管理者ガイド: Azure Information Protection を使用したドキュメント アクセスの追跡と取り消し
Note
Microsoft Purview Information Protection をお探しですか? (以前の Microsoft Information Protection (MIP))
Office 用 Azure Information Protection アドインは現在メンテナンス モードにあり、2024 年 4 月に廃止される予定です。 代わりに、Office 365 アプリとサービスに組み込まれているラベルを使用することをお勧めします。このラベルは、ドキュメント アクセスの追跡と取り消しもサポートします。
ドキュメント追跡では、保護されたドキュメントにいつアクセスがあったかに関する情報を、Azure Information Protection 管理者または Azure Rights Management 全体管理者のロールを持つ管理者に提供します。 必要に応じて、管理者とユーザーの両方が、追跡対象ドキュメントのドキュメント アクセスを取り消すことができます。
バージョン 2.9.111.0 以降では、保護された Office ドキュメントが追跡対象として登録されていなくても、次にそのドキュメントを AIP 統合ラベル付けクライアントから開いたときに自動的に登録されます。 保護されたドキュメントは、ラベルが付いていない場合でも、追跡と取り消しがサポートされています。
ドキュメントを追跡対象として登録すると、管理者は、アクセスが成功したイベントや拒否された試行など、アクセスの詳細を追跡できるだけでなく、必要に応じてアクセスを取り消すことができます。
Note
追跡と取り消しの機能は、Office のファイルの種類でのみサポートされています。
保護されたドキュメントは、ラベルが付いていない場合でも、追跡と取り消しがサポートされています。
ドキュメント アクセスの追跡
管理者は PowerShell から、保護されたドキュメントに対して登録時に生成された ContentID を使用して、保護されたドキュメントへのアクセスを追跡できます。
ドキュメント アクセスの詳細を表示するには:
追跡するドキュメントの詳細を検索するには、次のコマンドレットを使用します。
追跡するドキュメントの ContentID の値を調べます。
ファイル名や、保護を適用したユーザーのメール アドレスを使用してドキュメントを検索するには、Get-AipServiceDocumentLog を使用します。
次に例を示します。
Get-AipServiceDocumentLog -ContentName "test.docx" -Owner “alice@contoso.com” -FromTime "12/01/2020 00:00:00" -ToTime "12/31/2020 23:59:59"このコマンドは、条件に一致し、追跡対象として登録されているすべてのドキュメントの ContentID を返します。
Note
保護されたドキュメントは、統合ラベル付けクライアントがインストールされているマシンで最初に開いたときに、追跡対象として登録されます。 このコマンドを実行しても保護されたファイルの ContentID が返されない場合、統合ラベル付けクライアントがインストールされているマシンで開くことによって、ドキュメントを追跡対象として登録します。
ドキュメントの ContentID を指定して Get-AipServiceTrackingLog コマンドレットを使用すると、追跡データが返されます。
次に例を示します。
Get-AipServiceTrackingLog -ContentId c03bf90c-6e40-4f3f-9ba0-2bcd77524b87アクセスを試行したユーザーのメール、アクセスが許可されたか拒否されたか、試行の日時、アクセス試行の起点のドメインと場所などの追跡データが返されます。
PowerShell からドキュメント アクセスを取り消す
管理者は Set-AIPServiceDocumentRevoked コマンドレットを使用して、ローカル コンテンツ共有に保存されている保護されたドキュメントへのアクセスを取り消すことができます。
アクセスを取り消すドキュメントの ContentID の値を調べます。
ファイル名や、保護を適用したユーザーのメール アドレスを使用してドキュメントを検索するには、Get-AipServiceDocumentLog を使用します。
次に例を示します。
Get-AipServiceDocumentLog -ContentName "test.docx" -Owner “alice@contoso.com” -FromTime "12/01/2020 00:00:00" -ToTime "12/31/2020 23:59:59"返されたデータに、ドキュメントの ContentID の値が含まれています。
ヒント
ContentID の値は、保護対象であり、さらに追跡対象として登録されているドキュメントにしかありません。
ドキュメントに ContentID がない場合は、統合ラベル付けクライアントがインストールされているマシンで開くことによって、追跡対象としてファイルを登録します。
アクセスを取り消すには、ドキュメントの ContentID を指定して Set-AIPServiceDocumentRevoked を使用します。
次に例を示します。
Set-AipServiceDocumentRevoked -ContentId 0e421e6d-ea17-4fdb-8f01-93a3e71333b8 -IssuerName testIssuer
Note
オフライン アクセスが許可されている場合、オフライン ポリシーの有効期限が切れるまでの間、ユーザーはアクセスが取り消されたドキュメントに引き続きアクセスできます。
ヒント
ユーザーは Office アプリの [秘密度] メニューから直接、保護を適用したドキュメントへのアクセスを取り消すこともできます。 詳細については、「ユーザー ガイド: Azure Information Protection を使用したドキュメント アクセスの取り消し」を参照してください
アクセス取り消しの解除
特定のドキュメントへのアクセスを誤って取り消してしまった場合、同じ ContentID の値を使用して Clear-AipServiceDocumentRevoked コマンドレットを実行すると、アクセスの取り消しを解除できます。
Clear-AipServiceDocumentRevoked コマンドレットを使用するには、まず AipService.dll を読み込む必要があります。
次に例を示します。
Import-Module -Name "C:\Program Files\WindowsPowerShell\Modules\AIPService\1.0.0.4\AipService.dll"
Clear-AipServiceDocumentRevoked -ContentId 0e421e6d-ea17-4fdb-8f01-93a3e71333b8 -IssuerName testIssuer
IssuerName パラメーターで定義したユーザーに、ドキュメント アクセスが付与されます。
追跡と取り消しの機能をテナントで無効にする
組織または地域のプライバシー要件などに従うために、追跡と取り消しの機能をテナントで無効にする必要がある場合、次の両方の手順を実行します。
Disable-AipServiceDocumentTrackingFeature コマンドレットを実行します。
クライアントの EnableTrackAndRevoke 詳細設定を False に設定します。
ドキュメントの追跡と、アクセスを取り消すためのオプションがテナントで無効になります。
- 保護されたドキュメントを AIP 統合ラベル付けクライアントで開いても、追跡と取り消しのためにドキュメントが登録されなくなります。
- 既に登録されている保護対象のドキュメントを開いても、アクセス ログは保存されません。 これらの機能を無効にする前に保存されたアクセス ログはまだ参照できます。
- 管理者は PowerShell でアクセスの追跡または取り消しができなくなり、エンド ユーザーの Office アプリの [取り消し] メニュー オプションは非表示になります。
ヒント
追跡と取り消しをもう一度有効にするには、EnableTrackAndRevoke を True に設定し、Enable-AipServiceDocumentTrackingFeature コマンドレットも実行します。
エンド ユーザーによるアクセス取り消しの無効化
Office アプリから [アクセスの取り消し] オプションを削除すると、保護されたドキュメントへのアクセスをエンド ユーザーが Office アプリから取り消せないようにすることができます。
Note
[アクセスの取り消し] オプションを削除しても、保護されたドキュメントはバックグラウンドで追跡され続け、管理者が PowerShell を介してドキュメントへのアクセスを取り消す機能は維持されます。
Office アプリから [アクセスの取り消し] オプションを削除するには、クライアントの詳細設定で EnableRevokeGuiSupport を False に設定します。
詳細については、「ユーザー ガイド: Azure Information Protection を使用したドキュメント アクセスの取り消し」を参照してください。
次のステップ
詳細については、次を参照してください。
フィードバック
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「https://aka.ms/ContentUserFeedback」を参照してください。
フィードバックの送信と表示