Guia de administração: configurando e usando o acompanhamento de documentos para proteção do Rights Management Service com o portal de acompanhamento herdado

  • Artigo

Observação

O site de rastreamento de documentos herdado da Proteção de Informações do Azure oferece suporte apenas para o cliente clássico e não para o cliente de rotulagem unificada. Para obter mais informações, confira Remover e desativar serviços.

Para obter as diretrizes mais recentes, consulte Acompanhar e revogar o acesso a documentos.

Se você tiver um assinatura que dê suporte ao acompanhamento de documentos, o site de acompanhamento de documentos será habilitado por padrão para todos os usuários em sua organização. O acompanhamento de documentos fornece informações para usuários e administradores sobre quando um documento protegido foi acessado e, se necessário, um documento acompanhado pode ser revogado.

Usando o PowerShell para gerenciar o site de acompanhamento de documentos

As seções a seguir contêm informações sobre como você pode gerenciar o site de acompanhamento de documentos usando o PowerShell. Para obter instruções de instalação do módulo PowerShell, veja Instalando o módulo AIPService do PowerShell.

Para obter mais informações sobre cada um desses cmdlets, use os links fornecidos.

Controles de privacidade para o site de acompanhamento de documentos

Se for proibido exibir todas as informações de acompanhamento do documento na sua organização em virtude dos requisitos de privacidade, você pode desabilitar o acompanhamento de documentos usando o cmdlet Disable-AadrmDocumentTrackingFeature.

Esse cmdlet desabilita o acesso para o site de acompanhamento de documentos para que todos os usuários na organização não possam controlar ou revogar o acesso a documentos que eles protegeram. Você pode reabilitar o acompanhamento de documentos a qualquer momento usando o Enable-AipServiceDocumentTrackingFeature e pode verificar se o acompanhamento de documentos está habilitado ou desabilitado no momento usando Get-AipServiceDocumentTrackingFeature.

Quando o site de acompanhamento de documentos está habilitado, por padrão, ele mostra informações como os endereços de email das pessoas que tentaram acessar documentos protegidos, quando essas pessoas tentavam acessá-los e sua localização. Esse nível de informação pode ser útil para determinar como os documentos compartilhados são usados e se eles devem ser revogados se uma atividade suspeita for vista. No entanto, por motivos de privacidade, talvez seja necessário desabilitar essas informações de usuário para alguns ou todos os usuários.

Se você tiver usuários que não deveriam ter essa atividade monitorada por outros usuários, adicione-os a um grupo armazenado no Microsoft Entra ID e especifique esse grupo com o cmdlet Set-AipServiceDoNotTrackUserGroup. Quando você executa esse cmdlet, deve especificar um único grupo. No entanto, o grupo pode conter grupos aninhados.

Para esses membros do grupo, os usuários não podem ver qualquer atividade do documento no site de acompanhamento de documentos quando essa atividade está relacionada aos documentos compartilhados com eles. Além disso, nenhuma notificação de email é enviada para o usuário que compartilhou o documento.

Quando você usa essa configuração, todos os usuários ainda podem usar o site de acompanhamento de documentos e revogar o acesso a documentos que eles protegeram. No entanto, eles não veem a atividade dos usuários especificados usando o cmdlet Set-AipServiceDoNotTrackUserGroup.

Essa configuração afeta somente usuários finais. Os administradores da Proteção de Informações do Azure sempre podem acompanhar as atividades de todos os usuários, mesmo quando esses usuários são especificados usando Set-AipServiceDoNotTrackUserGroup. Para obter mais informações sobre como os administradores podem controlar os documentos para usuários, consulte a seção Acompanhando e revogando documentos para usuários.

Registrando informações do site de acompanhamento de documentos

Você pode usar os cmdlets a seguir para baixar informações de log do site de acompanhamento de documentos:

  • Get-AipServiceTrackingLog

    Esse cmdlet retorna informações de acompanhamento sobre documentos protegidos para um usuário especificado que protegeu documentos (o emissor do Rights Management) ou que acessou documentos protegidos. Use este cmdlet para ajudar a responder à pergunta "Quais documentos protegidos um usuário especificado acompanhou ou acessou?"

  • Get-AipServiceDocumentLog

    Esse cmdlet retorna informações de proteção sobre os documentos acompanhados para um usuário especificado se esse usuário protegeu documentos (o emissor do Rights Management) ou se foi o proprietário do Rights Management para documentos ou se documentos protegidos foram configurados para conceder acesso diretamente ao usuário. Use este cmdlet para ajudar a responder à pergunta "Como os documentos são protegidos para um usuário específico?"

URLs de destino usadas pelo site de acompanhamento de documentos

As URLs a seguir são usadas para o acompanhamento de documentos e devem ser permitidas em todos os dispositivos e serviços entre os clientes que executam o cliente da Proteção de Informações do Azure e a Internet. Por exemplo, adicione essas URLs a firewalls ou aos seus Sites Confiáveis se estiver usando o Internet Explorer com Segurança Aprimorada.

  • https://*.azurerms.com

  • https://*.microsoftonline.com

  • https://*.microsoftonline-p.com

  • https://ecn.dev.virtualearth.net

Essas URLs são padrão para o serviço do Azure Rights Management, com exceção da URL virtualearth.net que é usada para os mapas do Bing exibirem o local do usuário.

Acompanhando e revogando documentos para usuários

Quando os usuários iniciam sessão no site de acompanhamento de documentos, eles podem acompanhar e revogar documentos que eles protegeram utilizando o cliente da Proteção de Informações do Azure. Ao entrar como Administrador Global do Microsoft Entra para seu locatário, você pode clicar no ícone Administrador, que alterna para o modo Administrador. Outras funções de administrador não oferecem suporte a esse modo para o site de acompanhamento de documentos.

Admin icon in the document tracking site

O modo Administrador permite que você veja os documentos que os usuários da sua organização selecionaram para acompanhar usando o cliente da Proteção de Informações do Azure.

Observação

Se você não vir esse ícone, apesar de ser um administrador global, é porque ainda não compartilhou nenhum documento. Nesse caso, use a seguinte URL para acessar o site de rastreamento de documentos: https://portal.azurerms.com/#/admin

As ações executadas no modo de Administrador são auditadas e registradas nos arquivos de log de uso e você deve confirmar para continuar. Para obter mais informações sobre esse registro em log, veja a próxima seção.

Quando você estiver no modo de Administrador, poderá pesquisar por usuário ou documento. Se pesquisar por usuário, você verá todos os documentos que o usuário especificado selecionou para acompanhar usando o cliente da Proteção de Informações do Azure.

Se pesquisar por documento, você verá todos os usuários em sua organização que acompanharam esse documento usando o cliente da Proteção de Informações do Azure. Você pode então analisar os resultados da pesquisa para acompanhar os documentos que os usuários protegeram e revogar esses documentos, se necessário.

Para sair do modo de Administrador, clique no X ao lado de Sair do modo de administrador:

Exit administrator mode in the document tracking site

Para encontrar instruções de como usar o site de acompanhamento de documentos, consulte Acompanhar e revogar documentos do guia do usuário.

Usando o PowerShell para registrar documentos rotulados com o site de acompanhamento de documentos

Para poder acompanhar e revogar um documento, ele deve primeiro ser registrado no site de acompanhamento de documentos. Essa ação ocorre quando os usuários selecionam a opção Acompanhar e revogar no Explorador de Arquivos ou em seus aplicativos do Office quando usam o cliente da Proteção de Informações do Azure.

Se você rotular e proteger arquivos para usuários usando o cmdlet Set-AIPFileLabel, poderá usar o parâmetro EnableTracking para registrar o arquivo no site de acompanhamento de documentos. Por exemplo:

Set-AIPFileLabel -Path C:\Projects\ -LabelId ade72bf1-4714-4714-4714-a325f824c55a -EnableTracking

Registro em log do site de acompanhamento de documentos

Dois campos nos arquivos de log de uso são aplicáveis ao acompanhamento de documentos: AdminAction e ActingAsUser.

AdminAction – este campo tem um valor true quando o administrador usa o site de acompanhamento de documentos no modo de Administrador, por exemplo, para revogar um documento em nome de um usuário ou para ver quando ele foi compartilhado. Este campo está vazio quando um usuário faz logon no site de acompanhamento de documento.

ActingAsUser – quando o campo AdminAction é true, este campo contém o nome de usuário em nome do qual o administrador está atuando como o proprietário do documento ou usuário pesquisado. Este campo está vazio quando um usuário faz logon no site de acompanhamento de documento.

Também há tipos de solicitação que registram como os usuários e os administradores estão usando o site de acompanhamento de documentos. Por exemplo, RevokeAccess é o tipo de solicitação quando um usuário ou um administrador em nome de um usuário revogou um documento no site de acompanhamento de documentos. Use esse tipo de solicitação em combinação com o campo AdminAction para determinar se o usuário revogou seu próprio documento (o campo AdminAction fica vazio) ou um administrador revogou um documento em nome do usuário (o AdminAction é true).

Para mais informações sobre o log de uso, consulte Registrando em log e analisando o uso de proteção da Proteção de Informações do Azure

Próximas etapas

Agora que você configurou o site de acompanhamento de documentos do cliente da Proteção de Informações do Azure, confira estas outras informações que talvez sejam necessárias para dar suporte a esse cliente: