Guida dell'amministratore: Tenere traccia e revocare l'accesso ai documenti con Azure Information Protection

Nota

Si sta cercando Microsoft Purview Information Protection, in precedenza Microsoft Information Protection (MIP)?

Il client di etichettatura unificata di Azure Information Protection è ora in modalità di manutenzione. È consigliabile usare etichette predefinite per le app e i servizi Office 365. Ulteriori informazioni

Il rilevamento dei documenti fornisce informazioni per gli amministratori, con il ruolo Amministratore di Azure Information Protection o Amministratore globale di Azure Rights Management, su quando è stato eseguito l'accesso a un documento protetto. Se necessario, sia gli amministratori che gli utenti possono revocare l'accesso ai documenti rilevati.

Nelle versioni 2.9.111.0 o successive tutti i documenti di Office protetti non ancora registrati per il rilevamento vengono registrati automaticamente alla successiva apertura tramite il client di etichettatura unificata AIP. I documenti protetti sono supportati per tenere traccia e revocare, anche se non sono etichettati.

La registrazione di un documento per il rilevamento consente agli amministratori di tenere traccia dei dettagli di accesso, inclusi gli eventi di accesso riusciti e i tentativi negati, nonché revocare l'accesso, se necessario.

Nota

Le funzionalità di rilevamento e revoca sono supportate solo per i tipi di file di Office.

I documenti protetti sono supportati per tenere traccia e revocare, anche se non sono etichettati.

Tenere traccia dell'accesso ai documenti

Gli amministratori possono tenere traccia dell'accesso per i documenti protetti tramite PowerShell usando contentID generato per il documento protetto durante la registrazione.

Per visualizzare i dettagli di accesso ai documenti:

Usare i cmdlet seguenti per trovare i dettagli per il documento da tenere traccia:

  1. Trovare il valore ContentID per il documento da tenere traccia.

    Usare Get-AipServiceDocumentLog per cercare un documento usando il nome file e/o l'indirizzo di posta elettronica dell'utente che ha applicato la protezione.

    ad esempio:

    Get-AipServiceDocumentLog -ContentName "test.docx" -Owner “alice@contoso.com” -FromTime "12/01/2020 00:00:00" -ToTime "12/31/2020 23:59:59"
    

    Questo comando restituisce l'ID contenuto per tutti i documenti protetti corrispondenti registrati per il rilevamento.

    Nota

    I documenti protetti vengono registrati per il rilevamento quando vengono aperti per la prima volta in un computer con il client di etichettatura unificata installato. Se questo comando non restituisce il ContentID per il file protetto, aprirlo in un computer con il client di etichettatura unificata installato per registrare il documento per il rilevamento.

  2. Usare il cmdlet Get-AipServiceTrackingLog con contentID del documento per restituire i dati di rilevamento.

    Ad esempio:

    Get-AipServiceTrackingLog -ContentId c03bf90c-6e40-4f3f-9ba0-2bcd77524b87
    

    I dati di rilevamento vengono restituiti, inclusi i messaggi di posta elettronica degli utenti che hanno tentato l'accesso, se l'accesso è stato concesso o negato, l'ora e la data del tentativo e il dominio e la posizione in cui ha avuto origine il tentativo di accesso.

Revocare l'accesso ai documenti da PowerShell

Gli amministratori possono revocare l'accesso per qualsiasi documento protetto archiviato nelle condivisioni contenuto locali, usando il cmdlet Set-AIPServiceDocumentRevoked .

  1. Trovare il valore ContentID per il documento per cui si vuole revocare l'accesso.

    Usare Get-AipServiceDocumentLog per cercare un documento usando il nome file e/o l'indirizzo di posta elettronica dell'utente che ha applicato la protezione.

    Ad esempio:

    Get-AipServiceDocumentLog -ContentName "test.docx" -Owner “alice@contoso.com” -FromTime "12/01/2020 00:00:00" -ToTime "12/31/2020 23:59:59"
    

    I dati restituiti includono il valore ContentID per il documento.

    Suggerimento

    Solo i documenti protetti e registrati per il rilevamento hanno un valore ContentID .

    Se il documento non ha contentID, aprirlo in un computer con il client di etichettatura unificata installato per registrare il file per il rilevamento.

  2. Usare Set-AIPServiceDocumentRevoked con contentID del documento per revocare l'accesso.

    Ad esempio:

    Set-AipServiceDocumentRevoked -ContentId 0e421e6d-ea17-4fdb-8f01-93a3e71333b8 -IssuerName testIssuer
    

Nota

Se l'accesso offline è consentito, gli utenti continueranno a poter accedere ai documenti revocati fino alla scadenza del periodo di criteri offline.

Suggerimento

Gli utenti possono anche revocare l'accesso per tutti i documenti in cui hanno applicato la protezione direttamente dal menu Riservatezza nelle app di Office. Per altre informazioni, vedere Manuale dell'utente: Revocare l'accesso ai documenti con Azure Information Protection

Annullare la revoca dell'accesso

Se si è accidentalmente revocato l'accesso a un documento specifico, usare lo stesso valore ContentID con il cmdlet Clear-AipServiceDocumentRevoked per annullare l'accesso.

Per usare il cmdlet Clear-AipServiceDocumentRevoked , è necessario prima caricare il AipService.dll.

Ad esempio:

Import-Module -Name "C:\Program Files\WindowsPowerShell\Modules\AIPService\1.0.0.4\AipService.dll"
Clear-AipServiceDocumentRevoked -ContentId   0e421e6d-ea17-4fdb-8f01-93a3e71333b8 -IssuerName testIssuer

L'accesso ai documenti viene concesso all'utente definito nel parametro IssuerName .

Disattivare le funzionalità di rilevamento e revoca per il tenant

Se è necessario disattivare le funzionalità di rilevamento e revoca per il tenant, ad esempio per i requisiti di privacy nell'organizzazione o nell'area geografica, seguire questa procedura:

  1. Eseguire il cmdlet Disable-AipServiceDocumentTrackingFeature .

  2. Impostare l'impostazione client avanzata EnableTrackAndRevoke su False.

Il rilevamento dei documenti e le opzioni per revocare l'accesso vengono disattivati per il tenant:

  • L'apertura di documenti protetti con il client di etichettatura unificata AIP non registra più i documenti per tenere traccia e revocare.
  • I log di accesso non vengono archiviati quando vengono aperti documenti protetti già registrati. I log di accesso archiviati prima di disattivare queste funzionalità sono ancora disponibili.
  • Gli amministratori non potranno tenere traccia o revocare l'accesso tramite PowerShell e gli utenti finali non vedranno più l'opzione di menu Revoca nelle app di Office.

Suggerimento

Per riattivare la traccia e revocarla, impostare EnableTrackAndRevoke su True ed eseguire anche il cmdlet Enable-AipServiceDocumentTrackingFeature .

Disattivare la possibilità per gli utenti finali di revocare l'accesso

Se non si vuole che gli utenti finali abbiano la possibilità di revocare l'accesso ai documenti protetti dalle app di Office, è possibile rimuovere l'opzione Revoca accesso dalle app di Office.

Nota

La rimozione dell'opzione Revoca accesso continua a tenere traccia dei documenti protetti in background e mantiene la possibilità di revocare l'accesso ai documenti tramite PowerShell.

Per rimuovere l'opzione Revoca accesso dalle app di Office, impostare l'impostazione client avanzata EnableRevokeGuiSupport su False.

Per altre informazioni, vedere Manuale dell'utente: Revocare l'accesso ai documenti con Azure Information Protection.

Passaggi successivi

Per altre informazioni, vedere: