Administratörsguide: Konfigurera och använda dokumentspårning för Rights Management Service-skydd med den äldre spårningsportalen

  • Artikel

Kommentar

Den äldre Azure Information Protection-dokumentspårningswebbplatsen stöds endast för den klassiska klienten och inte för den enhetliga etiketteringsklienten. Mer information finns i Borttagna och tillbakadragna tjänster.

Den senaste vägledningen finns i Spåra och återkalla dokumentåtkomst.

Om du har en prenumeration som stöder dokumentspårning är webbplatsen för dokumentspårning aktiverad som standard för alla användare i din organisation. Dokumentspårning innehåller information för användare och administratörer om när ett skyddat dokument användes och vid behov kan ett spårat dokument återkallas.

Använda PowerShell för att hantera webbplatsen för dokumentspårning

Följande avsnitt innehåller information om hur du kan hantera webbplatsen för dokumentspårning med hjälp av PowerShell. Installationsinstruktioner för PowerShell-modulen finns i Installera AIPService PowerShell-modulen.

Mer information om var och en av cmdletarna finns i de angivna länkarna.

Sekretesskontroller för webbplatsen för dokumentspårning

Om det är förbjudet att visa all dokumentspårningsinformation i din organisation på grund av sekretesskrav kan du inaktivera dokumentspårning med hjälp av cmdleten Disable-AipServiceDocumentTrackingFeature .

Den här cmdleten inaktiverar åtkomsten till webbplatsen för dokumentspårning så att alla användare i organisationen inte kan spåra eller återkalla åtkomst till dokument som de har skyddat. Du kan återaktivera dokumentspårning när som helst med hjälp av Enable-AipServiceDocumentTrackingFeature och du kan kontrollera om dokumentspårning för närvarande är aktiverat eller inaktiverat med hjälp av Get-AipServiceDocumentTrackingFeature.

När webbplatsen för dokumentspårning är aktiverad visas som standard information, till exempel e-postadresser till de personer som försökte komma åt de skyddade dokumenten, när dessa personer försökte komma åt dem och deras plats. Den här informationsnivån kan vara till hjälp för att avgöra hur de delade dokumenten används och om de ska återkallas om misstänkt aktivitet visas. Av sekretessskäl kan du dock behöva inaktivera den här användarinformationen för vissa eller alla användare.

Om du har användare som inte bör ha den här aktiviteten spårad av andra användare lägger du till dem i en grupp som lagras i Microsoft Entra-ID och anger den här gruppen med cmdleten Set-AipServiceDoNotTrackUserGroup . När du kör den här cmdleten måste du ange en enda grupp. Gruppen kan dock innehålla kapslade grupper.

För dessa gruppmedlemmar kan användarna inte se någon aktivitet på webbplatsen för dokumentspårning när aktiviteten är relaterad till dokument som de har delat med dem. Dessutom skickas inga e-postaviseringar till den användare som delade dokumentet.

När du använder den här konfigurationen kan alla användare fortfarande använda webbplatsen för dokumentspårning och återkalla åtkomsten till dokument som de har skyddat. De ser dock inte aktivitet för de användare som du har angett med hjälp av cmdleten Set-AipServiceDoNotTrackUserGroup.

Den här inställningen påverkar endast slutanvändare. Administratörer för Azure Information Protection kan alltid spåra aktiviteter för alla användare, även när dessa användare anges med hjälp av Set-AipServiceDoNotTrackUserGroup. Mer information om hur administratörer kan spåra dokument för användare finns i avsnittet Spåra och återkalla dokument för användare .

Loggningsinformation från webbplatsen för dokumentspårning

Du kan använda följande cmdletar för att ladda ned loggningsinformation från webbplatsen för dokumentspårning:

  • Get-AipServiceTrackingLog

    Den här cmdleten returnerar spårningsinformation om skyddade dokument för en angiven användare som skyddade dokument (Rights Management-utfärdaren) eller som har åtkomst till skyddade dokument. Använd den här cmdleten för att besvara frågan "Vilka skyddade dokument spårade eller fick åtkomst till en angiven användare?"

  • Get-AipServiceDocumentLog

    Den här cmdleten returnerar skyddsinformation om spårade dokument för en angiven användare om de användarskyddade dokumenten (Rights Management-utfärdaren) eller var Rights Management-ägare för dokument eller skyddade dokument har konfigurerats för att ge åtkomst direkt till användaren. Använd den här cmdleten för att besvara frågan "Hur skyddas dokument för en angiven användare?"

Mål-URL:er som används av webbplatsen för dokumentspårning

Följande URL:er används för dokumentspårning och måste tillåtas på alla enheter och tjänster mellan klienterna som kör Azure Information Protection-klienten och Internet. Du kan till exempel lägga till dessa URL:er i brandväggar eller till dina betrodda platser om du använder Internet Explorer med förbättrad säkerhet.

  • https://*.azurerms.com

  • https://*.microsoftonline.com

  • https://*.microsoftonline-p.com

  • https://ecn.dev.virtualearth.net

Dessa URL:er är standard för Azure Rights Management-tjänsten, med undantag för den virtualearth.net URL som används för Bing-kartor för att visa användarplatsen.

Spåra och återkalla dokument för användare

När användarna loggar in på webbplatsen för dokumentspårning kan de spåra och återkalla dokument som de har skyddat med hjälp av Azure Information Protection-klienten. När du loggar in som microsoft entra global administratör för din klientorganisation kan du klicka på administratörsikonen, som växlar till administratörsläge. Andra administratörsroller stöder inte det här läget för webbplatsen för dokumentspårning.

Admin icon in the document tracking site

Med administratörsläget kan du se de dokument som användare i din organisation har valt att spåra med hjälp av Azure Information Protection-klienten.

Kommentar

Om du inte ser den här ikonen, trots att du är global administratör, beror det på att du ännu inte har delat några dokument själv. I det här fallet använder du följande URL för att komma åt webbplatsen för dokumentspårning: https://portal.azurerms.com/#/admin

Åtgärder som du vidtar i administratörsläge granskas och loggas i användningsloggfilerna, och du måste bekräfta att du vill fortsätta. Mer information om den här loggningen finns i nästa avsnitt.

När du är i administratörsläge kan du sedan söka efter användare eller dokument. Om du söker efter användare ser du alla dokument som den angivna användaren har valt att spåra med hjälp av Azure Information Protection-klienten.

Om du söker efter dokument ser du alla användare i din organisation som spårade dokumentet med hjälp av Azure Information Protection-klienten. Du kan sedan öka detaljnivån i sökresultaten för att spåra de dokument som användarna har skyddat och återkalla dessa dokument om det behövs.

Om du vill lämna administratörsläget klickar du på X bredvid Avsluta administratörsläge:

Exit administrator mode in the document tracking site

Anvisningar om hur du använder webbplatsen för dokumentspårning finns i Spåra och återkalla dokument från användarhandboken.

Använda PowerShell för att registrera etiketterade dokument med webbplatsen för dokumentspårning

För att kunna spåra och återkalla ett dokument måste det först registreras på webbplatsen för dokumentspårning. Den här åtgärden inträffar när användare väljer alternativet Spåra och återkalla från Utforskaren eller deras Office-appen när de använder Azure Information Protection-klienten.

Om du etiketterar och skyddar filer för användare med hjälp av cmdleten Set-AIPFileLabel kan du använda parametern EnableTracking för att registrera filen på webbplatsen för dokumentspårning. Till exempel:

Set-AIPFileLabel -Path C:\Projects\ -LabelId ade72bf1-4714-4714-4714-a325f824c55a -EnableTracking

Användningsloggning för webbplatsen för dokumentspårning

Två fält i användningsloggfilerna gäller för dokumentspårning: AdminAction och ActingAsUser.

AdminAction – Det här fältet har värdet true när en administratör använder webbplatsen för dokumentspårning i administratörsläge, till exempel för att återkalla ett dokument för en användares räkning eller för att se när det delades. Det här fältet är tomt när en användare loggar in på webbplatsen för dokumentspårning.

ActingAsUser – När fältet AdminAction är sant innehåller det här fältet användarnamnet som administratören agerar på uppdrag av som söks efter användaren eller dokumentägaren. Det här fältet är tomt när en användare loggar in på webbplatsen för dokumentspårning.

Det finns också begärandetyper som loggar hur användare och administratörer använder webbplatsen för dokumentspårning. Till exempel är RevokeAccess begärandetypen när en användare eller administratör för en användares räkning har återkallat ett dokument på webbplatsen för dokumentspårning. Använd den här begärandetypen i kombination med fältet AdminAction för att avgöra om användaren har återkallat sitt eget dokument (fältet AdminAction är tomt) eller om en administratör har återkallat ett dokument för en användares räkning (AdminAction är sant).

Mer information om användningsloggning finns i Logga och analysera skyddsanvändningen från Azure Information Protection

Nästa steg

Nu när du har konfigurerat webbplatsen för dokumentspårning för Azure Information Protection-klienten kan du läsa följande för ytterligare information som du kan behöva för att stödja den här klienten: