Panduan Admin: Mengonfigurasi dan menggunakan pelacakan dokumen untuk perlindungan Layanan Manajemen Hak dengan portal pelacakan lama

  • Artikel

Catatan

Situs pelacakan dokumen Perlindungan Informasi Azure warisan hanya didukung untuk klien klasik, dan bukan untuk klien pelabelan terpadu. Untuk informasi lebih lanjut, lihat Layanan yang dihapus dan dihentikan.

Untuk panduan terbaru, lihat Melacak dan mencabut akses dokumen.

Jika Anda memiliki langganan yang mendukung pelacakan dokumen, situs pelacakan dokumen diaktifkan secara default untuk semua pengguna di organisasi Anda. Pelacakan dokumen menyediakan informasi untuk pengguna dan administrator tentang kapan dokumen yang dilindungi diakses dan jika perlu, dokumen terlacak dapat dicabut.

Menggunakan PowerShell untuk mengelola situs pelacakan dokumen

Bagian berikut berisi informasi tentang bagaimana Anda bisa mengelola situs pelacakan dokumen dengan menggunakan PowerShell. Untuk instruksi penginstalan untuk modul PowerShell, lihat Menginstal modul AIPService PowerShell.

Untuk informasi selengkapnya tentang setiap cmdlet, gunakan tautan yang disediakan.

Kontrol privasi untuk situs pelacakan dokumen Anda

Jika menampilkan semua informasi pelacakan dokumen dilarang di organisasi Anda karena persyaratan privasi, Anda dapat menonaktifkan pelacakan dokumen dengan menggunakan cmdlet Disable-AipServiceDocumentTrackingFeature .

Cmdlet ini menonaktifkan akses ke situs pelacakan dokumen sehingga semua pengguna di organisasi Anda tidak dapat melacak atau mencabut akses ke dokumen yang telah mereka lindungi. Anda dapat mengaktifkan kembali pelacakan dokumen kapan saja, dengan menggunakan Enable-AipServiceDocumentTrackingFeature, dan Anda dapat memeriksa apakah pelacakan dokumen saat ini diaktifkan atau dinonaktifkan dengan menggunakan Get-AipServiceDocumentTrackingFeature.

Ketika situs pelacakan dokumen diaktifkan, secara default, situs tersebut menampilkan informasi seperti alamat email orang-orang yang mencoba mengakses dokumen yang dilindungi, ketika orang-orang ini mencoba mengaksesnya, dan lokasinya. Tingkat informasi ini dapat membantu untuk menentukan bagaimana dokumen bersama digunakan dan apakah dokumen tersebut harus dicabut jika aktivitas yang mencurigakan terlihat. Namun, karena alasan privasi, Anda mungkin perlu menonaktifkan informasi pengguna ini untuk beberapa atau semua pengguna.

Jika Anda memiliki pengguna yang seharusnya tidak melacak aktivitas ini oleh pengguna lain, tambahkan mereka ke grup yang disimpan di MICROSOFT Entra ID, dan tentukan grup ini dengan cmdlet Set-AipServiceDoNotTrackUserGroup . Saat Menjalankan cmdlet ini, Anda harus menentukan satu grup. Namun, grup dapat berisi grup berlapis.

Untuk anggota grup ini, pengguna tidak dapat melihat aktivitas apa pun di situs pelacakan dokumen saat aktivitas tersebut terkait dengan dokumen yang mereka bagikan dengan mereka. Selain itu, tidak ada pemberitahuan email yang dikirim ke pengguna yang berbagi dokumen.

Saat Anda menggunakan konfigurasi ini, semua pengguna masih dapat menggunakan situs pelacakan dokumen dan mencabut akses ke dokumen yang telah mereka lindungi. Namun, mereka tidak melihat aktivitas untuk pengguna yang telah Anda tentukan dengan menggunakan cmdlet Set-AipServiceDoNotTrackUserGroup.

Pengaturan ini hanya memengaruhi pengguna akhir. Administrator untuk Perlindungan Informasi Azure selalu dapat melacak aktivitas semua pengguna, bahkan ketika pengguna tersebut ditentukan dengan menggunakan Set-AipServiceDoNotTrackUserGroup. Untuk informasi selengkapnya tentang bagaimana administrator dapat melacak dokumen untuk pengguna, lihat bagian Melacak dan mencabut dokumen untuk pengguna .

Informasi pengelogan dari situs pelacakan dokumen

Anda bisa menggunakan cmdlet berikut untuk mengunduh informasi pengelogan dari situs pelacakan dokumen:

  • Get-AipServiceTrackingLog

    Cmdlet ini mengembalikan informasi pelacakan tentang dokumen yang dilindungi untuk pengguna tertentu yang melindungi dokumen (penerbit Rights Management) atau siapa yang mengakses dokumen yang dilindungi. Gunakan cmdlet ini untuk membantu menjawab pertanyaan "Dokumen yang dilindungi mana yang melacak atau mengakses pengguna tertentu?"

  • Get-AipServiceDocumentLog

    Cmdlet ini mengembalikan informasi perlindungan tentang dokumen yang dilacak untuk pengguna tertentu jika dokumen yang dilindungi pengguna tersebut (penerbit Manajemen Hak) atau merupakan pemilik Manajemen Hak untuk dokumen, atau dokumen yang dilindungi dikonfigurasi untuk memberikan akses langsung kepada pengguna. Gunakan cmdlet ini untuk membantu menjawab pertanyaan "Bagaimana dokumen dilindungi untuk pengguna tertentu?"

URL tujuan yang digunakan oleh situs pelacakan dokumen

URL berikut digunakan untuk pelacakan dokumen dan harus diizinkan di semua perangkat dan layanan antara klien yang menjalankan klien Perlindungan Informasi Azure dan internet. Misalnya, tambahkan URL ini ke firewall, atau ke Situs Tepercaya jika Anda menggunakan Internet Explorer dengan Keamanan Yang Ditingkatkan.

  • https://*.azurerms.com

  • https://*.microsoftonline.com

  • https://*.microsoftonline-p.com

  • https://ecn.dev.virtualearth.net

URL ini adalah standar untuk layanan Azure Rights Management, dengan pengecualian URL virtualearth.net yang digunakan untuk peta Bing untuk menampilkan lokasi pengguna.

Melacak dan mencabut dokumen untuk pengguna

Saat pengguna masuk ke situs pelacakan dokumen, mereka dapat melacak dan mencabut dokumen yang telah mereka lindungi dengan menggunakan klien Perlindungan Informasi Azure. Saat masuk sebagai Administrator Global Microsoft Entra untuk penyewa, Anda dapat mengklik ikon Admin, yang beralih ke mode Administrator. Peran administrator lainnya tidak mendukung mode ini untuk situs pelacakan dokumen.

Admin icon in the document tracking site

Mode Administrator memungkinkan Anda melihat dokumen yang telah dipilih pengguna di organisasi Anda untuk dilacak dengan menggunakan klien Perlindungan Informasi Azure.

Catatan

Jika Anda tidak melihat ikon ini, meskipun menjadi administrator global, itu karena Anda belum berbagi dokumen apa pun sendiri. Dalam hal ini, gunakan URL berikut untuk mengakses situs pelacakan dokumen: https://portal.azurerms.com/#/admin

Tindakan yang Anda ambil dalam mode Administrator diaudit dan masuk ke file log penggunaan, dan Anda harus mengonfirmasi untuk melanjutkan. Untuk informasi selengkapnya tentang pengelogan ini, lihat bagian berikutnya.

Saat Anda berada dalam mode Administrator, Anda kemudian dapat mencari menurut pengguna atau dokumen. Jika Anda mencari berdasarkan pengguna, Anda akan melihat semua dokumen yang telah dipilih pengguna yang ditentukan untuk dilacak dengan menggunakan klien Perlindungan Informasi Azure.

Jika Anda mencari berdasarkan dokumen, Anda akan melihat semua pengguna di organisasi Anda yang melacak dokumen tersebut dengan menggunakan klien Perlindungan Informasi Azure. Anda kemudian dapat menelusuri hasil pencarian untuk melacak dokumen yang telah dilindungi pengguna dan mencabut dokumen-dokumen ini, jika perlu.

Untuk meninggalkan mode Administrator, klik X di samping Keluar dari mode administrator:

Exit administrator mode in the document tracking site

Untuk petunjuk cara menggunakan situs pelacakan dokumen, lihat Melacak dan mencabut dokumen Anda dari panduan pengguna.

Menggunakan PowerShell untuk mendaftarkan dokumen berlabel dengan situs pelacakan dokumen

Agar dapat melacak dan mencabut dokumen, dokumen harus terlebih dahulu didaftarkan ke situs pelacakan dokumen. Tindakan ini terjadi ketika pengguna memilih opsi Lacak dan cabut dari File Explorer atau aplikasi Office mereka saat mereka menggunakan klien Perlindungan Informasi Azure.

Jika Anda memberi label dan melindungi file untuk pengguna dengan menggunakan cmdlet Set-AIPFileLabel , Anda dapat menggunakan parameter EnableTracking untuk mendaftarkan file dengan situs pelacakan dokumen. Contohnya:

Set-AIPFileLabel -Path C:\Projects\ -LabelId ade72bf1-4714-4714-4714-a325f824c55a -EnableTracking

Pengelogan penggunaan untuk situs pelacakan dokumen

Dua bidang dalam file log penggunaan berlaku untuk pelacakan dokumen: AdminAction dan ActingAsUser.

AdminAction - Bidang ini memiliki nilai benar ketika administrator menggunakan situs pelacakan dokumen dalam mode Administrator, misalnya, untuk mencabut dokumen atas nama pengguna atau untuk melihat kapan dokumen dibagikan. Bidang ini kosong ketika pengguna masuk ke situs pelacakan dokumen.

ActingAsUser - Ketika bidang AdminAction benar, bidang ini berisi nama pengguna yang ditindaklanjuti administrator sebagai pengguna atau pemilik dokumen yang dicari. Bidang ini kosong ketika pengguna masuk ke situs pelacakan dokumen.

Ada juga jenis permintaan yang mencatat bagaimana pengguna dan administrator menggunakan situs pelacakan dokumen. Misalnya, RevokeAccess adalah jenis permintaan ketika pengguna atau administrator atas nama pengguna telah mencabut dokumen di situs pelacakan dokumen. Gunakan jenis permintaan ini dalam kombinasi dengan bidang AdminAction untuk menentukan apakah pengguna mencabut dokumen mereka sendiri (bidang AdminAction kosong) atau administrator mencabut dokumen atas nama pengguna (AdminAction benar).

Untuk informasi selengkapnya tentang pengelogan penggunaan, lihat Pengelogan dan analisis penggunaan perlindungan dari Perlindungan Informasi Azure

Langkah berikutnya

Sekarang setelah Anda mengonfigurasi situs pelacakan dokumen untuk klien Perlindungan Informasi Azure, lihat berikut ini untuk informasi tambahan yang mungkin perlu Anda dukung klien ini: