руководство по Администратор. Настройка и использование отслеживания документов для защиты службы Rights Management с помощью портала отслеживания прежних версий

  • Статья

Примечание.

Устаревший сайт отслеживания документов Azure Information Protection поддерживается только для классического клиента, а не для клиента унифицированных меток. Дополнительные сведения см. в статье Удаленные и снятые с учета службы.

Последние инструкции см. в разделе "Отслеживание и отзыв доступа к документам".

При наличии подписки, которая поддерживает отслеживание документов, сайт отслеживания документов включен по умолчанию для всех пользователей в организации. Функция "Отслеживание документов" предоставляет пользователям и администраторам сведения о времени доступа к защищенному документу. При необходимости отслеживание документа можно отключить.

Использование PowerShell для управления сайтом отслеживания документов

В следующих разделах содержатся сведения о том, как управлять сайтом отслеживания документов с помощью PowerShell. Инструкции по установке модуля PowerShell см. в разделе "Установка модуля AIPService PowerShell".

Дополнительные сведения о каждом из командлетов используйте указанные ссылки.

Элементы управления конфиденциальностью на сайте отслеживания документов

Если отображение всех сведений об отслеживании документов запрещено в организации из-за требований конфиденциальности, вы можете отключить отслеживание документов с помощью командлета Disable-AipServiceDocumentTrackingFeature .

Этот командлет отключает доступ к сайту отслеживания документов, за счет чего все пользователи в организации не могут отслеживать защищенные документы или блокировать доступ к ним. Отслеживание документов можно повторно включить в любое время с помощью enable-AipServiceDocumentTrackingFeature, и вы можете проверка, включена ли отслеживание документов в настоящее время или отключена с помощью Get-AipServiceDocumentTrackingFeature.

Если сайт отслеживания документов включен, по умолчанию он предоставляет следующие сведения: адреса электронной почты пользователей, которые пытались получить доступ к защищенным документам, время этих попыток и их расположение. Сведения такого уровня могут помочь определить, как используются общие документы и следует ли отзывать их при обнаружении подозрительных действий. В целях конфиденциальности, возможно, нужно будет отключить предоставление этих сведений некоторым или всем пользователям.

Если у вас есть пользователи, которые не должны отслеживать это действие другими пользователями, добавьте их в группу, хранящуюся в идентификаторе Microsoft Entra ID, и укажите эту группу с помощью командлета Set-AipServiceDoNotTrackUserGroup . При выполнении этого командлета необходимо указать одну группу. Тем не менее группа может содержать вложенные группы.

Другие пользователи не смогут видеть какие-либо действия на сайте отслеживания документов, если эти действия связаны с документами, которые они совместно используют с членами этой группы. Кроме того, пользователю, который предоставил общий доступ к документу, не отправляются уведомления по электронной почте.

При использовании этой конфигурации все пользователи по-прежнему могут использовать сайт отслеживания документов и отзывать доступ к защищенным документам. Однако они не видят действия для пользователей, указанных с помощью командлета Set-AipServiceDoNotTrackUserGroup.

Этот параметр влияет только на пользователей. Администратор istrator для Azure Information Protection всегда может отслеживать действия всех пользователей, даже если эти пользователи указаны с помощью Set-AipServiceDoNotTrackUserGroup. Дополнительные сведения о том, как администраторы могут отслеживать документы для пользователей, см. в разделе Отслеживание и отзыв документов для пользователей.

Ведение журнала с сайта отслеживания документов

Для скачивания сведений о журнале с сайта отслеживания документов можно использовать следующие командлеты:

  • Get-AipServiceTrackingLog

    Этот командлет возвращает сведения об отслеживании защищенных документов для указанного пользователя, который защищал документы (издатель Rights Management) или доступ к защищенным документам. Используйте этот командлет, чтобы ответить на вопрос "Какие защищенные документы отслеживали или обращаются к указанному пользователю?"

  • Get-AipServiceDocumentLog

    Этот командлет возвращает сведения о защите отслеживаемых документов для указанного пользователя, если этот пользователь защищен документами (издателем Rights Management) или владельцем Rights Management для документов или защищенными документами были настроены для предоставления доступа непосредственно пользователю. Используйте этот командлет, чтобы ответить на вопрос "Как защищены документы для указанного пользователя?"

URL-адреса назначения для сайта отслеживания документов

Следующие URL-адреса используются для отслеживания документов и должны быть разрешены на всех устройствах и службах между клиентами, выполняющими клиент Azure Information Protection и Интернет. Например, добавьте эти URL-адреса в брандмауэры или на доверенные сайты (если вы используете Internet Explorer с усиленной безопасностью).

  • https://*.azurerms.com

  • https://*.microsoftonline.com

  • https://*.microsoftonline-p.com

  • https://ecn.dev.virtualearth.net

Эти URL-адреса по умолчанию используются в службе Azure Rights Management. Единственное исключение — URL-адрес virtualearth.net, который используется в картах Bing для отображения расположения пользователя.

Отслеживание и отзыв документов для пользователей

При входе на сайт отслеживания документов пользователи могут отслеживать и отзывать документы, защищенные с помощью клиента Azure Information Protection. При входе в качестве microsoft Entra Global Администратор istrator для клиента можно щелкнуть значок Администратор, который переключается на режим Администратор istrator. Другие роли администратора не поддерживают этот режим для сайта отслеживания документов.

Admin icon in the document tracking site

Режим Администратор istrator позволяет просматривать документы, которые пользователи в организации выбрали для отслеживания с помощью клиента Azure Information Protection.

Примечание.

Если этот значок не отображается, несмотря на то, что глобальный администратор, это связано с тем, что вы еще не предоставили общий доступ к документам самостоятельно. В этом случае используйте следующий URL-адрес для доступа к сайту отслеживания документов: https://portal.azurerms.com/#/admin

Действия, выполняемые в режиме администратора, подлежат аудиту и фиксации в журналах использования. Для выполнения этих действий необходимо подтверждение. Дополнительные сведения о ведении журналов см. в разделе ниже.

При работе в режиме администратора можно осуществлять поиск по пользователю или документу. При поиске по пользователю вы увидите все документы, которые указанный пользователь выбрал для отслеживания с помощью клиента Azure Information Protection.

При поиске по документу вы увидите всех пользователей в организации, которые отслеживали этот документ с помощью клиента Azure Information Protection. Затем с помощью результатов поиска вы можете отследить защищенные документы и при необходимости отозвать их.

Чтобы выйти из режима администратора, щелкните значок X рядом с разделом Выход из режима администратора.

Exit administrator mode in the document tracking site

Инструкции по использованию сайта отслеживания документов см. в руководстве пользователя Отслеживание и отзыв документов при использовании Azure Information Protection.

Использование PowerShell для регистрации помеченных документов на сайте отслеживания документов

Чтобы отслеживать и отзывать документ, сначала его необходимо зарегистрировать на сайте отслеживания документов. Это действие возникает, когда пользователи выбирают параметр "Отслеживание и отзыв" из проводник или их Приложение Office при использовании клиента Azure Information Protection.

Если вы наметите и защищаете файлы для пользователей с помощью командлета Set-AIPFileLabel , можно использовать параметр EnableTracking для регистрации файла на сайте отслеживания документов. Например:

Set-AIPFileLabel -Path C:\Projects\ -LabelId ade72bf1-4714-4714-4714-a325f824c55a -EnableTracking

Ведение журнала использования сайта отслеживания документов

Для отслеживания документов применяются два поля в файлах журналов использования: AdminAction и ActingAsUser.

AdminAction. Это поле имеет значение true, если администратор использует сайт отслеживания документов в режиме администратора, например, чтобы отозвать документ от имени пользователя или чтобы узнать, когда документ был отправлен другому пользователю. При входе на сайт отслеживания документов это поле будет пустым.

ActingAsUser. Если поле AdminAction имеет значение true, то это поле содержит имя пользователя, от имени которого администратор выполняет действия (искомый пользователь или владелец документа). При входе на сайт отслеживания документов это поле будет пустым.

Существуют также типы запросов, которые отслеживают, как пользователи и администраторы используют сайт отслеживания документов. Например, RevokeAccess — это тип запроса, при котором пользователь или администратор от имени пользователя отозвал документ на сайте отслеживания документов. Используйте этот тип запроса в сочетании с полем AdminAction, чтобы определить, кто отозвал документ: пользователь (в этом случае поле AdminAction пусто) или же администратор от имени пользователя (в этом случае поле AdminAction имеет значение true).

Дополнительные сведения об ведении журнала использования см. в разделе "Ведение журнала" и анализ использования защиты от Azure Information Protection

Следующие шаги

Теперь, когда вы настроили сайт отслеживания документов для клиента Azure Information Protection, ознакомьтесь с дополнительными сведениями, которые могут потребоваться для поддержки этого клиента: