Руководство администратора. Отслеживание и отзыв доступа к документам с помощью Azure Information Protection

Примечание

Вы ищете Microsoft Purview Information Protection, ранее Microsoft informācijas aizsardzība (MIP)?

Клиент унифицированных меток Azure Information Protection теперь находится в режиме обслуживания. Мы рекомендуем использовать метки, встроенные в приложения и службы Office 365. Mer informasjon

Отслеживание документов предоставляет сведения для администраторов с ролью глобального администратора Azure Information Protection или глобального администратора Azure Rights Management о том, когда был доступ к защищенному документу. При необходимости администраторы и пользователи могут отозвать доступ к документам для отслеживаемых документов.

В версиях 2.9.111.0 или более поздней версии все защищенные документы Office, которые еще не зарегистрированы для отслеживания, автоматически регистрируются при следующем открытии с помощью клиента унифицированных меток AIP. Защищенные документы поддерживаются для отслеживания и отзыва, даже если они не помечены.

Регистрация документа для отслеживания позволяет администраторам отслеживать сведения о доступе, включая успешные события доступа и попытки отказа, а также отменять доступ при необходимости.

Примечание

Функции отслеживания и отзыва поддерживаются только для типов файлов Office.

Защищенные документы поддерживаются для отслеживания и отзыва, даже если они не помечены.

Отслеживание доступа к документу

Администраторы могут отслеживать доступ к защищенным документам с помощью PowerShell с помощью ContentID , созданного для защищенного документа во время регистрации.

Чтобы просмотреть сведения о доступе к документу, выполните следующие действия.

Используйте следующие командлеты, чтобы найти сведения о документе, который требуется отслеживать:

  1. Найдите значение ContentID для документа, который требуется отслеживать.

    Используйте Get-AipServiceDocumentLog для поиска документа с использованием имени файла и (или) адреса электронной почты пользователя, который применил защиту.

    Например:

    Get-AipServiceDocumentLog -ContentName "test.docx" -Owner “alice@contoso.com” -FromTime "12/01/2020 00:00:00" -ToTime "12/31/2020 23:59:59"
    

    Эта команда возвращает ContentID для всех соответствующих защищенных документов, зарегистрированных для отслеживания.

    Примечание

    Защищенные документы регистрируются для отслеживания при первом открытии на компьютере с установленным клиентом унифицированных меток. Если эта команда не возвращает ContentID для защищенного файла, откройте его на компьютере с установленным клиентом унифицированных меток, чтобы зарегистрировать документ для отслеживания.

  2. Используйте командлет Get-AipServiceTrackingLog с идентификатором ContentID документа, чтобы вернуть данные отслеживания.

    Пример:

    Get-AipServiceTrackingLog -ContentId c03bf90c-6e40-4f3f-9ba0-2bcd77524b87
    

    Данные отслеживания возвращаются, включая сообщения электронной почты пользователей, которые пытались получить доступ, были ли предоставлены или запрещены, время и дата попытки, а также домен и расположение, где возникла попытка доступа.

Отзыв доступа к документам из PowerShell

Администраторы могут отозвать доступ для любого защищенного документа, хранящегося в локальных общих папках содержимого, с помощью командлета Set-AIPServiceDocumentRevoked .

  1. Найдите значение ContentID для документа, для которого требуется отозвать доступ.

    Используйте Get-AipServiceDocumentLog для поиска документа с использованием имени файла и (или) адреса электронной почты пользователя, который применил защиту.

    Пример:

    Get-AipServiceDocumentLog -ContentName "test.docx" -Owner “alice@contoso.com” -FromTime "12/01/2020 00:00:00" -ToTime "12/31/2020 23:59:59"
    

    Возвращаемые данные включают значение ContentID для документа.

    Совет

    Только документы, защищенные и зарегистрированные для отслеживания, имеют значение ContentID .

    Если у документа нет ContentID, откройте его на компьютере с установленным клиентом унифицированных меток, чтобы зарегистрировать файл для отслеживания.

  2. Чтобы отозвать доступ, используйте Set-AIPServiceDocumentRevoked с идентификатором ContentID документа.

    Пример:

    Set-AipServiceDocumentRevoked -ContentId 0e421e6d-ea17-4fdb-8f01-93a3e71333b8 -IssuerName testIssuer
    

Примечание

Если автономный доступ разрешен, пользователи будут по-прежнему иметь доступ к документам, которые были отозваны до истечения срока автономной политики.

Совет

Пользователи также могут отозвать доступ к любым документам, в которых они применили защиту непосредственно из меню конфиденциальности в своих приложениях Office. Дополнительные сведения см. в руководстве пользователя: отзыв доступа к документам с помощью Azure Information Protection

Отмена доступа

Если вы случайно отменили доступ к определенному документу, используйте то же значение ContentID с командлетом Clear-AipServiceDocumentRevoked , чтобы отменить доступ.

Чтобы использовать командлет Clear-AipServiceDocumentRevoked , необходимо сначала загрузить AipService.dll.

Пример:

Import-Module -Name "C:\Program Files\WindowsPowerShell\Modules\AIPService\1.0.0.4\AipService.dll"
Clear-AipServiceDocumentRevoked -ContentId   0e421e6d-ea17-4fdb-8f01-93a3e71333b8 -IssuerName testIssuer

Доступ к документу предоставляется пользователю, определенному в параметре IssuerName .

Отключение отслеживания и отмены функций для клиента

Если вам нужно отключить функции отслеживания и отзыва для вашего клиента, например требования к конфиденциальности в организации или регионе, выполните оба следующих действия:

  1. Запустите командлет Disable-AipServiceDocumentTrackingFeature .

  2. Задайте для расширенного параметра клиента EnableTrackAndRevokeзначение False.

Отслеживание документов и параметры отмены доступа отключены для вашего клиента:

  • Открытие защищенных документов с помощью клиента унифицированных меток AIP больше не регистрирует документы для отслеживания и отзыва.
  • Журналы доступа не хранятся при открытии защищенных документов, которые уже зарегистрированы. Журналы доступа, которые были сохранены до отключения этих функций, по-прежнему доступны.
  • Администраторы не смогут отслеживать или отзывать доступ с помощью PowerShell, и конечные пользователи больше не увидят пункт меню "Отмена " в своих приложениях Office.

Совет

Чтобы снова включить отслеживание и отзыв, задайте для свойства EnableTrackAndRevokeзначение True, а также выполните командлет Enable-AipServiceDocumentTrackingFeature .

Отключение возможности для конечных пользователей отменять доступ

Если вы не хотите, чтобы пользователи могли отменять доступ к защищенным документам из своих приложений Office, вы можете удалить параметр "Отозвать доступ " из приложений Office.

Примечание

Удаление параметра "Отмена доступа" продолжает отслеживать защищенные документы в фоновом режиме и сохраняет возможность администратора отменять доступ к документам с помощью PowerShell.

Чтобы удалить параметр "Отозвать доступ " из приложений Office, задайте для расширенного параметра клиента EnableRevokeGuiSupportзначение False.

Дополнительные сведения см. в руководстве пользователя: отзыв доступа к документам с помощью Azure Information Protection.

Дальнейшие действия

Дополнительные сведения см. в разделе: