Управление конфиденциальностью данных, отслеживаемых с помощью панели мониторинга телеметрии Office
Область применения:Office 2019, Office 2016
Важно!
- Панель мониторинга телеметрии Office больше не поддерживается в приложениях Microsoft 365 для предприятий (начиная с версии 2208) и удаляется в версии 2301 (и более поздних).
- Дополнительные сведения см. в статье Удаление панели мониторинга телеметрии Office из приложений Microsoft 365 для предприятий.
Панель мониторинга телеметрии Office — это книга Excel, в ней отображаются данные о совместимости и инвентаризации файлов, надстроек и решений Office, используемых в организации. На панели мониторинга телеметрии Office отображаются имена файлов и названия документов в списке последних использованных пользователей, которые могут отображать личную или конфиденциальную информацию о пользователе или организации. Кроме того, отображаются названия надстроек и других решений, используемых Office. В этой статье объясняется, как параметры панели мониторинга телеметрии Office и агента телеметрии Office защищают конфиденциальность пользователей. Эти параметры скрывают имена и названия файлов или предотвращают отправку данных для выбранных приложений и решений.
Агент собирает данные инвентаризации, использования и работоспособности, а затем передает их в общую папку. Служба с именем Обработчик телеметрии Office обрабатывает эти данные и вставляет их в базу данных SQL. Панель мониторинга телеметрии Office подключается к этой базе данных, чтобы она могла отображать использование файлов, надстроек и решений Office.
Агент встроен в Office 2019 и Office 2016 и устанавливается отдельно на компьютерах под управлением более ранних версий Office. Независимо от того, является ли агент встроенным или развернут по отдельности, он не создает и не собирает данные, пока вы не включите ведение журнала. Используйте файлы административных шаблонов реестра или групповой политики (ADMX/ADML) для Office, как описано в разделе Развертывание панели мониторинга телеметрии Office. После начала ведения журнала данные хранятся на локальном компьютере в папке %LocalAppData%\Microsoft\Office\16.0\Telemetry и периодически передаются в общую папку.
Важно!
- Панель мониторинга телеметрии Office — это локальное средство, которое собирает данные об инвентаризации, использовании и работоспособности документов и решений Office, таких как надстройки, используемые в вашей организации. Данные в первую очередь предназначены для того, чтобы помочь вашей организации в тестировании совместимости приложений.
- Данные, собранные для панели мониторинга телеметрии Office, хранятся в базе данных SQL Server, контролируемой вашей организацией, и собранные данные не отправляются в корпорацию Майкрософт. Дополнительные сведения см. в разделе Данные, собираемые агентом для панели мониторинга телеметрии Office.
- Данные, собираемые для панели мониторинга телеметрии Office, отличаются от диагностических данных Office, которые можно отправлять в корпорацию Майкрософт. Дополнительные сведения о диагностических данных Office см. в статье Обзор элементов управления конфиденциальностью для приложений Microsoft 365.
- Параметры, используемые для управления панелью мониторинга телеметрии Office, не влияют на диагностические данные Office и наоборот. Дополнительные сведения об управлении диагностическими данными Office см. в статье Использование параметров политики для управления элементами управления конфиденциальностью для приложений Microsoft 365.
Настройка параметров конфиденциальности и производительности на панели мониторинга телеметрии Office
Существует несколько способов настройки уровня детализации, отображаемого для файлов, надстроек и решений Office на панели мониторинга телеметрии Office. Некоторые методы, такие как изменение порогового значения отчетов, предотвращают показ определенных сведений на панели мониторинга телеметрии Office. Другие методы не позволяют агенту передавать данные, чтобы они никогда не добавлялись в базу данных. Установка порогового значения и предотвращение отправки определенных данных также может помочь повысить производительность базы данных и пользовательских отчетов.
На следующем рисунке представлен краткий обзор трех методов, которые предоставляет панель мониторинга телеметрии Office для защиты конфиденциальности пользователей.
Три способа настройки параметров конфиденциальности на панели мониторинга телеметрии Office
Настройка порогового значения отчетов в базе данных для отображения только файлов, используемых несколькими пользователями
Панель мониторинга телеметрии Office отслеживает количество пользователей, использующих файл Office с тем же именем. Эти файлы обычно совместно используются и доступны нескольким пользователям, и они часто имеют большую ценность для бизнеса, чем файлы, используемые одним пользователем. В рамках планирования совместимости можно игнорировать события инвентаризации и совместимости для файлов, используемых одним пользователем, а вместо этого отслеживать файлы, используемые в отделе. Настройка панели мониторинга телеметрии Office для создания отчетов о файлах, которые используются, например, тремя или более пользователями, также помогает избежать отображения личных файлов, таких как резюме. Этот параметр уменьшает набор данных, возвращаемый в пользовательских отчетах на панели мониторинга телеметрии Office, помогая обойти ограничение памяти в 2 ГБ в 32-разрядной версии Excel.
Чтобы панель мониторинга телеметрии Office не отображала файлы с одним автором, выполните сценарий, который настраивает минимальное пороговое значение отчетов в базе данных. Используйте средство администрирования панели мониторинга телеметрии (Tdadm), чтобы отфильтровать файлы, отображаемые на двух или менее клиентах. Задайте для параметра Пороговое значение три или большее значение, если это необходимо, как показано в следующем примере.
tdadm.exe -o settings -databaseserver dbserver -databasename dbname -threshold 3
Дополнительные сведения о Tdadm см. на вики-странице Tdadm.
Скрытие или скрытие данных пользователей и файлов, отображаемых на панели мониторинга телеметрии Office
Пользователи в организации часто сохраняют файлы Office, используя имена, содержащие конфиденциальные сведения. Эти файлы могут иметь высокую ценность для бизнеса, что оправдывает их мониторинг проблем совместимости. Однако бизнес-группы, такие как юридические и кадровые ресурсы, могут возражать против мониторинга своих компьютеров, чтобы избежать раскрытия конфиденциальных имен файлов администраторам с помощью панели мониторинга телеметрии Office.
Чтобы разрешить администраторам определять владельцев файлов Office, которые столкнулись с проблемами совместимости, без отображения имен файлов и их расположения, можно включить обфускацию файлов, что позволяет скрыть имена файлов, заголовки и пути к файлам в Office. Этот параметр настраивается в агенте, который выполняет обфускацию, прежде чем отправлять данные в общую папку. Данные, хранящиеся на локальном компьютере, не скрываются.
В следующей таблице описаны различные способы сокрытия сведений о файлах.
Примеры обфускации имен файлов, путей к файлам и названий
Фактические сведения о файлах на отслеживаемом клиентском компьютере
| Пример | Имя файла | Путь к файлу | Title |
|---|---|---|---|
| #1 | Resume_Contoso.xlsx | C:\Пользователи\Юрий\Документы | Resume_Contoso.docx |
| #2 | Merger_Contoso.docx | \\FileShare\Operations\FY2018 | Merger_Contoso.docx |
| #3 | FY2018_Merger.xlsx | https://sharepoint/sites/HR/SharedDocuments | FY2018_Merger.xlsx |
| #4 | 10 рецептов от всех болезней.pptx | Outlook:C:\Пользователи\Юрий\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.Outlook\1234ABCD | 10 рецептов от всех болезней |
Данные, отправляемые в общую папку после включения маскировки файлов.
| Пример | Имя файла | Путь к файлу | Title |
|---|---|---|---|
| #1 | Re*.xlsx | C:\* | * |
| #2 | Я*.docx | \\FileShare\* | * |
| #3 | FY*.xlsx | https://sharepoint/* | * |
| #4 | 10*.pptx | Вид:* | * |
Включение обфускации файлов с использованием реестра
В следующем примере обфускация файлов включается в реестре на клиентском компьютере. Сохраните этот пример кода в файле REG, затем запустите его на отслеживаемых клиентских компьютерах.
Windows Registry Editor Version 5.00
[HKEY_CURRENT_USER\Software\Policies\Microsoft\Office\16.0\osm]
"EnableFileObfuscation"=dword:00000001
Дополнительные сведения об использовании REG-файлов см. в статье, содержащей инструкции по добавлению, изменению или удалению подразделов и значений реестра с помощью файла регистрации записей с расширением REG.
Чтобы включить обфускацию файлов с использованием параметров групповой политики
В следующей таблице приведены имя и путь к параметру групповой политики, который включает обфускацию файлов. Файлы административных шаблонов (ADMX/ADML) для Office можно скачать из Центра загрузки Майкрософт.
Параметр групповой политики, который включает маскировку файлов
| Имя параметра | Путь |
|---|---|
| Включить параметры конфиденциальности в агенте телеметрии Office |
Конфигурация пользователя\Политики\Административные шаблоны\Microsoft Office 2016\Панель мониторинга телеметрии |
Запрет передачи данных о определенных приложениях или решениях на панели мониторинга телеметрии Office
Для бизнес-групп с сотрудниками, которые обрабатывают коммерческие секреты или конфиденциальные данные, можно запретить сбор и передачу сведений о конкретных приложениях Office или типах решений Office в общую папку. Например, бизнес-группа может решить, что файлы Excel являются конфиденциальными и не подлежат мониторингу. Другая группа может сказать, что ее участников заботят только решения, связанные с Access, поэтому нет необходимости отслеживать другие приложения.
Чтобы настроить параметры исключения с помощью реестра
В следующей таблице описаны значения реестра, которые препятствуют отправке определенных приложений на панель мониторинга телеметрии Office.
Параметры реестра агента в разделе HKEY_CURRENT_USER\Software\Policies\Microsoft\Office\16.0\OSM\preventedapplications
| Имя значения | Тип значения | Описание значения и данные |
|---|---|---|
| accesssolution olksolution onenotesolution pptsolution projectsolution publishersolution visiosolution wdsolution xlsolution |
REG_DWORD |
Запрещает передачу данных для определенных приложений Office на панель мониторинга телеметрии Office. Агент не будет показывать какие-либо данные, связанные с указанным приложением. Сюда включаются файлы документов, которые используются приложением, и надстройки COM, загружаемые приложением. Имена значений соответствуют приложениям Office следующим образом. accesssolution: решения Access olksolution: решения Microsoft Outlook onenotesolution: решения OneNote pptsolution: решения PowerPoint projectsolution: решения Project publishersolution: решения Publisher visiosolution: решения Visio wdsolution: решения Word xlsolution: решения Excel Значение: 1 = ведение отчетов отключено 0 = ведение отчетов включено Значение по умолчанию = 0 (ведение отчетов включено) |
В следующей таблице описаны значения реестра, которые препятствуют отправке определенных типов решений на панель мониторинга телеметрии Office.
Параметры реестра агента в разделе HKEY_CURRENT_USER\Software\Policies\Microsoft\Office\16.0\OSM\preventedsolutiontypes
| Имя значения | Тип значения | Описание значения и данные |
|---|---|---|
| agave appaddins comaddins documentfiles templatefiles |
REG_DWORD |
Предотвращает передачу данных для определенных решений на панель мониторинга телеметрии Office. Имена значений соответствуют типам решений Office следующим образом: agave: приложения Приложения для Office appaddins: надстройки, предназначенные специально для приложений. Сюда входят надстройки Excel с расширениями XLA и XLAM, надстройки Word с расширением DOTM, а также надстройки PowerPoint с расширениями PPA и PPAM. comaddins: надстройки COM documentfiles: файлы документов Office templatefiles: файлы шаблонов Office Значение: 1 = ведение отчетов отключено 0 = ведение отчетов включено Значение по умолчанию = 0 (ведение отчетов включено) |
В следующем примере отключается отчетность по всем типам решений и приложений. Сохраните этот пример как файл REG, затем удалите любые приложения или решения, для которых следует включить отчетность. В противном случае все они будут отключены, так как для них задано значение 00000001.
Windows Registry Editor Version 5.00
[HKEY_CURRENT_USER\Software\Policies\microsoft\office\16.0\osm\preventedapplications]
"accesssolution"=dword:00000001
"olksolution"=dword:00000001
"onenotesolution"=dword:00000001
"pptsolution"=dword:00000001
"projectsolution"=dword:00000001
"publishersolution"=dword:00000001
"visiosolution"=dword:00000001
"wdsolution"=dword:00000001
"xlsolution"=dword:00000001
[HKEY_CURRENT_USER\Software\Policies\microsoft\office\16.0\osm\preventedsolutiontypes]
"agave"=dword:00000001
"appaddins"=dword:00000001
"comaddins"=dword:00000001
"documentfiles"=dword:00000001
"templatefiles"=dword:00000001
Дополнительные сведения об использовании REG-файлов см. в статье, содержащей инструкции по добавлению, изменению или удалению подразделов и значений реестра с помощью файла регистрации записей с расширением REG.
Настройка параметров исключения с помощью параметров групповой политики
В следующей таблице приводятся имя и путь к параметрам групповой политики, которые служат для отключения отчетов для выбранных приложений и решений Office. Файлы административных шаблонов (ADMX/ADML) для Office можно скачать из Центра загрузки Майкрософт.
Параметры политики исключения в разделе Конфигурация пользователя\Политики\Административные шаблоны\Microsoft Office 2016\Панель мониторинга телеметрии
| Параметр | Описание |
|---|---|
| Приложения Office, которые необходимо исключить из отчетов агента телеметрических данных Office |
Запрещает передачу данных для определенных приложений Office на панель мониторинга телеметрии Office. |
| Решения Office, которые необходимо исключить из отчетов агента телеметрических данных Office |
Запрещает передачу данных для определенных решений Office на панель мониторинга телеметрии Office. |
Отключение сбора данных для агента
Чтобы остановить сбор данных на локальном компьютере, обновите реестр или задайте параметры групповой политики следующим образом.
Остановка ведения журнала с помощью реестра
В следующем примере прекращается ведение журнала и отправка агентом. Сохраните пример в виде REG-файла и запустите его на клиентском компьютере.
Windows Registry Editor Version 5.00
[HKEY_CURRENT_USER\Software\Policies\Microsoft\Office\16.0\osm]
"Enablelogging"=dword:00000000
"EnableUpload"=dword:00000000
Дополнительные сведения об использовании REG-файлов см. в статье, содержащей инструкции по добавлению, изменению или удалению подразделов и значений реестра с помощью файла регистрации записей с расширением REG.
Остановка ведения журнала с помощью параметров групповой политики
Параметры политики, перечисленные в следующей таблице, доступны по пути Конфигурация пользователя\Политики\Административные шаблоны\Microsoft Office 2016\Панель мониторинга телеметрии. Задайте для этих параметров политики значение Отключен, чтобы отключить сбор и отправку данных для агента. Файлы административных шаблонов (ADMX/ADML) для Office можно скачать из Центра загрузки Майкрософт.
Параметры политики агента, которые отключают ведение журнала
| Параметр | Описание |
|---|---|
| Включить сбор данных телеметрии |
Задайте для этого параметра значение "Отключено", чтобы выключить сбор данных. |
| Включение передачи данных для агента телеметрии Office |
Задайте для этого параметра значение "Отключено", чтобы прекратить загрузку данных в общую папку. |
Удаление данных, хранящихся на клиентских компьютерах
Отключение ведения журнала не приводит к удалению данных, уже собранных с компьютера. Чтобы удалить эти данные на локальном клиентском компьютере, удалите файлы evt.tbl, sln.tbl, user.tbl, которые находятся в папке %LocalAppData%\Microsoft\Office\16.0\Telemetry.