Rendszergazda útmutató: Dokumentumkövetés konfigurálása és használata a Rights Management Service védelméhez az örökölt nyomkövetési portállal

  • Cikk

Megjegyzés:

Az örökölt Azure Information Protection-dokumentumkövetési webhely csak a klasszikus ügyfél esetében támogatott, az egyesített címkézési ügyfél esetében nem. További információ: Eltávolított és kivezetett szolgáltatások.

A legújabb útmutatásért lásd a dokumentumhozzáférés nyomon követését és visszavonását ismertető témakört.

Ha rendelkezik olyan előfizetéssel, amely támogatja a dokumentumkövetést, a dokumentumkövetési webhely alapértelmezés szerint engedélyezve van a szervezet összes felhasználója számára. A dokumentumkövetés tájékoztatást nyújt a felhasználóknak és a rendszergazdáknak arról, hogy mikor fértek hozzá egy védett dokumentumhoz, és szükség esetén a követett dokumentum visszavonható.

A Dokumentumkövetési webhely kezelése a PowerShell használatával

A következő szakaszok arról tartalmaznak információt, hogyan kezelheti a dokumentumkövetési webhelyet a PowerShell használatával. A PowerShell-modul telepítési utasításait az AIPService PowerShell modul telepítése című témakörben találja.

Az egyes parancsmagokkal kapcsolatos további információkért használja a megadott hivatkozásokat.

A dokumentumkövetési webhely adatvédelmi vezérlői

Ha az adatvédelmi követelmények miatt az összes dokumentumkövetési információ megjelenítése tiltott a szervezetben, letilthatja a dokumentumkövetést a Disable-AipServiceDocumentTrackingFeature parancsmaggal.

Ez a parancsmag letiltja a dokumentumkövetési webhelyhez való hozzáférést, így a szervezet összes felhasználója nem tudja nyomon követni vagy visszavonni a védett dokumentumokhoz való hozzáférést. A dokumentumkövetést bármikor újra engedélyezheti az Enable-AipServiceDocumentTrackingFeature használatával, és a Get-AipServiceDocumentTrackingFeature használatával ellenőrizheti, hogy a dokumentumkövetés jelenleg engedélyezve van-e vagy le van-e tiltva.

Ha a dokumentumkövetési webhely engedélyezve van, alapértelmezés szerint olyan információkat jelenít meg, mint például a védett dokumentumokhoz hozzáférni próbáló személyek e-mail-címe, amikor ezek az emberek megpróbálták elérni őket, és a tartózkodási helyüket. Ez az információszint hasznos lehet annak meghatározásához, hogy a megosztott dokumentumok hogyan legyenek használatban, és hogy vissza kell-e vonni őket, ha gyanús tevékenység látható. Adatvédelmi okokból azonban előfordulhat, hogy néhány vagy az összes felhasználó esetében le kell tiltania ezeket a felhasználói adatokat.

Ha vannak olyan felhasználói, akiknek nem kellene nyomon követnie ezt a tevékenységet más felhasználók számára, vegye fel őket egy Microsoft Entra-azonosítóban tárolt csoportba, és adja meg ezt a csoportot a Set-AipServiceDoNotTrackUserGroup parancsmaggal. A parancsmag futtatásakor egyetlen csoportot kell megadnia. A csoport azonban tartalmazhat beágyazott csoportokat.

Ezen csoporttagok esetében a felhasználók nem láthatnak semmilyen tevékenységet a dokumentumkövetési webhelyen, ha ez a tevékenység a velük megosztott dokumentumokhoz kapcsolódik. Ezenkívül a rendszer nem küld e-mail-értesítéseket a dokumentumot megosztó felhasználónak.

Ha ezt a konfigurációt használja, minden felhasználó továbbra is használhatja a dokumentumkövetési webhelyet, és visszavonhatja a hozzáférést a védett dokumentumokhoz. Azonban nem látják a Set-AipServiceDoNotTrackUserGroup parancsmaggal megadott felhasználók tevékenységeit.

Ez a beállítás csak a végfelhasználókra vonatkozik. az Azure Information Protection Rendszergazda istratorjai mindig nyomon követhetik az összes felhasználó tevékenységeit, még akkor is, ha a felhasználók a Set-AipServiceDoNotTrackUserGroup használatával vannak megadva. További információ arról, hogy a rendszergazdák hogyan követhetik nyomon a felhasználók dokumentumait, olvassa el a Dokumentumok nyomon követése és visszavonása a felhasználók számára című szakaszt.

Naplózási információk a dokumentumkövetési webhelyről

A következő parancsmagokkal töltheti le a naplózási adatokat a dokumentumkövetési webhelyről:

  • Get-AipServiceTrackingLog

    Ez a parancsmag nyomkövetési információkat ad vissza a védett dokumentumokról egy adott felhasználó számára, aki védett dokumentumokat (a Rights Management-kiállítót) vagy a védett dokumentumokat elért. Ezzel a parancsmaggal válaszolhat a következő kérdésre: "Melyik védett dokumentumot követte egy megadott felhasználó?"

  • Get-AipServiceDocumentLog

    Ez a parancsmag védelmi információkat ad vissza egy adott felhasználó nyomon követett dokumentumairól, ha a felhasználó által védett dokumentumok (a Rights Management-kiállító) vagy a dokumentumok Rights Management-tulajdonosa, vagy a védett dokumentumok úgy lettek konfigurálva, hogy közvetlenül a felhasználó számára biztosítsanak hozzáférést. Ezzel a parancsmaggal válaszolhat a "Hogyan védik a dokumentumokat egy adott felhasználó számára?" kérdésre.

A dokumentumkövetési webhely által használt cél URL-címek

A dokumentumkövetéshez a következő URL-címek használhatók, és az Azure Information Protection-ügyfelet és az internetet futtató ügyfelek közötti összes eszközön és szolgáltatásban engedélyezve kell lenniük. Hozzáadhatja például ezeket az URL-címeket a tűzfalakhoz vagy a megbízható helyekhez, ha az Internet Explorert fokozott biztonsággal használja.

  • https://*.azurerms.com

  • https://*.microsoftonline.com

  • https://*.microsoftonline-p.com

  • https://ecn.dev.virtualearth.net

Ezek az URL-címek szabványosak a Azure Tartalomvédelmi szolgáltatások szolgáltatáshoz, kivéve a virtualearth.net URL-címet, amelyet a Bing térképek használnak a felhasználói hely megjelenítéséhez.

Dokumentumok nyomon követése és visszavonása felhasználók számára

Amikor a felhasználók bejelentkeznek a dokumentumkövetési webhelyre, nyomon követhetik és visszavonhatják az Azure Information Protection-ügyféllel védett dokumentumokat. Amikor Microsoft Entra Global Rendszergazda istratorként jelentkezik be a bérlőjéhez, kattintson a Rendszergazda ikonra, amely Rendszergazda istrator módra vált. Más rendszergazdai szerepkörök nem támogatják ezt a módot a dokumentumkövetési webhely esetében.

Admin icon in the document tracking site

A Rendszergazda istrator mód lehetővé teszi a szervezet felhasználói által az Azure Information Protection-ügyféllel nyomon követett dokumentumok megtekintését.

Megjegyzés:

Ha nem látja ezt az ikont, annak ellenére, hogy globális rendszergazda, annak az az oka, hogy még nem osztott meg dokumentumokat. Ebben az esetben használja a következő URL-címet a dokumentumkövetési webhely eléréséhez: https://portal.azurerms.com/#/admin

A Rendszergazda istrator módban végrehajtott műveleteket a rendszer naplózza és naplózza a használati naplófájlokban, és meg kell erősítenie a folytatást. A naplózással kapcsolatos további információkért lásd a következő szakaszt.

Ha Rendszergazda istrator módban van, felhasználó vagy dokumentum alapján kereshet. Ha felhasználó alapján keres, láthatja az összes olyan dokumentumot, amelyet a megadott felhasználó az Azure Information Protection-ügyféllel követ nyomon.

Ha dokumentum alapján keres, láthatja a szervezet összes felhasználóját, akik az Azure Information Protection-ügyféllel követték nyomon a dokumentumot. Ezután részletezheti a keresési eredményeket a felhasználók által védett dokumentumok nyomon követéséhez, és szükség esetén visszavonhatja ezeket a dokumentumokat.

A Rendszergazda istrator mód elhagyásához kattintson az X gombra a Kilépés a rendszergazdai módból:

Exit administrator mode in the document tracking site

A dokumentumkövetési webhely használatáról további információt a dokumentumok nyomon követése és visszavonása a felhasználói útmutatóban talál.

Címkézett dokumentumok regisztrálása a PowerShell használatával a dokumentumkövetési webhelyen

Egy dokumentum nyomon követéséhez és visszavonásához először regisztrálni kell a dokumentumkövetési webhelyen. Ez a művelet akkor fordul elő, ha a felhasználók az Azure Information Protection-ügyfél használatakor kiválasztják a Nyomon követés és visszavonás lehetőséget Fájlkezelő vagy Office-app.

Ha a Set-AIPFileLabel parancsmaggal címkéz és véd fájlokat a felhasználók számára, az EnableTracking paraméterrel regisztrálhatja a fájlt a dokumentumkövetési webhelyen. Például:

Set-AIPFileLabel -Path C:\Projects\ -LabelId ade72bf1-4714-4714-4714-a325f824c55a -EnableTracking

A dokumentumkövetési webhely használati naplózása

A használati naplófájlok két mezője alkalmazható a dokumentumkövetésre: Rendszergazda Action és ActingAsUser.

Rendszergazda Action – Ez a mező igaz értékkel rendelkezik, ha egy rendszergazda Rendszergazda istrator módban használja a dokumentumkövetési webhelyet, például visszavon egy dokumentumot egy felhasználó nevében, vagy hogy lássa, mikor osztották meg. Ez a mező üres, amikor egy felhasználó bejelentkezik a dokumentumkövetési webhelyre.

ActingAsUser – Ha a Rendszergazda Action mező igaz, ez a mező azt a felhasználónevet tartalmazza, amelyet a rendszergazda a keresett felhasználó vagy dokumentum tulajdonosaként végez. Ez a mező üres, amikor egy felhasználó bejelentkezik a dokumentumkövetési webhelyre.

Vannak olyan kéréstípusok is, amelyek naplózják, hogy a felhasználók és a rendszergazdák hogyan használják a dokumentumkövetési webhelyet. A RevokeAccess például az a kéréstípus, amikor egy felhasználó vagy egy felhasználó nevében egy rendszergazda visszavont egy dokumentumot a dokumentumkövetési webhelyen. Ezt a kéréstípust a Rendszergazda Action mezővel kombinálva állapítsa meg, hogy a felhasználó visszavonta-e a saját dokumentumát (a Rendszergazda Action mező üres), vagy egy rendszergazda visszavont egy dokumentumot egy felhasználó nevében (a Rendszergazda Action értéke igaz).

A használati naplózással kapcsolatos további információkért lásd az Azure Information Protection védelmi használatának naplózását és elemzését

Következő lépések

Most, hogy konfigurálta az Azure Information Protection-ügyfél dokumentumkövető webhelyét, az alábbiakban talál további információt, amelyekre szükség lehet az ügyfél támogatásához: