przewodnik Administracja istrator: śledzenie i odwoływanie dostępu do dokumentów za pomocą usługi Azure Information Protection

Uwaga

Szukasz usługi Microsoft Purview Information Protection, dawniej Microsoft Information Protection (MIP)?

Dodatek usługi Azure Information Protection dla pakietu Office jest teraz w trybie konserwacji i zostanie wycofany z kwietnia 2024 r. Zamiast tego zalecamy używanie etykiet wbudowanych w aplikacje i usługi Office 365, które obsługują również śledzenie i odwoływanie dostępu do dokumentów.

Śledzenie dokumentów zawiera informacje dla administratorów z rolą globalnego Administracja istratora usługi Azure Information Protection Administracja istratora usługi Azure Information Protection lub usługi Azure Rights Management o tym, kiedy uzyskiwano dostęp do chronionego dokumentu. W razie potrzeby zarówno administratorzy, jak i użytkownicy mogą odwołać dostęp do dokumentów do śledzonych dokumentów.

W wersjach 2.9.111.0 lub nowszych wszystkie chronione dokumenty pakietu Office, które nie zostały jeszcze zarejestrowane do śledzenia, zostaną automatycznie zarejestrowane przy następnym otwarciu za pośrednictwem klienta ujednoliconego etykietowania usługi AIP. Chronione dokumenty są obsługiwane w przypadku śledzenia i odwoływanie, nawet jeśli nie są one oznaczone etykietami.

Zarejestrowanie dokumentu na potrzeby śledzenia umożliwia administratorom śledzenie szczegółów dostępu, w tym pomyślne zdarzenia dostępu i próby odmowy, a także odwoływanie dostępu w razie potrzeby.

Uwaga

Funkcje śledzenia i odwoływanie są obsługiwane tylko w przypadku typów plików pakietu Office.

Chronione dokumenty są obsługiwane w przypadku śledzenia i odwoływanie, nawet jeśli nie są one oznaczone etykietami.

Śledzenie dostępu do dokumentów

Administracja mogą śledzić dostęp do chronionych dokumentów za pomocą programu PowerShellContentID wygenerowany dla chronionego dokumentu podczas rejestracji.

Aby wyświetlić szczegóły dostępu do dokumentu:

Użyj następujących poleceń cmdlet, aby znaleźć szczegółowe informacje dotyczące dokumentu, który chcesz śledzić:

1. Znajdź wartość ContentID dokumentu, który chcesz śledzić.

   Użyj polecenia Get-AipServiceDocumentLog , aby wyszukać dokument przy użyciu nazwy pliku i/lub adresu e-mail użytkownika, który zastosował ochronę.

   Na przykład:

   Get-AipServiceDocumentLog -ContentName "test.docx" -Owner “alice@contoso.com” -FromTime "12/01/2020 00:00:00" -ToTime "12/31/2020 23:59:59"
   

   To polecenie zwraca identyfikator ContentID dla wszystkich pasujących dokumentów chronionych zarejestrowanych do śledzenia.

   Uwaga

   Chronione dokumenty są rejestrowane do śledzenia po pierwszym otwarciu na maszynie z zainstalowanym klientem ujednoliconego etykietowania. Jeśli to polecenie nie zwraca identyfikatora ContentID chronionego pliku, otwórz go na maszynie z zainstalowanym klientem ujednoliconego etykietowania, aby zarejestrować dokument w celu śledzenia.

2. Użyj polecenia cmdlet Get-AipServiceTrackingLog z identyfikatorem ContentID dokumentu, aby zwrócić dane śledzenia.

   Na przykład:

   Get-AipServiceTrackingLog -ContentId c03bf90c-6e40-4f3f-9ba0-2bcd77524b87
   

   Zwracane są dane śledzenia, w tym wiadomości e-mail użytkowników, którzy próbowali uzyskać dostęp, czy udzielono dostępu, godzinę i datę próby oraz domenę i lokalizację, w której nastąpiła próba dostępu.

Odwoływanie dostępu do dokumentów z programu PowerShell

Administracja może odwołać dostęp do dowolnego dokumentu chronionego przechowywanego w ich lokalnych udziałach zawartości przy użyciu Set-AIPServiceDocumentRevoked cmdlet.

1. Znajdź wartość ContentID dokumentu, dla którego chcesz odwołać dostęp.

   Użyj polecenia Get-AipServiceDocumentLog , aby wyszukać dokument przy użyciu nazwy pliku i/lub adresu e-mail użytkownika, który zastosował ochronę.

   Na przykład:

   Get-AipServiceDocumentLog -ContentName "test.docx" -Owner “alice@contoso.com” -FromTime "12/01/2020 00:00:00" -ToTime "12/31/2020 23:59:59"
   

   Zwrócone dane zawierają wartość ContentID dokumentu.

   Napiwek

   Tylko dokumenty, które zostały chronione i zarejestrowane do śledzenia, mają wartość ContentID .

   Jeśli dokument nie ma identyfikatora ContentID, otwórz go na maszynie z zainstalowanym klientem ujednoliconego etykietowania, aby zarejestrować plik w celu śledzenia.

2. Użyj polecenia Set-AIPServiceDocumentRevoked z identyfikatorem ContentID dokumentu, aby odwołać dostęp.

   Na przykład:

   Set-AipServiceDocumentRevoked -ContentId 0e421e6d-ea17-4fdb-8f01-93a3e71333b8 -IssuerName testIssuer
   

Uwaga

Jeśli dostęp w trybie offline jest dozwolony, użytkownicy będą nadal mogli uzyskiwać dostęp do dokumentów, które zostały odwołane do czasu wygaśnięcia okresu zasad trybu offline.

Napiwek

Użytkownicy mogą również odwołać dostęp do wszystkich dokumentów, w których zastosowano ochronę bezpośrednio z menu Ważność w swoich aplikacja pakietu Office. Aby uzyskać więcej informacji, zobacz Podręcznik użytkownika: odwoływanie dostępu do dokumentów za pomocą usługi Azure Information Protection

Cofnij dostęp

Jeśli przypadkowo odwołano dostęp do określonego dokumentu, użyj tej samej wartości ContentID z poleceniem cmdlet Clear-AipServiceDocumentRevoked , aby cofnąć dostęp.

Aby użyć polecenia cmdlet Clear-AipServiceDocumentRevoked , należy najpierw załadować AipService.dll.

Na przykład:

Import-Module -Name "C:\Program Files\WindowsPowerShell\Modules\AIPService\1.0.0.4\AipService.dll"
Clear-AipServiceDocumentRevoked -ContentId   0e421e6d-ea17-4fdb-8f01-93a3e71333b8 -IssuerName testIssuer

Dostęp do dokumentu jest udzielany użytkownikowi zdefiniowanemu w parametrze IssuerName .

Wyłączanie funkcji śledzenia i odwoływanie dla dzierżawy

Jeśli musisz wyłączyć funkcje śledzenia i odwoływanie dla dzierżawy, takie jak wymagania dotyczące prywatności w organizacji lub regionie, wykonaj obie następujące czynności:

1. Uruchom polecenie cmdlet Disable-AipServiceDocumentTrackingFeature .

2. Ustaw ustawienie zaawansowanego klienta EnableTrackAndRevoke na Wartość Fałsz.

Śledzenie dokumentów i opcje odwoływanie dostępu są wyłączone dla dzierżawy:

• Otwieranie chronionych dokumentów przy użyciu ujednoliconego klienta etykietowania usługi AIP nie rejestruje już dokumentów w celu śledzenia i odwoływanie.
• Dzienniki dostępu nie są przechowywane, gdy dokumenty chronione, które są już zarejestrowane, są otwierane. Dzienniki dostępu przechowywane przed wyłączeniem tych funkcji są nadal dostępne.
• Administracja nie będzie można śledzić ani odwoływać dostępu za pośrednictwem programu PowerShell, a użytkownicy końcowi nie będą już widzieć Odwoływanie opcji menu w ich aplikacja pakietu Office.

Napiwek

Aby włączyć śledzenie i odwoływanie, ustaw właściwość EnableTrackAndRevoke na true, a także uruchom polecenie cmdlet Enable-AipServiceDocumentTrackingFeature .

Wyłączanie możliwości odwoływanie dostępu przez użytkowników końcowych

Jeśli nie chcesz, aby użytkownicy końcowi mogli odwołać dostęp do chronionych dokumentów z ich aplikacja pakietu Office, możesz usunąć opcję Odwołaj dostęp z aplikacja pakietu Office.

Uwaga

Usunięcie opcji Odwoływanie dostępu nadal śledzi chronione dokumenty w tle i zachowuje możliwość odwołania dostępu do dokumentów za pomocą programu PowerShell.

Aby usunąć opcję Odwołaj dostęp z aplikacja pakietu Office s, ustaw ustawienie zaawansowanego klienta EnableRevokeGuiSupport na wartość False.

Aby uzyskać więcej informacji, zobacz Podręcznik użytkownika: odwoływanie dostępu do dokumentów za pomocą usługi Azure Information Protection.

Następne kroki

Aby uzyskać więcej informacji, zobacz:

• Podręcznik użytkownika ujednoliconego etykietowania usługi AIP
• Przewodnik administratora klienta ujednoliconego etykietowania usługi AIP
• Znane problemy dotyczące funkcji śledzenia i odwoływanie