas, utilisez l’URL suivante pour accéder au site de suivi des documents : https://portal.azurerms.com/#/admin

Les actions que vous prenez en mode Administrateur sont auditées et consignées dans les fichiers journaux d’utilisation, et vous devez confirmer pour continuer. Pour plus d’informations sur la journalisation, consultez la section suivante.

Quand vous êtes en mode Administrateur, vous pouvez lancer une recherche par utilisateur ou par document. Si vous effectuez une recherche par utilisateur, vous affichez tous les documents que l’utilisateur spécifié a choisi de suivre à l’aide du client Azure Information Protection.

Si vous effectuez une recherche par document, vous affichez tous les utilisateurs de votre organisation qui ont suivi ce document à l’aide du client Azure Information Protection. Vous pouvez ensuite affiner les résultats de la recherche pour suivre les documents que les utilisateurs ont protégé et révoquer ces documents, si nécessaire.

Pour quitter le mode Administrateur, cliquez sur X en regard de Quitter le mode Administrateur :

Exit administrator mode in the document tracking site

Pour obtenir des instructions sur l’utilisation du site de suivi des documents, consultez Suivre et révoquer vos documents dans le guide de l’utilisateur.

Utilisation de PowerShell pour inscrire des documents étiquetés auprès du site de suivi des documents

Pour pouvoir suivre et révoquer un document, il doit d’abord être inscrit auprès du site de suivi des documents. Cette action se produit lorsque les utilisateurs sélectionnent l’option Suivre et révoquer l’Explorateur de fichiers ou leurs application Office lorsqu’ils utilisent le client Azure Information Protection.

Si vous étiquetez et protégez des fichiers pour les utilisateurs à l’aide de l’applet de commande Set-AIPFileLabel, vous pouvez utiliser le paramètre EnableTracking pour inscrire le fichier auprès du site de suivi des documents. Par exemple :

Set-AIPFileLabel -Path C:\Projects\ -LabelId ade72bf1-4714-4714-4714-a325f824c55a -EnableTracking

Journalisation de l’utilisation du site de suivi des documents

Dans les fichiers journaux d’utilisation, deux champs s’appliquent au suivi des documents : AdminAction et ActingAsUser.

AdminAction : ce champ a la valeur True quand un administrateur utilise le site de suivi des documents en mode Administrateur, par exemple pour révoquer un document au nom d’un utilisateur ou pour voir quand il a été partagé. Ce champ est vide quand un utilisateur se connecte au site de suivi des documents.

ActingAsUser : quand le champ AdminAction a la valeur True, ce champ contient le nom de l’utilisateur au nom duquel l’administrateur agit (comme propriétaire du document ou utilisateur recherché). Ce champ est vide quand un utilisateur se connecte au site de suivi des documents.

Il existe également des types de demandes qui journalisent la façon dont les utilisateurs et les administrateurs utilisent le site de suivi des documents. Par exemple, RevokeAccess est le type de demande quand un utilisateur (ou un administrateur au nom d’un utilisateur) a révoqué un document dans le site de suivi des documents. Utilisez ce type de demande conjointement avec le champ AdminAction pour déterminer si l’utilisateur a révoqué son propre document (le champ AdminAction est vide) ou si un administrateur a révoqué un document au nom d’un d’utilisateur (AdminAction a la valeur True).

Pour plus d’informations sur la journalisation de l’utilisation, consultez Journalisation et analyse de l’utilisation de la protection à partir d’Azure Information Protection

Étapes suivantes

Maintenant que vous avez configuré le site de suivi des documents pour le client Azure Information Protection, consultez les éléments suivants pour des informations supplémentaires nécessaires à la prise en charge de ce client :