Administracja Guide: Configuring and using document tracking for Rights Management Service protection with the legacy tracking portal (Przewodnik Administracja: konfigurowanie i używanie śledzenia dokumentów na potrzeby ochrony usługi Rights Management przy użyciu starszego portalu śledzenia

Uwaga

Starsza witryna śledzenia dokumentu usługi Azure Information Protection jest obsługiwana tylko dla klienta klasycznego, a nie dla klienta ujednoliconego etykietowania. Aby uzyskać więcej informacji, zobacz Usunięte i wycofane usługi.

Aby uzyskać najnowsze wskazówki, zobacz Śledzenie i odwoływanie dostępu do dokumentów.

Jeśli masz subskrypcję, która obsługuje śledzenie dokumentów, witryna śledzenia dokumentów jest domyślnie włączona dla wszystkich użytkowników w organizacji. Śledzenie dokumentów zawiera informacje dla użytkowników i administratorów dotyczące czasu uzyskania dostępu do chronionego dokumentu i w razie potrzeby można odwołać śledzony dokument.

Zarządzanie witryną śledzenia dokumentów przy użyciu programu PowerShell

Poniższe sekcje zawierają informacje o sposobie zarządzania witryną śledzenia dokumentów przy użyciu programu PowerShell. Aby uzyskać instrukcje dotyczące instalacji modułu programu PowerShell, zobacz Instalowanie modułu AIPService programu PowerShell.

Aby uzyskać więcej informacji na temat każdego z poleceń cmdlet, użyj podanych linków.

Mechanizmy kontroli prywatności w witrynie śledzenia dokumentów

Jeśli wyświetlanie wszystkich informacji śledzenia dokumentów jest zabronione w organizacji ze względu na wymagania dotyczące prywatności, możesz wyłączyć śledzenie dokumentów przy użyciu polecenia cmdlet Disable-AipServiceDocumentTrackingFeature .

To polecenie cmdlet wyłącza dostęp do witryny śledzenia dokumentów, aby wszyscy użytkownicy w organizacji nie mogli śledzić ani odwoływać dostępu do chronionych dokumentów. Śledzenie dokumentów można ponownie włączyć w dowolnym momencie przy użyciu polecenia Enable-AipServiceDocumentTrackingFeature i sprawdzić, czy śledzenie dokumentów jest obecnie włączone lub wyłączone za pomocą polecenia Get-AipServiceDocumentTrackingFeature.

Po włączeniu witryny śledzenia dokumentów domyślnie są wyświetlane informacje, takie jak adresy e-mail osób, które próbowały uzyskać dostęp do chronionych dokumentów, gdy te osoby próbowały uzyskać do nich dostęp, oraz ich lokalizację. Ten poziom informacji może być przydatny do określenia sposobu użycia udostępnionych dokumentów i odwoływanie ich w przypadku wystąpienia podejrzanych działań. Jednak ze względu na prywatność może być konieczne wyłączenie tych informacji o użytkowniku dla niektórych lub wszystkich użytkowników.

Jeśli masz użytkowników, którzy nie powinni śledzić tego działania przez innych użytkowników, dodaj je do grupy przechowywanej w identyfikatorze Entra firmy Microsoft i określ tę grupę za pomocą polecenia cmdlet Set-AipServiceDoNotTrackUserGroup . Po uruchomieniu tego polecenia cmdlet należy określić jedną grupę. Jednak grupa może zawierać grupy zagnieżdżone.

W przypadku tych członków grupy użytkownicy nie widzą żadnych działań w witrynie śledzenia dokumentów, gdy to działanie jest związane z dokumentami, które zostały im udostępnione. Ponadto do użytkownika, który udostępnił dokument, nie są wysyłane żadne powiadomienia e-mail.

W przypadku korzystania z tej konfiguracji wszyscy użytkownicy nadal mogą używać witryny śledzenia dokumentów i odwoływać dostęp do chronionych dokumentów. Nie widzą jednak działań dla użytkowników określonych za pomocą polecenia cmdlet Set-AipServiceDoNotTrackUserGroup.

To ustawienie ma wpływ tylko na użytkowników końcowych. Administracja istratory usługi Azure Information Protection zawsze mogą śledzić działania wszystkich użytkowników, nawet jeśli są one określone za pomocą polecenia Set-AipServiceDoNotTrackUserGroup. Aby uzyskać więcej informacji na temat śledzenia dokumentów przez administratorów dla użytkowników, zobacz sekcję Śledzenie i odwołowanie dokumentów dla użytkowników .

Rejestrowanie informacji z witryny śledzenia dokumentów

Aby pobrać informacje rejestrowania z witryny śledzenia dokumentów, możesz użyć następujących poleceń cmdlet:

  • Get-AipServiceTrackingLog

    To polecenie cmdlet zwraca informacje o dokumentach chronionych dla określonego użytkownika, który chroni dokumenty (wystawca usługi Rights Management) lub kto uzyskiwał dostęp do chronionych dokumentów. Użyj tego polecenia cmdlet, aby odpowiedzieć na pytanie "Które dokumenty chronione czy określonego użytkownika śledzą lub uzyskują dostęp?"

  • Get-AipServiceDocumentLog

    To polecenie cmdlet zwraca informacje o ochronie śledzonych dokumentów dla określonego użytkownika, jeśli dokumenty chronione przez użytkownika (wystawca usługi Rights Management) lub właściciel usługi Rights Management dla dokumentów lub dokumenty chronione zostały skonfigurowane do udzielania dostępu bezpośrednio użytkownikowi. Użyj tego polecenia cmdlet, aby odpowiedzieć na pytanie "Jak dokumenty są chronione dla określonego użytkownika?"

Docelowe adresy URL używane przez witrynę śledzenia dokumentów

Następujące adresy URL są używane do śledzenia dokumentów i muszą być dozwolone na wszystkich urządzeniach i usługach między klientami, na których działa klient usługi Azure Information Protection i Internet. Na przykład dodaj te adresy URL do zapór lub do zaufanych witryn, jeśli używasz programu Internet Explorer z rozszerzonymi zabezpieczeniami.

  • https://*.azurerms.com

  • https://*.microsoftonline.com

  • https://*.microsoftonline-p.com

  • https://ecn.dev.virtualearth.net

Te adresy URL są standardowe dla usługi Azure Rights Management, z wyjątkiem adresu URL virtualearth.net używanego do wyświetlania lokalizacji użytkownika przez mapy Bing.

Śledzenie i odwołowanie dokumentów dla użytkowników

Gdy użytkownicy logują się do witryny śledzenia dokumentów, mogą śledzić i odwoływać dokumenty chronione przy użyciu klienta usługi Azure Information Protection. Po zalogowaniu się jako Administracja istrator globalny firmy Microsoft dla dzierżawy możesz kliknąć ikonę Administracja, która przełącza się na tryb Administracja istratora. Inne role administratora nie obsługują tego trybu dla witryny śledzenia dokumentów.

Admin icon in the document tracking site

Tryb Administracja istrator umożliwia wyświetlanie dokumentów wybranych przez użytkowników w organizacji do śledzenia przy użyciu klienta usługi Azure Information Protection.

Uwaga

Jeśli ta ikona nie jest widoczna, mimo że jest administratorem globalnym, nie zostały jeszcze udostępnione żadne dokumenty samodzielnie. W takim przypadku użyj następującego adresu URL, aby uzyskać dostęp do witryny śledzenia dokumentów: https://portal.azurerms.com/#/admin

Akcje podejmowane w trybie Administracja istratora są poddawane inspekcji i rejestrowane w plikach dziennika użycia i należy potwierdzić, aby kontynuować. Aby uzyskać więcej informacji na temat tego rejestrowania, zobacz następną sekcję.

Gdy jesteś w trybie Administracja istratora, możesz wyszukiwać według użytkownika lub dokumentu. Jeśli wyszukujesz według użytkownika, zobaczysz wszystkie dokumenty wybrane przez określonego użytkownika do śledzenia przy użyciu klienta usługi Azure Information Protection.

Jeśli przeszukujesz według dokumentu, zobaczysz wszystkich użytkowników w organizacji, którzy prześledzili ten dokument przy użyciu klienta usługi Azure Information Protection. Następnie możesz przejść do szczegółów wyników wyszukiwania, aby śledzić dokumenty chronione przez użytkowników i w razie potrzeby odwołać te dokumenty.

Aby opuścić tryb Administracja istratora, kliknij przycisk X obok pozycji Zakończ tryb administratora:

Exit administrator mode in the document tracking site

Aby uzyskać instrukcje dotyczące korzystania z witryny śledzenia dokumentów, zobacz Śledzenie i odwoływanie dokumentów z podręcznika użytkownika.

Rejestrowanie dokumentów oznaczonych etykietami w witrynie śledzenia dokumentów przy użyciu programu PowerShell

Aby móc śledzić i odwoływać dokument, należy najpierw zarejestrować go w witrynie śledzenia dokumentów. Ta akcja występuje, gdy użytkownicy wybierają opcję Śledź i odwoływanie z Eksplorator plików lub ich aplikacja pakietu Office podczas korzystania z klienta usługi Azure Information Protection.

Jeśli etykietujesz i chronisz pliki dla użytkowników przy użyciu polecenia cmdlet Set-AIPFileLabel , możesz użyć parametru EnableTracking , aby zarejestrować plik w witrynie śledzenia dokumentów. Przykład:

Set-AIPFileLabel -Path C:\Projects\ -LabelId ade72bf1-4714-4714-4714-a325f824c55a -EnableTracking

Rejestrowanie użycia witryny śledzenia dokumentów

Do śledzenia dokumentów mają zastosowanie dwa pola w plikach dziennika użycia: Administracja Action i ActingAsUser.

Administracja Action — to pole ma wartość true, gdy administrator używa witryny śledzenia dokumentów w trybie Administracja istratora, na przykład w celu odwołania dokumentu w imieniu użytkownika lub sprawdzenia, kiedy został udostępniony. To pole jest puste, gdy użytkownik loguje się do witryny śledzenia dokumentów.

ActingAsUser — jeśli pole Administracja Action ma wartość true, to pole zawiera nazwę użytkownika, której administrator działa w imieniu użytkownika lub właściciela szukanego dokumentu. To pole jest puste, gdy użytkownik loguje się do witryny śledzenia dokumentów.

Istnieją również typy żądań, które rejestrują, jak użytkownicy i administratorzy korzystają z witryny śledzenia dokumentów. Na przykład funkcja RevokeAccess jest typem żądania, gdy użytkownik lub administrator w imieniu użytkownika odwołał dokument w witrynie śledzenia dokumentów. Użyj tego typu żądania w połączeniu z polem Administracja Action, aby określić, czy użytkownik odwołał własny dokument (pole Administracja Action jest puste) lub administrator odwołał dokument w imieniu użytkownika (Administracja Action ma wartość true).

Aby uzyskać więcej informacji na temat rejestrowania użycia, zobacz Rejestrowanie i analizowanie użycia ochrony z usługi Azure Information Protection

Następne kroki

Po skonfigurowaniu lokacji śledzenia dokumentów dla klienta usługi Azure Information Protection zapoznaj się z następującymi informacjami, aby uzyskać dodatkowe informacje, które mogą być potrzebne do obsługi tego klienta: