Azure Information Protection’a yönelik kişisel verileri yönetme

Not

eski adıyla Microsoft Bilgi Koruması (MIP) Microsoft Purview Bilgi Koruması mi arıyorsunuz?

Azure Information Protection birleşik etiketleme istemcisi artık bakım modundadır. Office 365 uygulamalarınızda ve hizmetlerinizde yerleşik olarak bulunan etiketleri kullanmanızı öneririz. Daha fazla bilgi edinin

Azure Information Protection yapılandırıp kullandığınızda, e-posta adresleri ve IP adresleri Azure Information Protection hizmeti tarafından depolanır ve kullanılır. Bu kişisel veriler aşağıdaki öğelerde bulunabilir:

  • Koruma hizmeti için süper kullanıcılar ve yönetici temsilcileri

  • Koruma hizmeti için yönetim günlükleri

  • Koruma hizmeti için kullanım günlükleri

  • Azure Information Protection istemcileri ve RMS istemcisi için kullanım günlükleri

Not

Bu makale, cihazdan veya hizmetten kişisel verileri silme adımlarını sağlar ve GDPR kapsamındaki yükümlülüklerinizi desteklemek için kullanılabilir. GDPR hakkında genel bilgiler arıyorsanız, Hizmet Güveni portalının GDPR bölümüne bakın.

Azure Information Protection tarafından kullanılan kişisel verileri görüntüleme

  • Birleşik etiketleme istemcisi:

    Birleşik etiketleme istemcisi için duyarlılık etiketleri ve etiket ilkeleri Microsoft Purview uyumluluk portalı yapılandırılır. Daha fazla bilgi için Microsoft 365 belgelerine bakın.

Not

Belgeleri ve e-postaları sınıflandırmak ve korumak için Azure Information Protection kullanıldığında, e-posta adresleri ve kullanıcıların IP adresleri günlük dosyalarına kaydedilebilir.

Koruma hizmeti için süper kullanıcılar ve yönetici temsilcileri

Azure Information Protection'dan koruma hizmeti (Azure Rights Management) için hangi kullanıcılara süper kullanıcı rolü veya genel yönetici rolü atandığını görmek için Get-AipServiceSuperUser cmdlet'ini ve get-aipservicerolebasedadministrator cmdlet'ini çalıştırın. Bu rollerden birine atanmış kullanıcılar için e-posta adresleri görüntülenir.

Koruma hizmeti için yönetim günlükleri

Azure Information Protection'den koruma hizmeti (Azure Rights Management) için yönetici eylemlerinin günlüğünü almak için Get-AipServiceAdminLog cmdlet'ini çalıştırın. Bu günlük, e-posta adresleri ve IP adresleri biçiminde kişisel verileri içerir. Günlük düz metin biçimindedir ve indirildikten sonra belirli bir yöneticinin ayrıntıları çevrimdışı olarak aranabilir.

Örnek:

PS C:\Users> Get-AipServiceAdminLog -Path '.\Desktop\admin.log' -FromTime 4/1/2018 -ToTime 4/30/2018 -Verbose
The Rights Management administration log was successfully generated and can be found at .\Desktop\admin.log.

Koruma hizmeti için kullanım günlükleri

Azure Information Protection koruma hizmetini kullanan son kullanıcı eylemlerinin günlüğünü almak için Get-AipServiceUserLog cmdlet'ini çalıştırın. Günlük, kişisel verileri e-posta adresleri ve IP adresleri biçiminde içerebilir. Günlük düz metin biçimindedir ve indirildikten sonra belirli bir yöneticinin ayrıntıları çevrimdışı olarak aranabilir.

Örnek:

PS C:\Users> Get-AipServiceUserLog -Path '.\Desktop\' -FromDate 4/1/2018 -ToDate 4/30/2018 -NumberOfThreads 10
Acquiring access to your user log…
Downloading the log for 2018-04-01.
Downloading the log for 2018-04-03.
Downloading the log for 2018-04-06.
Downloading the log for 2018-04-09.
Downloading the log for 2018-04-10.
Downloaded the log for 2018-04-01. The log is available at .\Desktop\rmslog-2018-04-01.log.
Downloaded the log for 2018-04-03. The log is available at .\Desktop\rmslog-2018-04-03.log.
Downloaded the log for 2018-04-06. The log is available at .\Desktop\rmslog-2018-04-06.log.
Downloaded the log for 2018-04-09. The log is available at .\Desktop\rmslog-2018-04-09.log.
Downloaded the log for 2018-04-10. The log is available at .\Desktop\rmslog-2018-04-10.log.
Downloading the log for 2018-04-12.
Downloading the log for 2018-04-13.
Downloading the log for 2018-04-14.
Downloading the log for 2018-04-16.
Downloading the log for 2018-04-18.
Downloaded the log for 2018-04-12. The log is available at .\Desktop\rmslog-2018-04-12.log.
Downloaded the log for 2018-04-13. The log is available at .\Desktop\rmslog-2018-04-13.log.
Downloaded the log for 2018-04-14. The log is available at .\Desktop\rmslog-2018-04-14.log.
Downloaded the log for 2018-04-16. The log is available at .\Desktop\rmslog-2018-04-16.log.
Downloaded the log for 2018-04-18. The log is available at .\Desktop\rmslog-2018-04-18.log.
Downloading the log for 2018-04-24.
Downloaded the log for 2018-04-24. The log is available at .\Desktop\rmslog-2018-04-24.log.

Azure Information Protection istemcileri ve RMS istemcisi için kullanım günlükleri

Belgelere ve e-postalara etiketler ve koruma uygulandığında, e-posta adresleri ve IP adresleri kullanıcının bilgisayarındaki günlük dosyalarında aşağıdaki konumlarda depolanabilir:

  • Azure Information Protection birleşik etiketleme istemcisi için: %localappdata%\Microsoft\MSIP\Logs

  • RMS istemcisi için: %localappdata%\Microsoft\MSIPC\msip\Logs

Ayrıca, Azure Information Protection istemcisi bu kişisel verileri yerel Windows olay günlüğü Uygulamaları ve Hizmetleri Günlükleri Azure Information Protection günlüğe kaydeder>.

Azure Information Protection istemcisi tarayıcıyı çalıştırdığında, kişisel veriler tarayıcıyı çalıştıran Windows Server bilgisayarındaki %localappdata%\Microsoft\MSIP\Scanner\Reports dizinine kaydedilir.

Aşağıdaki yapılandırmaları kullanarak Azure Information Protection istemcisi ve tarayıcı için günlük bilgilerini kapatabilirsiniz:

  • Azure Information Protection istemcisi için: LogLevel'iKapalı olarak yapılandıran gelişmiş bir istemci ayarı oluşturun.

  • Azure Information Protection tarayıcısı için: Set-AIPScannerConfiguration cmdlet'ini kullanarak ReportLevel parametresini Kapalı olarak ayarlayın.

Not

Kişisel verileri görüntülemek veya silmek istiyorsanız lütfen Microsoft Purview Uyumluluk Yöneticisi'nde ve Microsoft 365 Kurumsal Uyumluluk sitesinin GDPR bölümünde Microsoft'un kılavuzunu gözden geçirin. GDPR hakkında genel bilgi arıyorsanız Hizmet Güveni portalının GDPR bölümüne bakın.

Belge izleme günlükleri

İlgili: Rights Management Hizmeti koruması yalnızca eski izleme portalıyla

Belge izleme sitesinden belirli bir kullanıcı hakkında bilgi almak için Get-AipServiceDocumentLog cmdlet'ini çalıştırın. Belge günlükleriyle ilişkili izleme bilgilerini almak için Get-AipServiceTrackingLog cmdlet'ini kullanın.

Örnek:

PS C:\Users> Get-AipServiceDocumentLog -UserEmail "admin@aip500.onmicrosoft.com"


ContentId             : 6326fcb2-c465-4c24-a7f6-1cace7a9cb6f
Issuer                : admin@aip500.onmicrosoft.com
Owner                 : admin@aip500.onmicrosoft.com
ContentName           :
CreatedTime           : 3/6/2018 10:24:00 PM
Recipients            : {
                        PrimaryEmail: johndoe@contoso.com
                        DisplayName: JOHNDOE@CONTOSO.COM
                        UserType: External,
                        PrimaryEmail: alice@contoso0110.onmicrosoft.com
                        DisplayName: ALICE@CONTOSO0110.ONMICROSOFT.COM
                        UserType: External
                        }
TemplateId            :
PolicyExpires         :
EULDuration           :
SendRegistrationEmail : True
NotificationInfo      : Enabled: False
                        DeniedOnly: False
                        Culture:
                        TimeZoneId:
                        TimeZoneOffset: 0
                        TimeZoneDaylightName:
                        TimeZoneStandardName:

RevocationInfo        : Revoked: False
                        RevokedTime:
                        RevokedBy:


PS C:\Users> Get-AipServiceTrackingLog -UserEmail "admin@aip500.onmicrosoft.com"

ContentId            : 6326fcb2-c465-4c24-a7f6-1cace7a9cb6f
Issuer               : admin@aip500.onmicrosoft.com
RequestTime          : 3/6/2018 10:45:57 PM
RequesterType        : External
RequesterEmail       : johndoe@contoso.com
RequesterDisplayName : johndoe@contoso.com
RequesterLocation    : IP: 167.220.1.54
                       Country: US
                       City: redmond
                       Position: 47.6812453974602,-122.120736471666

Rights               : {VIEW,OBJMODEL}
Successful           : False
IsHiddenInfo         : False

ObjectID tarafından arama yapılmaz. Ancak parametresi tarafından -UserEmail kısıtlanmazsınız ve sağladığınız e-posta adresinin kiracınızın bir parçası olması gerekmez. Sağlanan e-posta adresi belge izleme günlüklerinde herhangi bir yerde depolanıyorsa, belge izleme girdisi cmdlet çıkışında döndürülür.

Kişisel bilgilere erişimi güvenli hale getirme ve denetleme

Azure portal görüntüleyip belirttiğiniz kişisel verilere yalnızca Azure Active Directory'den aşağıdaki yönetici rollerinden birine atanmış kullanıcılar erişebilir:

  • Azure Information Protection yöneticisi

  • Uyumluluk yöneticisi

  • Uyumluluk veri yöneticisi

  • Güvenlik yöneticisi

  • Güvenlik okuyucusu

  • Genel yönetici

  • Genel okuyucu

AIPService modülünü (veya eski modül AADRM'yi) kullanarak görüntüleyip belirttiğiniz kişisel verilere yalnızca Azure Information Protection yöneticisi, Uyumluluk yöneticisi, Uyumluluk veri yöneticisi veya Azure Active Directory'den Genel Yönetici rolleri ya da koruma hizmeti için genel yönetici rolü atanmış kullanıcılar erişebilir.

Kişisel verileri güncelleştirme

Duyarlılık etiketleri ve etiket ilkeleri Microsoft Purview uyumluluk portalı yapılandırılır. Daha fazla bilgi için Microsoft 365 belgelerine bakın.

Koruma ayarları için, AIPService modülündeki PowerShell cmdlet'lerini kullanarak aynı bilgileri güncelleştirebilirsiniz.

Süper kullanıcılar ve yönetici temsilcileri için e-posta adreslerini güncelleştiremezsiniz. Bunun yerine, belirtilen kullanıcı hesabını kaldırın ve güncelleştirilmiş e-posta adresiyle kullanıcı hesabını ekleyin.

Koruma hizmeti için süper kullanıcılar ve yönetici temsilcileri

Süper kullanıcı için e-posta adresini güncelleştirmeniz gerektiğinde:

  1. Kullanıcı ve eski e-posta adresini kaldırmak için Remove-AipServiceSuperUser kullanın.

  2. Kullanıcı ve yeni e-posta adresini eklemek için Add-AipServiceSuperUser komutunu kullanın.

Yönetici temsilcisinin e-posta adresini güncelleştirmeniz gerektiğinde:

  1. Kullanıcı ve eski e-posta adresini kaldırmak için Remove-AipServiceRoleBasedAdministrator komutunu kullanın.

  2. Kullanıcıyı ve yeni e-posta adresini eklemek için Add-AipServiceRoleBasedAdministrator komutunu kullanın.

Kişisel verileri silme

Duyarlılık etiketleri ve etiket ilkeleri Microsoft Purview uyumluluk portalı yapılandırılır. Daha fazla bilgi için Microsoft 365 belgelerine bakın.

Koruma ayarları için, AIPService modülünden PowerShell cmdlet'lerini kullanarak aynı bilgileri silebilirsiniz.

Süper kullanıcıların ve yönetici temsilcilerinin e-posta adreslerini silmek için Remove-AipServiceSuperUser cmdlet'ini ve Remove-AipServiceRoleBasedAdministrator'ı kullanarak bu kullanıcıları kaldırın.

Koruma hizmetinin belge izleme günlüklerindeki, yönetim günlüklerindeki veya kullanım günlüklerindeki kişisel verileri silmek için aşağıdaki bölümü kullanarak Microsoft Desteği içeren bir istek oluşturun.

İstemci günlük dosyalarındaki kişisel verileri ve bilgisayarlarda depolanan tarayıcı günlüklerini silmek için, standart Windows araçlarını kullanarak dosyaların içindeki dosyaları veya kişisel verileri silin.

Microsoft Desteği ile kişisel verileri silmek için

Microsoft'un koruma hizmeti için belge izleme günlüklerindeki, yönetim günlüklerindeki veya kullanım günlüklerindeki kişisel verileri silmesini istemek için aşağıdaki üç adımı kullanın.

1. Adım: Silme isteği başlatmaKiracınızdan veri silme isteği içeren bir Azure Information Protection destek olayı açmak için kişi Microsoft Desteği. Azure Information Protection kiracınızın yöneticisi olduğunuzu kanıtlamanız ve bu işlemin onaylanmasının birkaç gün sürdüğünü anlamanız gerekir. İsteğinizi gönderirken, silinmesi gereken verilere bağlı olarak ek bilgiler sağlamanız gerekir.

  • Yönetim günlüğünü silmek için bitiş tarihini belirtin. Bu bitiş tarihine kadar tüm yönetici günlükleri silinir.
  • Kullanım günlüklerini silmek için bitiş tarihini belirtin. Bu bitiş tarihine kadar olan tüm kullanım günlükleri silinir.
  • Belge izleme günlüklerini silmek için bitiş tarihini ve UserEmail'i sağlayın. Bu bitiş tarihine kadar UserEmail ile ilgili tüm belge izleme bilgileri silinir. UserEmail için normal ifade (Perl biçimi) desteklenir.

Bu verileri silmek kalıcı bir eylemdir. Silme isteği işlendikten sonra verileri kurtarmanın bir anlamı yoktur. Yöneticilerin bir silme isteği göndermeden önce gerekli verileri dışarı aktarması önerilir.

2. Adım: Doğrulamayı bekleme Microsoft, bir veya daha fazla günlüğü silme isteğinizin geçerli olduğunu doğrular. Bu işlem beş iş gününe kadar sürebilir.

3. Adım: Silme işleminin onayını alma Microsoft Müşteri Destek Hizmetleri (CSS), verilerin silindiğini belirten bir onay e-postası gönderir.

Kişisel verileri dışarı aktarma

AIPService veya AADRM PowerShell cmdlet'lerini kullandığınızda, kişisel veriler arama ve dışarı aktarma için PowerShell nesnesi olarak kullanılabilir hale getirilir. PowerShell nesnesi JSON'a dönüştürülebilir ve cmdlet'i kullanılarak ConvertTo-Json kaydedilebilir.

Azure Information Protection, kişisel verilere dayalı profil oluşturma veya pazarlama için Microsoft'un gizlilik koşullarını izler.

Denetim ve raporlama

Kişisel verileri aramak ve dışarı aktarmak için yalnızca yönetici izinleri atanmış kullanıcılar AIPService veya ADDRM modülünü kullanabilir. Bu işlemler, indirilebilen yönetim günlüğüne kaydedilir.

Silme eylemleri için destek isteği, Microsoft tarafından gerçekleştirilen eylemler için denetim ve raporlama kaydı görevi görür. Silme işleminden sonra silinen veriler arama ve dışarı aktarma için kullanılamaz ve yönetici AIPService'ten cmdlet'leri alma modülünü kullanarak bunu doğrulayabilir.