Guida Amministrazione: Configurazione e uso del rilevamento dei documenti per la protezione di Rights Management Service con il portale di rilevamento legacy

  • Articolo

Nota

Il sito di rilevamento legacy di Azure Information Protection doc è supportato solo per il client classico e non per il client di etichettatura unificata. Per altre informazioni, vedere Servizi rimossi e ritirati.

Se si dispone di una sottoscrizione che supporta il rilevamento dei documenti, il sito di rilevamento dei documenti è abilitato per impostazione predefinita per tutti gli utenti dell'organizzazione. Il rilevamento dei documenti fornisce informazioni, per utenti e amministratori, su quando si è verificato l'accesso a un documento protetto; se necessario, è possibile revocare un documento rilevato.

Uso di PowerShell per gestire il sito di rilevamento dei documenti

Le sezioni seguenti contengono informazioni su come gestire il sito di rilevamento dei documenti tramite PowerShell. Per istruzioni di installazione per il modulo PowerShell, vedere Installazione del modulo PowerShell AIPService.

Per altre informazioni su ognuno dei cmdlet, usare i relativi collegamenti.

Controlli sulla privacy per il sito di rilevamento dei documenti

Se la visualizzazione di tutte le informazioni di rilevamento dei documenti non è consentita nell'organizzazione a causa dei requisiti di privacy, è possibile disabilitare il rilevamento dei documenti usando il cmdlet Disable-AipServiceDocumentTrackingFeature .

Questo cmdlet disabilita l'accesso al sito di rilevamento dei documenti impedendo a tutti gli utenti dell'organizzazione di rilevare o revocare l'accesso ai documenti protetti. È possibile riabilitare il rilevamento dei documenti in qualsiasi momento usando Enable-AipServiceDocumentTrackingFeature ed è possibile verificare se il rilevamento dei documenti è attualmente abilitato o disabilitato tramite Get-AipServiceDocumentTrackingFeature.

Quando il sito di rilevamento dei documenti è abilitato, per impostazione predefinita vengono visualizzate informazioni quali gli indirizzi di posta elettronica delle persone che hanno tentato di accedere a documenti protetti, quando hanno tentato l'accesso e la loro posizione. Questo livello di informazioni può essere utile per determinare come vengono usati i documenti condivisi e se debbano essere revocati in caso di attività sospetta. Tuttavia, per motivi di privacy, potrebbe essere necessario disabilitare queste informazioni relative ad alcuni o tutti gli utenti.

Se si dispone di utenti che non devono tenere traccia di questa attività da parte di altri utenti, aggiungerli a un gruppo archiviato in Azure AD e specificare questo gruppo con il cmdlet Set-AipServiceDoNotTrackUserGroup . Quando si esegue questo cmdlet è necessario specificare un singolo gruppo, ma esso può contenere gruppi annidati.

Gli utenti non possono vedere le attività dei membri di questo gruppo nel sito di rilevamento, quando queste attività sono correlate a documenti che hanno condiviso con loro. Inoltre non vengono inviate notifiche tramite posta elettronica all'utente che ha condiviso il documento.

Con questa configurazione tutti gli utenti possono comunque usare il sito di rilevamento dei documenti e revocare l'accesso ai documenti protetti, Tuttavia, non vedono l'attività per gli utenti specificati usando il cmdlet Set-AipServiceDoNotTrackUserGroup.

Questa impostazione influisce solo sugli utenti finali. Gli amministratori di Azure Information Protection possono sempre tenere traccia delle attività di tutti gli utenti, anche quando tali utenti vengono specificati usando Set-AipServiceDoNotTrackUserGroup. Per altre informazioni su come gli amministratori possono rilevare i documenti per gli utenti, vedere la sezione Rilevamento e revoca dei documenti per gli utenti.

Informazioni di registrazione dal sito di rilevamento dei documenti

È possibile usare i cmdlet seguenti per scaricare le informazioni di registrazione dal sito di rilevamento dei documenti:

  • Get-AipServiceTrackingLog

    Questo cmdlet restituisce informazioni di rilevamento sui documenti protetti per un utente specificato che ha protetto i documenti (emittente di Rights Management) o ha avuto accesso a documenti protetti. Usare questo cmdlet per rispondere alla domanda "A quali documenti protetti ha eseguito l'accesso un utente specificato o quali documenti protetti ha rilevato?"

  • Get-AipServiceDocumentLog

    Questo cmdlet restituisce informazioni di protezione sui documenti rilevati per un utente specificato se tale utente ha protetto documenti (emittente di Rights Management) o era proprietario di Rights Management per i documenti oppure se i documenti protetti erano configurati per consentire l'accesso direttamente all'utente. Usare questo cmdlet per rispondere alla domanda "In che modo sono protetti i documenti per un utente specificato?"

URL di destinazione utilizzati dal sito di rilevamento dei documenti

Gli URL seguenti vengono usati per il rilevamento dei documenti e devono essere consentiti in tutti i dispositivi e servizi tra i client che eseguono il client di Azure Information Protection e Internet. Ad esempio, aggiungere gli URL ai firewall o ai siti attendibili se si usa Internet Explorer con protezione avanzata.

  • https://*.azurerms.com

  • https://*.microsoftonline.com

  • https://*.microsoftonline-p.com

  • https://ecn.dev.virtualearth.net

Questi URL sono standard per il servizio Azure Rights Management, eccetto l'URL virtualearth.net utilizzato per le mappe Bing per mostrare la posizione dell'utente.

Rilevamento e revoca dei documenti per gli utenti

Quando gli utenti accedono al sito di rilevamento dei documenti, possono rilevare e revocare i documenti protetti tramite il client Azure Information Protection. Quando si accede come amministratore di globale di Azure AD per il tenant, è possibile fare clic sull'icona di amministrazione per passare alla modalità amministratore. Gli altri ruoli di amministratore non supportano questa modalità per il sito di rilevamento dei documenti.

Icona di amministrazione nel sito di rilevamento dei documenti

La modalità amministratore consente di visualizzare i documenti che gli utenti dell'organizzazione hanno selezionato per tenerne traccia con il client Azure Information Protection.

Nota

Se si è un amministratore globale e l'icona non è visibile, significa che non sono stati ancora condivisi documenti. In questo caso, usare l'URL seguente per accedere al sito di rilevamento dei documenti: https://portal.azurerms.com/#/admin

Le azioni eseguite in modalità amministratore vengono controllate e registrate nei file di log di utilizzo e per continuare è necessario confermare. Per altre informazioni su questa registrazione, vedere la sezione successiva.

Quando si è in modalità amministratore è possibile eseguire ricerche per utente o per documento. Se si esegue la ricerca per utente, vengono visualizzati tutti i documenti che l'utente specificato ha selezionato per tenerne traccia con il client Azure Information Protection.

Se si esegue la ricerca per documento, vengono visualizzati tutti gli utenti dell'organizzazione che hanno tenuto traccia del documento con il client Azure Information Protection. È quindi possibile esaminare i risultati della ricerca per rilevare i documenti che gli utenti hanno protetto e revocare tali documenti se necessario.

Per uscire dalla modalità amministratore, fare clic sulla X accanto a Esci dalla modalità amministratore:

Uscire dalla modalità amministratore nel sito di rilevamento dei documenti

Per istruzioni su come usare il sito di rilevamento dei documenti, vedere Rilevare e revocare i documenti nella Guida dell'utente.

Uso di PowerShell per registrare i documenti etichettati nel sito di rilevamento dei documenti

Per poter rilevare e revocare un documento, è prima necessario registrarlo nel sito di rilevamento dei documenti. Questa azione si verifica quando gli utenti selezionano l'opzione Rileva e revoca da Esplora file o dalle app di Office quando usano il client Azure Information Protection.

Se si etichettano e proteggono i file per gli utenti usando il cmdlet Set-AIPFileLabel, è possibile usare il parametro EnableTracking per registrare il file nel sito di rilevamento dei documenti. Ad esempio:

Set-AIPFileLabel -Path C:\Projects\ -LabelId ade72bf1-4714-4714-4714-a325f824c55a -EnableTracking

Registrazione dell'utilizzo per il sito di rilevamento dei documenti

Due campi nei file di log di utilizzo riguardano il rilevamento dei documenti: AdminAction e ActingAsUser.

AdminAction: questo campo ha il valore true quando un amministratore usa il sito di rilevamento dei documenti in modalità amministratore, ad esempio per revocare un documento per conto di un utente o per vedere quando è stato condiviso. Il campo è vuoto quando l'utente accede al sito di rilevamento dei documenti.

ActingAsUser: quando il campo AdminAction è true, questo campo contiene il nome utente per conto del quale l'amministratore opera, ad esempio l'utente cercato o il proprietario del documento. Il campo è vuoto quando l'utente accede al sito di rilevamento dei documenti.

Sono inoltre disponibili tipi di richiesta che registrano nel log informazioni su come utenti e amministratori usano il sito di rilevamento dei documenti. Ad esempio, RevokeAccess è il tipo di richiesta quando un utente o un amministratore per conto di un utente ha revocato un documento nel sito di rilevamento dei documenti. Usare questo tipo di richiesta in combinazione con il campo AdminAction per determinare se l'utente ha revocato un proprio documento (il campo AdminAction è vuoto) o un amministratore ha revocato un documento per conto dell'utente (il campo AdminAction è true).

Per altre informazioni sulla registrazione dell'utilizzo, vedere Registrazione e analisi dell'utilizzo della protezione da Azure Information Protection

Passaggi successivi

Dopo aver configurato il sito di rilevamento dei documenti per il client Azure Information Protection, vedere gli argomenti seguenti per altre informazioni che potrebbero essere necessarie per il supporto di questo client: