Uwaga
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Uwaga
Szukasz usługi Microsoft Purview Information Protection, dawniej Microsoft Information Protection (MIP)?
Dodatek usługi Azure Information Protection został wycofany i zastąpiony etykietami wbudowanymi w aplikacje i usługi platformy Microsoft 365. Dowiedz się więcej o stanie pomocy technicznej innych składników usługi Azure Information Protection.
Klient usługi Microsoft Purview Information Protection (bez dodatku) jest ogólnie dostępny.
Podczas konfigurowania i używania usługi Azure Information Protection adresy e-mail i adresy IP są przechowywane i używane przez usługę Azure Information Protection. Te dane osobowe można znaleźć w następujących elementach:
Superumocni użytkownicy i administratorzy delegowani dla usługi ochrony
dzienniki Administracja istration dla usługi ochrony
Dzienniki użycia usługi ochrony
Dzienniki użycia klienta usługi Microsoft Purview Information Protection i klienta usługi RMS
Uwaga
W tym artykule przedstawiono instrukcje dotyczące usuwania danych osobowych z urządzenia lub usługi, co jest pomocne w wypełnianiu obowiązków wynikających z RODO. Jeśli szukasz ogólnych informacji na temat RODO, zobacz sekcję RODO w portalu zaufania usług.
Wyświetlanie danych osobowych używanych przez usługę Azure Information Protection
Klient usługi Microsoft Purview Information Protection:
W przypadku klienta usługi Microsoft Purview Information Protection etykiety poufności i zasady etykiet są konfigurowane w portalu usługi Microsoft Purview lub w portal zgodności Microsoft Purview. Aby uzyskać więcej informacji, zobacz dokumentację usługi Microsoft Purview.
Uwaga
Gdy klient usługi Microsoft Purview Information Protection jest używany do klasyfikowania i ochrony dokumentów i wiadomości e-mail, adresy e-mail i adresy IP użytkowników mogą być zapisywane w plikach dziennika.
Superumocni użytkownicy i administratorzy delegowani dla usługi ochrony
Uruchom polecenie cmdlet Get-AipServiceSuperUser i get-aipservicerolebasedadministrator, aby sprawdzić, którzy użytkownicy zostali przypisani do roli administratora superużytkownika lub roli administratora globalnego dla usługi ochrony (Azure Rights Management) z usługi Azure Information Protection. W przypadku użytkowników, którym przypisano jedną z tych ról, zostaną wyświetlone ich adresy e-mail.
dzienniki Administracja istration dla usługi ochrony
Uruchom polecenie cmdlet Get-AipService Administracja Log, aby uzyskać dziennik akcji administratora dla usługi ochrony (Azure Rights Management) z usługi Azure Information Protection. Ten dziennik zawiera dane osobowe w postaci adresów e-mail i adresów IP. Dziennik jest w postaci zwykłego tekstu i po jego pobraniu można przeszukiwać szczegóły określonego administratora w trybie offline.
Na przykład:
PS C:\Users> Get-AipServiceAdminLog -Path '.\Desktop\admin.log' -FromTime 4/1/2018 -ToTime 4/30/2018 -Verbose
The Rights Management administration log was successfully generated and can be found at .\Desktop\admin.log.
Dzienniki użycia usługi ochrony
Uruchom polecenie cmdlet Get-AipServiceUserLog, aby pobrać dziennik akcji użytkownika końcowego korzystających z usługi ochrony z usługi Azure Information Protection. Dziennik może zawierać dane osobowe w postaci adresów e-mail i adresów IP. Dziennik jest w postaci zwykłego tekstu i po jego pobraniu można przeszukiwać szczegóły określonego administratora w trybie offline.
Na przykład:
PS C:\Users> Get-AipServiceUserLog -Path '.\Desktop\' -FromDate 4/1/2018 -ToDate 4/30/2018 -NumberOfThreads 10
Acquiring access to your user log…
Downloading the log for 2018-04-01.
Downloading the log for 2018-04-03.
Downloading the log for 2018-04-06.
Downloading the log for 2018-04-09.
Downloading the log for 2018-04-10.
Downloaded the log for 2018-04-01. The log is available at .\Desktop\rmslog-2018-04-01.log.
Downloaded the log for 2018-04-03. The log is available at .\Desktop\rmslog-2018-04-03.log.
Downloaded the log for 2018-04-06. The log is available at .\Desktop\rmslog-2018-04-06.log.
Downloaded the log for 2018-04-09. The log is available at .\Desktop\rmslog-2018-04-09.log.
Downloaded the log for 2018-04-10. The log is available at .\Desktop\rmslog-2018-04-10.log.
Downloading the log for 2018-04-12.
Downloading the log for 2018-04-13.
Downloading the log for 2018-04-14.
Downloading the log for 2018-04-16.
Downloading the log for 2018-04-18.
Downloaded the log for 2018-04-12. The log is available at .\Desktop\rmslog-2018-04-12.log.
Downloaded the log for 2018-04-13. The log is available at .\Desktop\rmslog-2018-04-13.log.
Downloaded the log for 2018-04-14. The log is available at .\Desktop\rmslog-2018-04-14.log.
Downloaded the log for 2018-04-16. The log is available at .\Desktop\rmslog-2018-04-16.log.
Downloaded the log for 2018-04-18. The log is available at .\Desktop\rmslog-2018-04-18.log.
Downloading the log for 2018-04-24.
Downloaded the log for 2018-04-24. The log is available at .\Desktop\rmslog-2018-04-24.log.
Dzienniki użycia klientów usługi Azure Information Protection i klienta usługi RMS
Gdy etykiety i ochrona są stosowane do dokumentów i wiadomości e-mail, adresy e-mail i adresy IP mogą być przechowywane w plikach dziennika na komputerze użytkownika w następujących lokalizacjach:
Dla klienta usługi Microsoft Purview Information Protection: %localappdata%\Microsoft\MSIP\Logs
Dla klienta usługi RMS: %localappdata%\Microsoft\MSIPC\msip\Logs
Ponadto klient usługi Microsoft Purview Information Protection rejestruje te dane osobowe w lokalnym dzienniku zdarzeń systemu Windows Aplikacje i usługi Dzienniki>usługi Microsoft Purview Information Protection.
Gdy klient usługi Microsoft Purview Information Protection uruchamia skaner, dane osobowe są zapisywane w folderze %localappdata%\Microsoft\MSIP\Scanner\Reports na komputerze z systemem Windows Server z uruchomionym skanerem.
Informacje rejestrowania dla klienta usługi Microsoft Purview Information Protection i skanera można wyłączyć przy użyciu następujących konfiguracji:
W przypadku klienta usługi Microsoft Purview Information Protection: edytuj rejestr w celu [zmień poziom rejestrowania](/purview/information-protection-client#change-the-local-logging-level na Wyłączone.
W przypadku skanera usługi Microsoft Purview Information Protection: użyj polecenia cmdlet Set-ScannerConfiguration , aby ustawić parametr ReportLevel na wartość Wyłączone.
Uwaga
Jeśli interesuje Cię wyświetlanie lub usuwanie danych osobowych, zapoznaj się ze wskazówkami firmy Microsoft w menedżerze zgodności usługi Microsoft Purview i w sekcji RODO witryny Microsoft 365 Enterprise Compliance . Jeśli szukasz ogólnych informacji na temat RODO, zobacz sekcję RODO w portalu zaufania usług.
Dzienniki śledzenia dokumentów
Istotne dla: Ochrona usługi Rights Management tylko przy użyciu starszego portalu śledzenia
Uruchom polecenie cmdlet Get-AipServiceDocumentLog, aby pobrać informacje z witryny śledzenia dokumentów o określonym użytkowniku. Aby uzyskać informacje o śledzeniu skojarzone z dziennikami dokumentów, użyj polecenia cmdlet Get-AipServiceTrackingLog .
Na przykład:
PS C:\Users> Get-AipServiceDocumentLog -UserEmail "admin@aip500.onmicrosoft.com"
ContentId : 6326fcb2-c465-4c24-a7f6-1cace7a9cb6f
Issuer : admin@aip500.onmicrosoft.com
Owner : admin@aip500.onmicrosoft.com
ContentName :
CreatedTime : 3/6/2018 10:24:00 PM
Recipients : {
PrimaryEmail: johndoe@contoso.com
DisplayName: JOHNDOE@CONTOSO.COM
UserType: External,
PrimaryEmail: alice@contoso0110.onmicrosoft.com
DisplayName: ALICE@CONTOSO0110.ONMICROSOFT.COM
UserType: External
}
TemplateId :
PolicyExpires :
EULDuration :
SendRegistrationEmail : True
NotificationInfo : Enabled: False
DeniedOnly: False
Culture:
TimeZoneId:
TimeZoneOffset: 0
TimeZoneDaylightName:
TimeZoneStandardName:
RevocationInfo : Revoked: False
RevokedTime:
RevokedBy:
PS C:\Users> Get-AipServiceTrackingLog -UserEmail "admin@aip500.onmicrosoft.com"
ContentId : 6326fcb2-c465-4c24-a7f6-1cace7a9cb6f
Issuer : admin@aip500.onmicrosoft.com
RequestTime : 3/6/2018 10:45:57 PM
RequesterType : External
RequesterEmail : johndoe@contoso.com
RequesterDisplayName : johndoe@contoso.com
RequesterLocation : IP: 167.220.1.54
Country: US
City: redmond
Position: 47.6812453974602,-122.120736471666
Rights : {VIEW,OBJMODEL}
Successful : False
IsHiddenInfo : False
Brak wyszukiwania według identyfikatora ObjectID. Jednak nie jesteś ograniczony przez -UserEmail parametr i podany adres e-mail nie musi być częścią dzierżawy. Jeśli podany adres e-mail jest przechowywany w dowolnym miejscu w dziennikach śledzenia dokumentów, wpis śledzenia dokumentów jest zwracany w danych wyjściowych polecenia cmdlet.
Zabezpieczanie i kontrolowanie dostępu do danych osobowych
Dane osobowe, które wyświetlasz i określasz w witrynie Azure Portal, są dostępne tylko dla użytkowników, którym przypisano jedną z następujących ról administratora z poziomu identyfikatora Entra firmy Microsoft:
Administrator usługi Azure Information Protection
Administrator zgodności
Administrator danych zgodności
Administrator zabezpieczeń
Czytelnik zabezpieczeń
Globalny administrator
Czytelnik globalny
Dane osobowe wyświetlane i określone przy użyciu modułu AIPService (lub starszego modułu AADRM) są dostępne tylko dla użytkowników, którzy zostali przypisani do administratora usługi Azure Information Protection, administratora zgodności, administratora zgodności, administratora danych zgodności lub ról globalnego Administracja istratora z identyfikatora Entra firmy Microsoft lub roli administratora globalnego dla usługi ochrony.
Aktualizowanie danych osobowych
Etykiety poufności i zasady etykiet są konfigurowane w portal zgodności Microsoft Purview. Aby uzyskać więcej informacji, zobacz dokumentację platformy Microsoft 365.
W przypadku ustawień ochrony można zaktualizować te same informacje przy użyciu poleceń cmdlet programu PowerShell z modułu AIPService.
Nie można zaktualizować adresów e-mail dla superu użytkowników i administratorów delegowanych. Zamiast tego usuń określone konto użytkownika i dodaj konto użytkownika ze zaktualizowanym adresem e-mail.
Superumocni użytkownicy i administratorzy delegowani dla usługi ochrony
Jeśli potrzebujesz zaktualizować adres e-mail dla administratora:
Użyj polecenia Remove-AipServiceSuperUser , aby usunąć użytkownika i stary adres e-mail.
Użyj polecenia Add-AipServiceSuperUser , aby dodać użytkownika i nowy adres e-mail.
Jeśli potrzebujesz zaktualizować adres e-mail administratora delegowanego:
Użyj polecenia Remove-AipServiceRoleBased Administracja istrator, aby usunąć użytkownika i stary adres e-mail.
Użyj polecenia Add-AipServiceRoleBased Administracja istrator, aby dodać użytkownika i nowy adres e-mail.
Usuwanie danych osobowych
Etykiety poufności i zasady etykiet są konfigurowane w portal zgodności Microsoft Purview. Aby uzyskać więcej informacji, zobacz dokumentację platformy Microsoft 365.
W przypadku ustawień ochrony można usunąć te same informacje przy użyciu poleceń cmdlet programu PowerShell z modułu AIPService.
Aby usunąć adresy e-mail dla administratorów superużytkowników i administratorów delegowanych, usuń tych użytkowników przy użyciu polecenia cmdlet Remove-AipServiceSuperUser i Remove-AipServiceRoleBased Administracja istrator.
Aby usunąć dane osobowe w dziennikach śledzenia dokumentów, dziennikach administracyjnych lub dziennikach użycia usługi ochrony, użyj poniższej sekcji, aby zgłosić żądanie z pomoc techniczna firmy Microsoft.
Aby usunąć dane osobowe w plikach dziennika klienta i dziennikach skanera przechowywanych na komputerach, użyj dowolnych standardowych narzędzi systemu Windows, aby usunąć pliki lub dane osobowe w plikach.
Aby usunąć dane osobowe za pomocą pomoc techniczna firmy Microsoft
Wykonaj następujące trzy kroki, aby zażądać, aby firma Microsoft usunęła dane osobowe w dziennikach śledzenia dokumentów, dziennikach administracyjnych lub dziennikach użycia usługi ochrony.
Krok 1. Zainicjuj żądanieusunięcia Kontakt pomoc techniczna firmy Microsoft, aby otworzyć zgłoszenie do pomocy technicznej usługi Azure Information Protection z żądaniem usunięcia danych z dzierżawy. Musisz udowodnić, że jesteś administratorem dzierżawy usługi Azure Information Protection i rozumiesz, że potwierdzenie tego procesu trwa kilka dni. Podczas przesyłania żądania należy podać dodatkowe informacje, w zależności od danych, które należy usunąć.
- Aby usunąć dziennik administracyjny, podaj datę zakończenia. Wszystkie dzienniki administratora do tej daty zakończenia zostaną usunięte.
- Aby usunąć dzienniki użycia, podaj datę zakończenia. Wszystkie dzienniki użycia do tej daty zakończenia zostaną usunięte.
- Aby usunąć dzienniki śledzenia dokumentów, podaj datę zakończenia i adres UserEmail. Wszystkie informacje śledzenia dokumentów dotyczące userEmail do tej daty zakończenia zostaną usunięte. Obsługiwane jest wyrażenie regularne (format perl) dla elementu UserEmail.
Usunięcie tych danych jest trwałą akcją. Nie ma możliwości odzyskania danych po przetworzeniu żądania usunięcia. Zaleca się, aby administratorzy eksportowali wymagane dane przed przesłaniem żądania usunięcia.
Krok 2. Zaczekaj na weryfikację firma Microsoft sprawdzi, czy żądanie usunięcia co najmniej jednego dziennika jest uzasadnione. Ten proces może potrwać do pięciu dni roboczych.
Krok 3. Potwierdzenie usunięcia usług pomocy technicznej firmy Microsoft (CSS) spowoduje wysłanie wiadomości e-mail z potwierdzeniem usunięcia danych.
Eksportowanie danych osobowych
W przypadku korzystania z poleceń cmdlet programu PowerShell AIPService lub AADRM dane osobowe są udostępniane do wyszukiwania i eksportowania jako obiekt programu PowerShell. Obiekt programu PowerShell można przekonwertować na format JSON i zapisać przy użyciu ConvertTo-Json polecenia cmdlet .
Ograniczanie korzystania z danych osobowych do profilowania lub marketingu bez zgody
Usługa Azure Information Protection jest zgodna z warunkami zachowania poufności informacji firmy Microsoft dotyczącymi profilowania lub marketingu na podstawie danych osobowych.
Inspekcja i raportowanie
Tylko użytkownicy, którym przypisano uprawnienia administratora, mogą używać modułu AIPService lub ADDRM do wyszukiwania i eksportowania danych osobowych. Te operacje są rejestrowane w dzienniku administracyjnym, który można pobrać.
W przypadku akcji usuwania żądanie pomocy technicznej działa jako dziennik inspekcji i raportowania dla akcji wykonywanych przez firmę Microsoft. Po usunięciu usunięte dane nie będą dostępne do wyszukiwania i eksportowania, a administrator może to sprawdzić przy użyciu poleceń cmdlet Get z modułu AIPService.