Acompanhar e revogar o acesso ao documento
O acompanhamento de documentos fornece informações para administradores sobre quando um documento protegido foi acessado. Se necessário, administradores e usuários podem revogar o acesso a documentos para documentos rastreados.
Um documento deve ser registrado para acompanhamento antes que um administrador possa acompanhar detalhes de acesso, incluindo eventos de acesso bem-sucedidos e tentativas negadas, e revogar o acesso, se necessário. Consulte a próxima seção para versões mínimas de aplicativos do Office para rotulagem interna que dão suporte ao registro de arquivo na próxima vez que eles forem abertos.
Observação
Há suporte para rastrear e revogar recursos somente para tipos de arquivo do Office.
Requisitos
Use a tabela de recursos e a linha Acompanhamento e revogação de documentos para identificar as versões mínimas de Word, Excel e PowerPoint que registram automaticamente documentos locais do Office protegidos por rótulos (se ainda não estiverem registrados) na próxima vez que forem abertos.
Os cmdlets do PowerShell neste artigo usam o módulo do PowerShell do AIPService, que você pode instalar a partir do Galeria do PowerShell. Você deve executar Connect-AipService para se conectar ao locatário antes de executar qualquer um dos cmdlets documentados.
Limitações
Documentos protegidos por senha não têm suporte por recursos de controle e revogação.
Se você anexar vários documentos a um email e, em seguida, proteger o email e enviá-lo, cada um dos anexos receberá o mesmo valor ContentID. Esse valor ContentID será retornado somente com o primeiro arquivo que foi aberto. A pesquisa dos outros anexos não retornará o valor contentID necessário para obter dados de rastreamento.
Além disso, revogar o acesso a um dos anexos também revoga o acesso para os outros anexos no mesmo email protegido.
Documentos protegidos que são carregados no SharePoint ou no OneDrive perdem o valor contentID e o acesso não pode ser rastreado ou revogado.
Se um usuário baixar o arquivo do SharePoint ou do OneDrive e acessá-lo do computador local, um novo ContentID será aplicado ao documento quando o abrir localmente.
O uso do valor contentID original para rastrear dados não incluirá nenhum acesso executado para o arquivo baixado pelo usuário. Além disso, a revogação do acesso com base no valor original do ContentID não revogará o acesso a nenhum dos arquivos baixados.
Se os administradores tiverem acesso aos arquivos baixados, eles poderão usar o PowerShell para identificar o ContentID de um documento para controlar e revogar ações.
Acompanhar o acesso ao documento
Os administradores podem acompanhar o acesso a documentos protegidos por meio do PowerShell usando o ContentID gerado para o documento protegido durante o registro.
Para exibir os detalhes do acesso ao documento:
Use os seguintes cmdlets para encontrar detalhes do documento que você deseja rastrear:
Localize o valor ContentID para o documento que você deseja rastrear.
Use o Get-AipServiceDocumentLog para pesquisar um documento usando o nome do arquivo ou o endereço de email do usuário que aplicou proteção.
Por exemplo;
Get-AipServiceDocumentLog -ContentName "test.docx" -Owner “alice@contoso.com” -FromTime "12/01/2020 00:00:00" -ToTime "12/31/2020 23:59:59"Esse comando retorna o ContentID para todos os documentos protegidos correspondentes registrados para acompanhamento.
Observação
Documentos protegidos são registrados para acompanhamento quando são abertos pela primeira vez em um aplicativo do Office que dá suporte ao registro de arquivo. Se esse comando não retornar o ContentID para seu arquivo protegido, abra-o em um aplicativo do Office que dá suporte ao registro de arquivo.
Use o cmdlet Get-AipServiceTrackingLog com o ContentID do documento para retornar seus dados de rastreamento.
Por exemplo:
Get-AipServiceTrackingLog -ContentId c03bf90c-6e40-4f3f-9ba0-2bcd77524b87Os dados de rastreamento são retornados, incluindo emails de usuários que tentaram acesso, se o acesso foi concedido ou negado, a hora e a data da tentativa e o domínio e o local onde a tentativa de acesso se originou.
Revogar o acesso ao documento do PowerShell
Os administradores podem revogar o acesso a qualquer documento protegido armazenado em seus compartilhamentos de conteúdo local, usando o cmdlet Set-AIPServiceDocumentRevoked .
Observação
Se o acesso offline for permitido, os usuários continuarão a poder acessar os documentos que foram revogados até que o período de política offline expire.
Localize o valor ContentID para o documento para o qual você deseja revogar o acesso.
Use o Get-AipServiceDocumentLog para pesquisar um documento usando o nome do arquivo ou o endereço de email do usuário que aplicou proteção.
Por exemplo:
Get-AipServiceDocumentLog -ContentName "test.docx" -Owner “alice@contoso.com” -FromTime "12/01/2020 00:00:00" -ToTime "12/31/2020 23:59:59"Os dados retornados incluem o valor ContentID do documento.
Dica
Somente os documentos que foram protegidos e registrados para acompanhamento têm um valor ContentID . Se o documento não tiver ContentID, abra-o em um aplicativo do Office que dê suporte ao registro de arquivo.
Use o Set-AIPServiceDocumentRevoked com o ContentID do documento para revogar o acesso.
Por exemplo:
Set-AipServiceDocumentRevoked -ContentId 0e421e6d-ea17-4fdb-8f01-93a3e71333b8 -IssuerName testIssuer
Usando o menu Confidencialidade em seus aplicativos do Office, os usuários também podem revogar o acesso a todos os documentos protegidos.
Restaurar o acesso
Se você acidentalmente revogou o acesso a um documento específico, use o mesmo valor ContentID com o cmdlet Clear-AipServiceDocumentRevoked para restaurar o acesso.
Por exemplo:
Clear-AipServiceDocumentRevoked -ContentId 0e421e6d-ea17-4fdb-8f01-93a3e71333b8 -IssuerName testIssuer
O acesso ao documento é concedido ao usuário que você definiu no parâmetro IssuerName .
Desativar a faixa e revogar recursos para seu locatário
Se você precisar desativar a faixa e revogar recursos para seu locatário, como para requisitos de privacidade em sua organização ou região, execute o cmdlet Disable-AipServiceDocumentTrackingFeature .
O acompanhamento de documentos e as opções para revogar o acesso estão desativados para seu locatário:
- Abrir documentos protegidos não registra mais os documentos para controle e revogação.
- Os logs de acesso não são armazenados quando documentos protegidos que já estão registrados são abertos. Os logs de acesso armazenados antes de desativar esses recursos ainda estão disponíveis.
- Os administradores não poderão controlar ou revogar o acesso por meio do PowerShell e, embora os usuários finais ainda vejam a opção Revogar menu em seus aplicativos do Office, o site exibe uma mensagem de que o controle e a revogação foram desabilitados pelo administrador.
Se você precisar ativar a faixa e revogar novamente, execute o cmdlet Enable-AipServiceDocumentTrackingFeature .
Comentários
Brevemente: Ao longo de 2024, vamos descontinuar progressivamente o GitHub Issues como mecanismo de feedback para conteúdos e substituí-lo por um novo sistema de feedback. Para obter mais informações, veja: https://aka.ms/ContentUserFeedback.
Submeter e ver comentários