Beheer Handleiding: Documenttracking configureren en gebruiken voor Rights Management Service-beveiliging met de verouderde portal voor bijhouden

  • Artikel

Notitie

De verouderde Site voor documenttracking van Azure Information Protection wordt alleen ondersteund voor de klassieke client en niet voor de geïntegreerde labelclient. Zie Verwijderde en buiten gebruik gestelde services voor meer informatie.

Zie Documenttoegang bijhouden en intrekken voor de meest recente richtlijnen.

Als u een abonnement hebt dat ondersteuning biedt voor documenttracking, is de site voor documenttracking standaard ingeschakeld voor alle gebruikers in uw organisatie. Documenttracking biedt informatie voor gebruikers en beheerders over wanneer een beveiligd document is geopend en, indien nodig, een bijgehouden document kan worden ingetrokken.

PowerShell gebruiken om de site voor documenttracking te beheren

De volgende secties bevatten informatie over hoe u de site voor documenttracking kunt beheren met behulp van PowerShell. Zie De AIPService PowerShell-module installeren voor installatie-instructies voor de PowerShell-module.

Gebruik de opgegeven koppelingen voor meer informatie over elk van de cmdlets.

Privacybesturingselementen voor uw documenttrackingsite

Als het weergeven van alle documenttrackinggegevens in uw organisatie is verboden vanwege privacyvereisten, kunt u documenttracking uitschakelen met behulp van de cmdlet Disable-AipServiceDocumentTrackingFeature .

Met deze cmdlet wordt de toegang tot de site voor documenttracking uitgeschakeld, zodat alle gebruikers in uw organisatie de toegang tot documenten die ze hebben beveiligd, niet kunnen bijhouden of intrekken. U kunt documenttracking op elk gewenst moment opnieuw inschakelen met behulp van Enable-AipServiceDocumentTrackingFeature en u kunt controleren of documenttracking momenteel is ingeschakeld of uitgeschakeld met behulp van Get-AipServiceDocumentTrackingFeature.

Wanneer de site voor documenttracking is ingeschakeld, worden standaard gegevens weergegeven, zoals de e-mailadressen van de personen die toegang probeerden te krijgen tot de beveiligde documenten, wanneer deze personen probeerden toegang te krijgen tot deze documenten en hun locatie. Dit informatieniveau kan handig zijn om te bepalen hoe de gedeelde documenten worden gebruikt en of ze moeten worden ingetrokken als er verdachte activiteiten worden gezien. Om privacyredenen moet u deze gebruikersgegevens echter mogelijk uitschakelen voor sommige of alle gebruikers.

Als u gebruikers hebt die deze activiteit niet mogen bijhouden door andere gebruikers, voegt u deze toe aan een groep die is opgeslagen in Microsoft Entra-id en geeft u deze groep op met de cmdlet Set-AipServiceDoNotTrackUserGroup . Wanneer u deze cmdlet uitvoert, moet u één groep opgeven. De groep kan echter geneste groepen bevatten.

Voor deze groepsleden kunnen gebruikers geen activiteiten zien op de site voor documenttracking wanneer die activiteit is gerelateerd aan documenten die ze met hen hebben gedeeld. Bovendien worden er geen e-mailmeldingen verzonden naar de gebruiker die het document heeft gedeeld.

Wanneer u deze configuratie gebruikt, kunnen alle gebruikers nog steeds de site voor documenttracking gebruiken en de toegang intrekken tot documenten die ze hebben beveiligd. Ze zien echter geen activiteit voor de gebruikers die u hebt opgegeven met behulp van de set-AipServiceDoNotTrackUserGroup-cmdlet.

Deze instelling is alleen van invloed op eindgebruikers. Beheer istrators voor Azure Information Protection kunnen altijd activiteiten van alle gebruikers bijhouden, zelfs wanneer deze gebruikers zijn opgegeven met behulp van Set-AipServiceDoNotTrackUserGroup. Zie de sectie Documenten bijhouden en intrekken voor gebruikers voor meer informatie over hoe beheerders documenten voor gebruikers kunnen bijhouden.

Logboekinformatie van de site voor documenttracking

U kunt de volgende cmdlets gebruiken om logboekgegevens te downloaden van de site voor documenttracking:

  • Get-AipServiceTrackingLog

    Deze cmdlet retourneert traceringsgegevens over beveiligde documenten voor een opgegeven gebruiker die documenten heeft beveiligd (de Rights Management-verlener) of die beveiligde documenten heeft geopend. Gebruik deze cmdlet om te antwoorden op de vraag 'Welke beveiligde documenten hebben een opgegeven gebruiker bijgehouden of geopend?'

  • Get-AipServiceDocumentLog

    Deze cmdlet retourneert beveiligingsinformatie over de bijgehouden documenten voor een opgegeven gebruiker als die door de gebruiker beveiligde documenten (de Rights Management-uitgever) of de Rights Management-eigenaar voor documenten was of beveiligde documenten zijn geconfigureerd om rechtstreeks toegang te verlenen aan de gebruiker. Gebruik deze cmdlet om de vraag 'Hoe worden documenten beveiligd voor een opgegeven gebruiker?' te beantwoorden

Doel-URL's die worden gebruikt door de site voor documenttracking

De volgende URL's worden gebruikt voor documenttracking en moeten zijn toegestaan op alle apparaten en services tussen de clients waarop de Azure Information Protection-client en internet worden uitgevoerd. Voeg deze URL's bijvoorbeeld toe aan firewalls of aan uw vertrouwde sites als u Internet Explorer gebruikt met verbeterde beveiliging.

  • https://*.azurerms.com

  • https://*.microsoftonline.com

  • https://*.microsoftonline-p.com

  • https://ecn.dev.virtualearth.net

Deze URL's zijn standaard voor de Azure Rights Management-service, met uitzondering van de virtualearth.net URL die wordt gebruikt voor Bing-kaarten om de gebruikerslocatie weer te geven.

Documenten voor gebruikers bijhouden en intrekken

Wanneer gebruikers zich aanmelden bij de site voor documenttracking, kunnen ze documenten bijhouden en intrekken die ze hebben beveiligd met behulp van de Azure Information Protection-client. Wanneer u zich aanmeldt als Microsoft Entra Global Beheer istrator voor uw tenant, kunt u klikken op het pictogram Beheer, dat overschakelt naar Beheer istratormodus. Andere beheerdersrollen bieden geen ondersteuning voor deze modus voor de site voor documenttracking.

Admin icon in the document tracking site

Met de Beheer istratormodus kunt u de documenten zien die gebruikers in uw organisatie hebben geselecteerd om bij te houden met behulp van de Azure Information Protection-client.

Notitie

Als u dit pictogram niet ziet, ondanks dat u een globale beheerder bent, is dit omdat u nog geen documenten zelf hebt gedeeld. In dit geval gebruikt u de volgende URL voor toegang tot de site voor documenttracking: https://portal.azurerms.com/#/admin

Acties die u in Beheer istratormodus uitvoert, worden gecontroleerd en geregistreerd in de gebruikslogboekbestanden en u moet bevestigen om door te gaan. Zie de volgende sectie voor meer informatie over deze logboekregistratie.

Wanneer u zich in de modus Beheer istrator bevindt, kunt u vervolgens zoeken op gebruiker of document. Als u op gebruiker zoekt, ziet u alle documenten die de opgegeven gebruiker heeft geselecteerd om bij te houden met behulp van de Azure Information Protection-client.

Als u op document zoekt, ziet u alle gebruikers in uw organisatie die dat document hebben bijgehouden met behulp van de Azure Information Protection-client. U kunt vervolgens inzoomen op de zoekresultaten om de documenten bij te houden die gebruikers hebben beveiligd en deze documenten zo nodig intrekken.

Als u de Beheer istratormodus wilt verlaten, klikt u op X naast de beheerdersmodus afsluiten:

Exit administrator mode in the document tracking site

Zie Uw documenten bijhouden en intrekken in de gebruikershandleiding voor instructies voor het gebruik van de site voor documenttracking.

PowerShell gebruiken om gelabelde documenten te registreren bij de site voor documenttracking

Als u een document wilt kunnen bijhouden en intrekken, moet het eerst worden geregistreerd bij de site voor documenttracking. Deze actie treedt op wanneer gebruikers de optie Bijhouden en intrekken selecteren uit Bestandenverkenner of hun Office-app s wanneer ze de Azure Information Protection-client gebruiken.

Als u bestanden labelt en beveiligt voor gebruikers met behulp van de cmdlet Set-AIPFileLabel , kunt u de parameter EnableTracking gebruiken om het bestand te registreren bij de site voor documenttracking . Bijvoorbeeld:

Set-AIPFileLabel -Path C:\Projects\ -LabelId ade72bf1-4714-4714-4714-a325f824c55a -EnableTracking

Gebruikslogboekregistratie voor de documenttrackingsite

Twee velden in de gebruikslogboekbestanden zijn van toepassing op documenttracking: Beheer Actie en ActingAsUser.

Beheer Actie: dit veld heeft een waarde van true wanneer een beheerder de site voor documenttracking gebruikt in de modus Beheer istrator, bijvoorbeeld om een document namens een gebruiker in te trekken of om te zien wanneer het is gedeeld. Dit veld is leeg wanneer een gebruiker zich aanmeldt bij de site voor documenttracking.

ActingAsUser: wanneer het veld Beheer Actie waar is, bevat dit veld de gebruikersnaam die de beheerder namens de gebruiker of documenteigenaar optreedt. Dit veld is leeg wanneer een gebruiker zich aanmeldt bij de site voor documenttracking.

Er zijn ook aanvraagtypen die registreren hoe gebruikers en beheerders de site voor documenttracking gebruiken. RevokeAccess is bijvoorbeeld het aanvraagtype wanneer een gebruiker of beheerder namens een gebruiker een document heeft ingetrokken op de site voor documenttracking. Gebruik dit aanvraagtype in combinatie met het veld Beheer Actie om te bepalen of de gebruiker zijn eigen document heeft ingetrokken (het veld Beheer Actie is leeg) of een beheerder heeft een document namens een gebruiker ingetrokken (de Beheer Action is waar).

Zie Logboekregistratie en analyse van het beveiligingsgebruik van Azure Information Protection voor meer informatie over logboekregistratie van gebruik

Volgende stappen

Nu u de site voor documenttracking voor de Azure Information Protection-client hebt geconfigureerd, raadpleegt u het volgende voor aanvullende informatie die u mogelijk nodig hebt om deze client te ondersteunen: