Guida Amministrazione: Configurazione e uso del rilevamento dei documenti per la protezione di Rights Management Service con il portale di rilevamento legacy

Articolo
10/18/2023

Nota

Il sito di rilevamento della documentazione legacy di Azure Information Protection è supportato solo per il client classico e non per il client di etichettatura unificata. Per altre informazioni, vedere Servizi rimossi e ritirati.

Per le indicazioni più recenti, vedere Tenere traccia e revocare l'accesso ai documenti.

Se dispone di una sottoscrizione che supporta il rilevamento dei documenti, il sito di rilevamento dei documenti è abilitato per impostazione predefinita per tutti gli utenti dell'organizzazione. Il rilevamento dei documenti fornisce informazioni, per utenti e amministratori, su quando si è verificato l'accesso a un documento protetto; se necessario, è possibile revocare un documento rilevato.

Uso di PowerShell per gestire il sito di rilevamento dei documenti

Le sezioni seguenti contengono informazioni su come gestire il sito di rilevamento dei documenti tramite PowerShell. Per istruzioni di installazione per il modulo PowerShell, vedere Installazione del modulo PowerShell AIPService.

Per altre informazioni su ognuno dei cmdlet, usare i collegamenti forniti.

Controlli sulla privacy per il sito di rilevamento dei documenti

Se la visualizzazione di tutte le informazioni di rilevamento dei documenti non è consentita nell'organizzazione a causa dei requisiti di privacy, è possibile disabilitare il rilevamento dei documenti usando il cmdlet Disable-AipServiceDocumentTrackingFeature .

Questo cmdlet disabilita l'accesso al sito di rilevamento dei documenti impedendo a tutti gli utenti dell'organizzazione di rilevare o revocare l'accesso ai documenti protetti. È possibile riabilitare il rilevamento dei documenti in qualsiasi momento usando Enable-AipServiceDocumentTrackingFeature ed è possibile verificare se il rilevamento dei documenti è attualmente abilitato o disabilitato tramite Get-AipServiceDocumentTrackingFeature.

Quando il sito di rilevamento dei documenti è abilitato, per impostazione predefinita vengono visualizzate informazioni quali gli indirizzi di posta elettronica delle persone che hanno tentato di accedere a documenti protetti, quando hanno tentato l'accesso e la loro posizione. Questo livello di informazioni può essere utile per determinare come vengono usati i documenti condivisi e se debbano essere revocati in caso di attività sospetta. Tuttavia, per motivi di privacy, potrebbe essere necessario disabilitare queste informazioni relative ad alcuni o tutti gli utenti.

Se si dispone di utenti che non devono tenere traccia di questa attività da parte di altri utenti, aggiungerli a un gruppo archiviato in Microsoft Entra ID e specificare questo gruppo con il cmdlet Set-AipServiceDoNotTrackUserGroup . Quando si esegue questo cmdlet è necessario specificare un singolo gruppo, ma esso può contenere gruppi annidati.

Gli utenti non possono vedere le attività dei membri di questo gruppo nel sito di rilevamento, quando queste attività sono correlate a documenti che hanno condiviso con loro. Inoltre non vengono inviate notifiche tramite posta elettronica all'utente che ha condiviso il documento.

Con questa configurazione tutti gli utenti possono comunque usare il sito di rilevamento dei documenti e revocare l'accesso ai documenti protetti, Tuttavia, non vedono l'attività per gli utenti specificati usando il cmdlet Set-AipServiceDoNotTrackUserGroup.

Questa impostazione influisce solo sugli utenti finali. Amministrazione istrator per Azure Information Protection può sempre tenere traccia delle attività di tutti gli utenti, anche quando tali utenti vengono specificati usando Set-AipServiceDoNotTrackUserGroup. Per altre informazioni su come gli amministratori possono rilevare i documenti per gli utenti, vedere la sezione Rilevamento e revoca dei documenti per gli utenti.

Registrazione delle informazioni dal sito di rilevamento dei documenti

È possibile usare i cmdlet seguenti per scaricare le informazioni di registrazione dal sito di rilevamento dei documenti:

Get-AipServiceTrackingLog

Questo cmdlet restituisce informazioni di rilevamento sui documenti protetti per un utente specificato che ha protetto documenti (autorità di certificazione Rights Management) o che hanno eseguito l'accesso a documenti protetti. Usare questo cmdlet per rispondere alla domanda "Quali documenti protetti hanno eseguito il rilevamento o l'accesso di un utente specificato?"
Get-AipServiceDocumentLog

Questo cmdlet restituisce informazioni di protezione sui documenti rilevati per un utente specificato se i documenti protetti dall'utente (autorità emittente di Rights Management) o il proprietario di Rights Management per i documenti o i documenti protetti sono stati configurati per concedere l'accesso direttamente all'utente. Usare questo cmdlet per rispondere alla domanda "Come sono protetti i documenti per un utente specificato?"

URL di destinazione utilizzati dal sito di rilevamento dei documenti

Gli URL seguenti vengono usati per il rilevamento dei documenti e devono essere consentiti in tutti i dispositivi e i servizi tra i client che eseguono il client Azure Information Protection e Internet. Ad esempio, aggiungere gli URL ai firewall o ai siti attendibili se si usa Internet Explorer con protezione avanzata.

https://*.azurerms.com
https://*.microsoftonline.com
https://*.microsoftonline-p.com
https://ecn.dev.virtualearth.net

Questi URL sono standard per il servizio Azure Rights Management, eccetto l'URL virtualearth.net utilizzato per le mappe Bing per mostrare la posizione dell'utente.

Rilevamento e revoca dei documenti per gli utenti

Quando gli utenti accedono al sito di rilevamento dei documenti, possono tenere traccia e revocare i documenti protetti usando il client Azure Information Protection. Quando si accede come Microsoft Entra Global Amministrazione istrator per il tenant, è possibile fare clic sull'icona Amministrazione, che passa alla modalità Amministrazione istrator. Altri ruoli di amministratore non supportano questa modalità per il sito di rilevamento dei documenti.

La modalità Amministrazione istrator consente di visualizzare i documenti selezionati dagli utenti dell'organizzazione per tenere traccia usando il client Azure Information Protection.

Nota

Se questa icona non viene visualizzata, nonostante sia un amministratore globale, è perché non sono ancora stati condivisi documenti manualmente. In questo caso, usare l'URL seguente per accedere al sito di rilevamento dei documenti: https://portal.azurerms.com/#/admin

Le azioni eseguite in modalità amministratore vengono controllate e registrate nei file di log di utilizzo e per continuare è necessario confermare. Per altre informazioni su questa registrazione, vedere la sezione successiva.

Quando si è in modalità amministratore è possibile eseguire ricerche per utente o per documento. Se si esegue la ricerca in base all'utente, vengono visualizzati tutti i documenti selezionati dall'utente specificato per tenere traccia usando il client Azure Information Protection.

Se si esegue la ricerca in base al documento, vengono visualizzati tutti gli utenti dell'organizzazione che hanno rilevato tale documento usando il client Azure Information Protection. È quindi possibile esaminare i risultati della ricerca per rilevare i documenti che gli utenti hanno protetto e revocare tali documenti se necessario.

Per uscire dalla modalità amministratore, fare clic sulla X accanto a Esci dalla modalità amministratore:

Per istruzioni su come usare il sito di rilevamento dei documenti, vedere Rilevare e revocare i documenti nella Guida dell'utente.

Uso di PowerShell per registrare documenti etichettati con il sito di rilevamento dei documenti

Per poter tenere traccia e revocare un documento, deve prima essere registrato con il sito di rilevamento dei documenti. Questa azione si verifica quando gli utenti selezionano l'opzione Rileva e revoca da Esplora file o dai relativi app Office quando usano il client Azure Information Protection.

Se si etichettano e si proteggono i file per gli utenti usando il cmdlet Set-AIPFileLabel , è possibile usare il parametro EnableTracking per registrare il file con il sito di rilevamento dei documenti. Ad esempio:

Set-AIPFileLabel -Path C:\Projects\ -LabelId ade72bf1-4714-4714-4714-a325f824c55a -EnableTracking

Registrazione dell'utilizzo per il sito di rilevamento dei documenti

Due campi nei file di log di utilizzo riguardano il rilevamento dei documenti: AdminAction e ActingAsUser.

AdminAction: questo campo ha il valore true quando un amministratore usa il sito di rilevamento dei documenti in modalità amministratore, ad esempio per revocare un documento per conto di un utente o per vedere quando è stato condiviso. Il campo è vuoto quando l'utente accede al sito di rilevamento dei documenti.

ActingAsUser: quando il campo AdminAction è true, questo campo contiene il nome utente per conto del quale l'amministratore opera, ad esempio l'utente cercato o il proprietario del documento. Il campo è vuoto quando l'utente accede al sito di rilevamento dei documenti.

Sono inoltre disponibili tipi di richiesta che registrano nel log informazioni su come utenti e amministratori usano il sito di rilevamento dei documenti. Ad esempio, RevokeAccess è il tipo di richiesta quando un utente o un amministratore per conto di un utente ha revocato un documento nel sito di rilevamento dei documenti. Usare questo tipo di richiesta in combinazione con il campo AdminAction per determinare se l'utente ha revocato un proprio documento (il campo AdminAction è vuoto) o un amministratore ha revocato un documento per conto dell'utente (il campo AdminAction è true).

Per altre informazioni sulla registrazione dell'utilizzo, vedere Registrazione e analisi dell'utilizzo della protezione da Azure Information Protection

Passaggi successivi

Dopo aver configurato il sito di rilevamento dei documenti per il client Azure Information Protection, vedere gli argomenti seguenti per altre informazioni che potrebbero essere necessarie per il supporto di questo client: