руководство по Администратор istrator. Отслеживание и отзыв доступа к документам с помощью Azure Information Protection

Примечание.

Ищете информацию о Microsoft Purview Information Protection (прежнее название — Microsoft Information Protection, MIP)?

Надстройка Azure Information Protection для Office сейчас находится в режиме обслуживания и будет прекращена в апреле 2024 года. Вместо этого мы рекомендуем использовать метки, встроенные в приложения и службы Office 365, которые также поддерживают отслеживание и отзыв доступа к документам.

Отслеживание документов предоставляет сведения для администраторов с ролью Администратор istrator Azure Information Protection или ролью глобального Администратор istrator Azure Rights Management, о том, когда был доступ к защищенному документу. При необходимости администраторы и пользователи могут отозвать доступ к документам для отслеживаемых документов.

В версиях 2.9.111.0 или более поздней версии все защищенные документы Office, которые еще не зарегистрированы для отслеживания, автоматически регистрируются при следующем открытии с помощью клиента унифицированных меток AIP. Защищенные документы поддерживаются для отслеживания и отзыва, даже если они не помечены.

Регистрация документа для отслеживания позволяет администраторам отслеживать сведения о доступе, включая события успешного доступа и попытки отказа, а также отменять доступ при необходимости.

Примечание.

Функции отслеживания и отзыва поддерживаются только для типов файлов Office.

Защищенные документы поддерживаются для отслеживания и отзыва, даже если они не помечены.

Отслеживание доступа к документам

Администратор могут отслеживать доступ к защищенным документам с помощью PowerShellContentID, созданный для защищенного документа во время регистрации.

Чтобы просмотреть сведения о доступе к документам, выполните следующие действия.

Используйте следующие командлеты для поиска сведений о документе, который требуется отслеживать:

1. Найдите значение ContentID для документа, который требуется отслеживать.

   Используйте Get-AipServiceDocumentLog для поиска документа с помощью имени файла и (или) адреса электронной почты пользователя, применяющего защиту.

   Например;

   Get-AipServiceDocumentLog -ContentName "test.docx" -Owner “alice@contoso.com” -FromTime "12/01/2020 00:00:00" -ToTime "12/31/2020 23:59:59"
   

   Эта команда возвращает ContentID для всех соответствующих защищенных документов, зарегистрированных для отслеживания.

   Примечание.

   Защищенные документы регистрируются для отслеживания при первом открытии на компьютере с установленным клиентом унифицированных меток. Если эта команда не возвращает ContentID для защищенного файла, откройте его на компьютере с установленным клиентом унифицированных меток, чтобы зарегистрировать документ для отслеживания.

2. Используйте командлет Get-AipServiceTrackingLog с идентификатором ContentID документа, чтобы вернуть данные отслеживания.

   Например:

   Get-AipServiceTrackingLog -ContentId c03bf90c-6e40-4f3f-9ba0-2bcd77524b87
   

   Данные отслеживания возвращаются, включая сообщения электронной почты пользователей, которые пытались получить доступ, были ли предоставлены или запрещены, время и дата попытки, а также домен и расположение, в котором возникла попытка доступа.

Отзыв доступа к документам из PowerShell

Администратор могут отозвать доступ для любого защищенного документа, хранящегося в локальных общих папках содержимого, с помощью Командлет Set-AIPServiceDocumentRevoked.

1. Найдите значение ContentID для документа, для которого требуется отозвать доступ.

   Используйте Get-AipServiceDocumentLog для поиска документа с помощью имени файла и (или) адреса электронной почты пользователя, применяющего защиту.

   Например:

   Get-AipServiceDocumentLog -ContentName "test.docx" -Owner “alice@contoso.com” -FromTime "12/01/2020 00:00:00" -ToTime "12/31/2020 23:59:59"
   

   Возвращаемые данные включают значение ContentID для документа.

   Совет

   Только документы, защищенные и зарегистрированные для отслеживания, имеют значение ContentID .

   Если у документа нет ContentID, откройте его на компьютере с установленным клиентом унифицированных меток, чтобы зарегистрировать файл для отслеживания.

2. Используйте Set-AIPServiceDocumentRevoked с contentID документа, чтобы отозвать доступ.

   Рассмотрим пример.

   Set-AipServiceDocumentRevoked -ContentId 0e421e6d-ea17-4fdb-8f01-93a3e71333b8 -IssuerName testIssuer
   

Примечание.

Если доступ в автономном режиме разрешен, пользователи будут продолжать получать доступ к документам, которые были отозваны до истечения срока автономной политики.

Совет

Пользователи также могут отозвать доступ для любых документов, где они применили защиту непосредственно из меню конфиденциальности в своих Приложение Office. Дополнительные сведения см . в руководстве пользователя. Отзыв доступа к документам с помощью Azure Information Protection

Отмена доступа

Если вы случайно отозвали доступ к конкретному документу, используйте то же значение ContentID с командлетом Clear-AipServiceDocumentRevoked , чтобы отменить доступ.

Чтобы использовать командлет Clear-AipServiceDocumentRevoked , необходимо сначала загрузить AipService.dll.

Например:

Import-Module -Name "C:\Program Files\WindowsPowerShell\Modules\AIPService\1.0.0.4\AipService.dll"
Clear-AipServiceDocumentRevoked -ContentId   0e421e6d-ea17-4fdb-8f01-93a3e71333b8 -IssuerName testIssuer

Доступ к документам предоставляется пользователю, определенному в параметре IssuerName .

Отключение отслеживания и отмены функций для клиента

Если необходимо отключить функции отслеживания и отзыва для клиента, например требования к конфиденциальности в вашей организации или регионе, выполните оба следующих действия:

1. Выполните командлет Disable-AipServiceDocumentTrackingFeature.

2. Задайте для параметра расширенного клиента EnableTrackAndRevoke значение False.

Отслеживание документов и параметры отзыва доступа отключены для вашего клиента:

• Открытие защищенных документов с помощью клиента унифицированных меток AIP больше не регистрирует документы для отслеживания и отзыва.
• Журналы доступа не хранятся при открытии защищенных документов, которые уже зарегистрированы. Журналы доступа, которые были сохранены перед отключением этих функций, по-прежнему доступны.
• Администратор не смогут отслеживать или отменять доступ через PowerShell, а конечные пользователи больше не увидят Отмена параметра меню в своих Приложение Office.

Совет

Чтобы включить и отменить обратное отслеживание, задайте для enableTrackAndRevoke значение True, а также выполните командлет Enable-AipServiceDocumentTrackingFeature.

Отключение возможности отзыва доступа конечным пользователям

Если вы не хотите, чтобы конечные пользователи могли отозвать доступ к защищенным документам из своих Приложение Office, можно удалить параметр "Отозвать доступ" из Приложение Office.

Примечание.

Удаление параметра "Отозвать доступ" продолжает отслеживать защищенные документы в фоновом режиме и сохраняет возможность администратора отменять доступ к документам с помощью PowerShell.

Чтобы удалить параметр "Отменить доступ" из Приложение Office, задайте для расширенного параметра клиента EnableRevokeGuiSupport значение False.

Дополнительные сведения см . в руководстве пользователя. Отмена доступа к документам с помощью Azure Information Protection.

Дальнейшие действия

Дополнительные сведения см. в разделе:

• Руководство пользователя клиента унифицированных меток AIP
• Руководство администратора клиента унифицированных меток AIP
• Известные проблемы для отслеживания и отзыва функций