Управление персональными данными в Azure Information Protection

Примечание

Ищете Information Protection Microsoft Purview, ранее Microsoft informācijas aizsardzība (MIP)?

Клиент унифицированных меток Azure Information Protection теперь находится в режиме обслуживания. Мы рекомендуем использовать метки, встроенные в приложения и службы Office 365. Mer informasjon

Когда вы настраиваете и используете Azure Information Protection, адреса электронной почты и IP-адреса хранятся в службе Azure Information Protection и используются ею. Эти персональные данные можно найти в следующих элементах:

  • Суперпользователей и делегированных администраторов для службы защиты

  • Журналы администрирования для службы защиты

  • Журналы использования для службы защиты

  • Журналы использования для клиентов Azure Information Protection и клиента RMS

Примечание

В этой статье описываются действия по удалению персональных данных с устройства или службы и их использование для поддержки обязательств в GDPR. Если вы ищете общие сведения о GDPR, ознакомьтесь с разделом о GDPR на портале Service Trust Portal.

Просмотр персональных данных, которые используются в Azure Information Protection

  • Клиент унифицированной маркировки.

    Для клиента унифицированных меток метки метки и политики меток настраиваются на портале соответствия Microsoft Purview. Дополнительные сведения см. в документации по Microsoft 365.

Примечание

Если Azure Information Protection используется для классификации и защиты документов и сообщений электронной почты, адреса электронной почты и IP-адреса пользователей могут сохраняться в файлах журнала.

Суперпользователей и делегированных администраторов для службы защиты

Запустите командлет Get-AipServiceSuperUser и командлет get-aipservicerolebasedadministrator, чтобы узнать, какие пользователи назначены роли суперпользователя или глобального администратора для службы защиты (Azure Rights Management) из Azure Information Protection. Для пользователей, которым назначена любая из этих ролей, отображаются адреса электронной почты.

Журналы администрирования для службы защиты

Запустите командлет Get-AipServiceAdminLog, чтобы получить журнал действий администратора для службы защиты (Azure Rights Management) из Azure Information Protection. Этот журнал содержит персональные данные в виде адресов электронной почты и IP-адресов. Журнал хранится в формате открытого текста, и в локальной скачанной копии журнала можно найти сведения о конкретном администраторе.

Пример:

PS C:\Users> Get-AipServiceAdminLog -Path '.\Desktop\admin.log' -FromTime 4/1/2018 -ToTime 4/30/2018 -Verbose
The Rights Management administration log was successfully generated and can be found at .\Desktop\admin.log.

Журналы использования для службы защиты

Запустите командлет Get-AipServiceUserLog, чтобы получить журнал действий конечных пользователей, использующих службу защиты из Azure Information Protection. Этот журнал может содержать персональные данные в виде адресов электронной почты и IP-адресов. Журнал хранится в формате открытого текста, и в локальной скачанной копии журнала можно найти сведения о конкретном администраторе.

Пример:

PS C:\Users> Get-AipServiceUserLog -Path '.\Desktop\' -FromDate 4/1/2018 -ToDate 4/30/2018 -NumberOfThreads 10
Acquiring access to your user log…
Downloading the log for 2018-04-01.
Downloading the log for 2018-04-03.
Downloading the log for 2018-04-06.
Downloading the log for 2018-04-09.
Downloading the log for 2018-04-10.
Downloaded the log for 2018-04-01. The log is available at .\Desktop\rmslog-2018-04-01.log.
Downloaded the log for 2018-04-03. The log is available at .\Desktop\rmslog-2018-04-03.log.
Downloaded the log for 2018-04-06. The log is available at .\Desktop\rmslog-2018-04-06.log.
Downloaded the log for 2018-04-09. The log is available at .\Desktop\rmslog-2018-04-09.log.
Downloaded the log for 2018-04-10. The log is available at .\Desktop\rmslog-2018-04-10.log.
Downloading the log for 2018-04-12.
Downloading the log for 2018-04-13.
Downloading the log for 2018-04-14.
Downloading the log for 2018-04-16.
Downloading the log for 2018-04-18.
Downloaded the log for 2018-04-12. The log is available at .\Desktop\rmslog-2018-04-12.log.
Downloaded the log for 2018-04-13. The log is available at .\Desktop\rmslog-2018-04-13.log.
Downloaded the log for 2018-04-14. The log is available at .\Desktop\rmslog-2018-04-14.log.
Downloaded the log for 2018-04-16. The log is available at .\Desktop\rmslog-2018-04-16.log.
Downloaded the log for 2018-04-18. The log is available at .\Desktop\rmslog-2018-04-18.log.
Downloading the log for 2018-04-24.
Downloaded the log for 2018-04-24. The log is available at .\Desktop\rmslog-2018-04-24.log.

Журналы использования для клиентов Azure Information Protection и клиента RMS

Если к документам и сообщениям электронной почты применяются метки и средства защиты, адреса электронной почты и IP-адреса могут размещаться в файлах журналов на компьютере пользователя в следующих расположениях:

  • Для клиента унифицированных меток Azure Information Protection: %localappdata%\Microsoft\MSIP\Logs

  • Для клиента RMS: %localappdata%\Microsoft\MSIPC\msip\Logs

Кроме того, клиент Azure Information Protection регистрирует эти персональные данные в локальные журналы событий Windows в приложениях и службах журналов>Azure Information Protection.

Когда клиент Azure Information Protection запускает сканер, персональные данные сохраняются в папке %localappdata%\Microsoft\MSIP\Scanner\Reports на компьютере Windows Server, на котором запущен сканер.

Вы можете отключить ведение журнала для клиента Azure Information Protection и средство проверки следующим образом.

Примечание

Если вы заинтересованы в просмотре или удалении персональных данных, ознакомьтесь с рекомендациями Корпорации Майкрософт в диспетчере соответствия требованиям Microsoft Purview и в разделе GDPR сайта Microsoft 365 корпоративный соответствия требованиям. Если вам требуются общие сведения о GDPR, см. раздел, посвященный GDPR, на портале Service Trust Portal.

журналы отслеживания документов;

Применимо к: защита службы Rights Management только с помощью портала отслеживания прежних версий

Запустите командлет Get-AipServiceDocumentLog , чтобы получить сведения с сайта отслеживания документов о конкретном пользователе. Чтобы получить сведения об отслеживании, связанные с журналами документов, используйте командлет Get-AipServiceTrackingLog .

Пример:

PS C:\Users> Get-AipServiceDocumentLog -UserEmail "admin@aip500.onmicrosoft.com"


ContentId             : 6326fcb2-c465-4c24-a7f6-1cace7a9cb6f
Issuer                : admin@aip500.onmicrosoft.com
Owner                 : admin@aip500.onmicrosoft.com
ContentName           :
CreatedTime           : 3/6/2018 10:24:00 PM
Recipients            : {
                        PrimaryEmail: johndoe@contoso.com
                        DisplayName: JOHNDOE@CONTOSO.COM
                        UserType: External,
                        PrimaryEmail: alice@contoso0110.onmicrosoft.com
                        DisplayName: ALICE@CONTOSO0110.ONMICROSOFT.COM
                        UserType: External
                        }
TemplateId            :
PolicyExpires         :
EULDuration           :
SendRegistrationEmail : True
NotificationInfo      : Enabled: False
                        DeniedOnly: False
                        Culture:
                        TimeZoneId:
                        TimeZoneOffset: 0
                        TimeZoneDaylightName:
                        TimeZoneStandardName:

RevocationInfo        : Revoked: False
                        RevokedTime:
                        RevokedBy:


PS C:\Users> Get-AipServiceTrackingLog -UserEmail "admin@aip500.onmicrosoft.com"

ContentId            : 6326fcb2-c465-4c24-a7f6-1cace7a9cb6f
Issuer               : admin@aip500.onmicrosoft.com
RequestTime          : 3/6/2018 10:45:57 PM
RequesterType        : External
RequesterEmail       : johndoe@contoso.com
RequesterDisplayName : johndoe@contoso.com
RequesterLocation    : IP: 167.220.1.54
                       Country: US
                       City: redmond
                       Position: 47.6812453974602,-122.120736471666

Rights               : {VIEW,OBJMODEL}
Successful           : False
IsHiddenInfo         : False

Поиск по ObjectID не поддерживается. Но вы не ограничены параметром -UserEmail, а предоставляемый адрес электронной почты не обязательно должен относиться к вашему клиенту. Если указанный адрес электронной почты обнаруживается в любой записи журналов отслеживания документов, командлет возвращает запись отслеживания для соответствующего документа.

Защита и контроль доступа к персональным данным

Персональные данные, которые вы можете просматривать и сохранять на портале Azure, доступны только для пользователей с одной из следующих ролей администратора в Azure Active Directory:

  • Администратор Information Protection Azure

  • администратор соответствия требованиям;

  • администратор соответствия данных требованиям;

  • администратор безопасности;

  • Читатель сведений о безопасности

  • Глобальный администратор

  • Глобальный читатель

Персональные данные, которые вы просматриваете и указываете с помощью модуля AIPService (или более старого модуля, AADRM), доступны только пользователям, которым назначен администратор Azure Information Protection, администратор соответствия требованиям, администратор данных соответствия или роли глобального администратора из Azure Active Directory или роль глобального администратора для службы защиты.

Обновление персональных данных

Метки конфиденциальности и политики меток настраиваются на портале соответствия Требованиям Microsoft Purview. Дополнительные сведения см. в документации по Microsoft 365.

Для параметров защиты можно обновить те же сведения с помощью командлетов PowerShell из модуля AIPService.

Адреса электронной почты для суперпользователей и полномочных администраторов изменить нельзя. Вместо этого нужно удалить соответствующую учетную запись и добавить новую учетную запись с новым адресом электронной почты.

Суперпользователей и делегированных администраторов для службы защиты

Если вам потребуется обновить адрес электронной почты для суперпользователя, выполните следующие действия:

  1. Удалите пользователя и старый адрес электронной почты с помощью Remove-AipServiceSuperUser .

  2. Используйте Add-AipServiceSuperUser , чтобы добавить пользователя и новый адрес электронной почты.

Если вам потребуется обновить адрес электронной почты для полномочного администратора, выполните следующие действия:

  1. Удалите пользователя и старый адрес электронной почты с помощью Remove-AipServiceRoleBasedAdministrator .

  2. Используйте Add-AipServiceRoleBasedAdministrator , чтобы добавить пользователя и новый адрес электронной почты.

Удаление персональных данных

Метки конфиденциальности и политики меток настраиваются на портале соответствия Требованиям Microsoft Purview. Дополнительные сведения см. в документации по Microsoft 365.

Для параметров защиты можно удалить те же сведения с помощью командлетов PowerShell из модуля AIPService.

Чтобы удалить адреса электронной почты для суперпользователей и делегированных администраторов, удалите их с помощью командлета Remove-AipServiceSuperUser и Remove-AipServiceRoleBasedAdministrator.

Чтобы удалить персональные данные в журналах отслеживания документов, журналах администрирования или журналах использования службы защиты, используйте следующий раздел, чтобы вызвать запрос с pomoc techniczna firmy Microsoft.

Чтобы удалить персональные данные в файлах журнала клиента и журналах сканера, хранящихся на компьютерах, используйте все стандартные средства Windows для удаления файлов или персональных данных в файлах.

Удаление персональных данных через службу поддержки Майкрософт

Выполните следующие три действия, чтобы запросить удаление персональных данных в журналах отслеживания документов, журналах администрирования или журналах использования для службы защиты.

Шаг 1. Создание запроса на удаление.Обратитесь в службу поддержки Майкрософт, чтобы создать обращение в службу поддержки Azure Information Protection с запросом на удаление данных из вашего клиента. Необходимо представить доказательства того, что вы являетесь администратором клиента Azure Information Protection. Учитывайте, что этот процесс может занять несколько дней. При отправке запроса следует предоставить дополнительные сведения. Они зависят от типа данных, которые необходимо удалить.

  • Чтобы удалить журнал администрирования, укажите дату окончания. Все журналы администрирования вплоть до этой даты будут удалены.
  • Чтобы удалить журналы использования, укажите дату окончания. Все журналы использования вплоть до этой даты будут удалены.
  • Чтобы удалить журналы отслеживания документов, укажите дату окончания и UserEmail. Все сведения об отслеживании документов, относящиеся к UserEmail до этой даты окончания, будут удалены. Поддерживается регулярное выражение (формат Perl) для UserEmail.

Удаление данных является необратимым. Нет никакой возможности восстановить данные после того, как завершится обработка запроса на удаление. Рекомендуем администраторам экспортировать все важные данные перед отправкой запроса на удаление.

Шаг 2. Ожидание подтверждения. Корпорация Майкрософт проверит ваши полномочия на удаление одного или нескольких журналов. Этот процесс может занять до пяти рабочих дней.

Шаг 3. Получение подтверждения удаления. Служба поддержки клиентов Майкрософт (CSS) отправит вам сообщение с подтверждением того, что данные были удалены.

Экспорт персональных данных

При использовании командлетов AIPService или AADRM PowerShell персональные данные предоставляются для поиска и экспорта в виде объекта PowerShell. Этот объект PowerShell можно преобразовать в формат JSON и сохранить с помощью командлета ConvertTo-Json.

Azure Information Protection соблюдает условия конфиденциальности корпорации Майкрософт в отношении профилирования и маркетинговых действий на основе персональных данных.

Аудит и создание отчетов

Только пользователи, которым назначены разрешения администратора , могут использовать модуль AIPService или ADDRM для поиска и экспорта персональных данных. Эти операции записываются в журнал администрирования, который можно скачать.

Для операций удаления запрос в службу поддержки служит средством контроля действий, выполняемых корпорацией Майкрософт. После удаления удаленные данные будут недоступны для поиска и экспорта, и администратор может проверить это с помощью командлетов Get из модуля AIPService.