Guia do administrador: rastrear e revogar o acesso a documentos com a Proteção de Informações do Azure

Nota

Você está procurando por Microsoft Purview Information Protection, anteriormente Microsoft Information Protection (MIP)?

O suplemento Proteção de Informações do Azure para Office está agora no modo de manutenção e será desativado em abril de 2024. Em vez disso, recomendamos que utilize etiquetas incorporadas nas suas aplicações e serviços do Office 365, que também suportam controlar e revogar o acesso a documentos.

O controlo de documentos fornece informações aos administradores, com a função de Administrador de Proteção de Informações do Azure ou de Administrador Global do Azure Rights Management, sobre quando um documento protegido foi acedido. Se necessário, administradores e usuários podem revogar o acesso a documentos rastreados.

Nas versões 2.9.111.0 ou posteriores, todos os documentos protegidos do Office que ainda não estão registrados para rastreamento são registrados automaticamente na próxima vez que forem abertos por meio do cliente de etiquetagem unificada AIP. Os documentos protegidos são suportados para rastrear e revogar, mesmo que não estejam rotulados.

O registro de um documento para rastreamento permite que os administradores rastreiem os detalhes de acesso, incluindo eventos de acesso bem-sucedidos e tentativas negadas, bem como revoguem o acesso, se necessário.

Nota

Os recursos de rastreamento e revogação são suportados apenas para tipos de arquivo do Office.

Os documentos protegidos são suportados para rastrear e revogar, mesmo que não estejam rotulados.

Acompanhe o acesso aos documentos

Os administradores podem controlar o acesso a documentos protegidos via PowerShell usando o ContentID gerado para o documento protegido durante o registro.

Para visualizar os detalhes de acesso ao documento:

Use os cmdlets a seguir para encontrar detalhes do documento que você deseja acompanhar:

1. Encontre o valor ContentID do documento que você deseja acompanhar.

   Use o Get-AipServiceDocumentLog para procurar um documento usando o nome do arquivo e/ou o endereço de e-mail do usuário que aplicou a proteção.

   Por exemplo;

   Get-AipServiceDocumentLog -ContentName "test.docx" -Owner “alice@contoso.com” -FromTime "12/01/2020 00:00:00" -ToTime "12/31/2020 23:59:59"
   

   Este comando retorna o ContentID para todos os documentos protegidos correspondentes que estão registrados para rastreamento.

   Nota

   Os documentos protegidos são registrados para rastreamento quando são abertos pela primeira vez em uma máquina com o cliente de etiquetagem unificado instalado. Se esse comando não retornar o ContentID do arquivo protegido, abra-o em uma máquina com o cliente de etiquetagem unificado instalado para registrar o documento para rastreamento.

2. Use o cmdlet Get-AipServiceTrackingLog com o ContentID do documento para retornar os dados de acompanhamento.

   Por exemplo:

   Get-AipServiceTrackingLog -ContentId c03bf90c-6e40-4f3f-9ba0-2bcd77524b87
   

   Os dados de rastreamento são retornados, incluindo e-mails de usuários que tentaram acessar, se o acesso foi concedido ou negado, a hora e a data da tentativa, bem como o domínio e o local de origem da tentativa de acesso.

Revogar o acesso a documentos do PowerShell

Os administradores podem revogar o acesso a qualquer documento protegido armazenado em seus compartilhamentos de conteúdo local, usando o cmdlet Set-AIPServiceDocumentRevoked .

1. Encontre o valor ContentID do documento ao qual você deseja revogar o acesso.

   Use o Get-AipServiceDocumentLog para procurar um documento usando o nome do arquivo e/ou o endereço de e-mail do usuário que aplicou a proteção.

   Por exemplo:

   Get-AipServiceDocumentLog -ContentName "test.docx" -Owner “alice@contoso.com” -FromTime "12/01/2020 00:00:00" -ToTime "12/31/2020 23:59:59"
   

   Os dados retornados incluem o valor ContentID do documento.

   Gorjeta

   Somente documentos que foram protegidos e registrados para rastreamento têm um valor ContentID .

   Se o documento não tiver ContentID, abra-o em uma máquina com o cliente de etiquetagem unificado instalado para registrar o arquivo para rastreamento.

2. Use o Set-AIPServiceDocumentRevoked com o ContentID do documento para revogar o acesso.

   Por exemplo:

   Set-AipServiceDocumentRevoked -ContentId 0e421e6d-ea17-4fdb-8f01-93a3e71333b8 -IssuerName testIssuer
   

Nota

Se o acesso off-line for permitido, os usuários continuarão a poder acessar os documentos que foram revogados até que o período da política offline expire.

Gorjeta

Os usuários também podem revogar o acesso a quaisquer documentos em que aplicaram proteção diretamente do menu Sensibilidade em seus aplicativos do Office. Para obter mais informações, consulte Guia do Usuário: Revogar o acesso a documentos com a Proteção de Informações do Azure

Acesso não revogado

Se você tiver revogado acidentalmente o acesso a um documento específico, use o mesmo valor ContentID com o cmdlet Clear-AipServiceDocumentRevoked para cancelar a revogação do acesso.

Para usar o cmdlet Clear-AipServiceDocumentRevoked , você deve primeiro carregar o AipService.dll.

Por exemplo:

Import-Module -Name "C:\Program Files\WindowsPowerShell\Modules\AIPService\1.0.0.4\AipService.dll"
Clear-AipServiceDocumentRevoked -ContentId   0e421e6d-ea17-4fdb-8f01-93a3e71333b8 -IssuerName testIssuer

O acesso ao documento é concedido ao usuário definido no parâmetro IssuerName .

Desativar a faixa e revogar recursos para seu locatário

Se você precisar desativar o controle e revogar recursos para seu locatário, como para requisitos de privacidade em sua organização ou região, execute as duas etapas a seguir:

1. Execute o cmdlet Disable-AipServiceDocumentTrackingFeature .

2. Defina a configuração de cliente avançado EnableTrackAndRevoke como False.

O acompanhamento de documentos e as opções para revogar o acesso estão desativados para o seu inquilino:

• Abrir documentos protegidos com o cliente de etiquetagem unificada AIP não registra mais os documentos para rastrear e revogar.
• Os logs de acesso não são armazenados quando documentos protegidos que já estão registrados são abertos. Os logs de acesso que foram armazenados antes de desativar esses recursos ainda estão disponíveis.
• Os administradores não poderão rastrear ou revogar o acesso por meio do PowerShell e os usuários finais não verão mais a opção de menu Revogar em seus aplicativos do Office.

Gorjeta

Para ativar o controle e revogar novamente, defina EnableTrackAndRevoke como True e execute também o cmdlet Enable-AipServiceDocumentTrackingFeature.

Desativar a capacidade de os utilizadores finais revogarem o acesso

Se não quiser que os utilizadores finais tenham a capacidade de revogar o acesso a documentos protegidos a partir das respetivas aplicações do Office, pode remover a opção Revogar Acesso das suas aplicações do Office.

Nota

A remoção da opção Revogar acesso continua a manter seus documentos protegidos rastreados em segundo plano e mantém a capacidade do administrador de revogar o acesso a documentos por meio do PowerShell.

Para remover a opção Revogar acesso dos aplicativos do Office, defina a configuração de cliente avançado EnableRevokeGuiSupport como False.

Para obter mais informações, consulte Guia do Usuário: Revogar o acesso a documentos com a Proteção de Informações do Azure.

Próximos passos

Para obter mais informações, consulte:

• Guia do usuário do cliente de etiquetagem unificada AIP
• Guia do administrador do cliente de etiquetagem unificada do AIP
• Problemas conhecidos para rastrear e revogar recursos