Azure Information Protection için kişisel verileri yönetme

Not

Eski adı Microsoft Information Protection (MIP) olan Microsoft Purview Bilgi Koruması mi arıyorsunuz?

Azure Information Protection eklentisi kullanımdan kaldırılır ve microsoft 365 uygulama ve hizmetlerinizde yerleşik olarak bulunan etiketlerle değiştirilir. Diğer Azure Information Protection bileşenlerinin destek durumu hakkında daha fazla bilgi edinin.

Yeni Microsoft Purview Bilgi Koruması istemcisi (eklenti olmadan) şu anda önizleme aşamasındadır ve genel kullanılabilirlik için zamanlanmıştır.

Azure Information Protection'ı yapılandırıp kullandığınızda, e-posta adresleri ve IP adresleri Azure Information Protection hizmeti tarafından depolanır ve kullanılır. Bu kişisel veriler aşağıdaki öğelerde bulunabilir:

• Koruma hizmeti için süper kullanıcılar ve yönetici temsilcileri

• Koruma hizmeti için Yönetici günlükleri

• Koruma hizmeti için kullanım günlükleri

• Azure Information Protection istemcileri ve RMS istemcisi için kullanım günlükleri

Not

Bu makale, cihazdan veya hizmetten kişisel verileri silme adımlarını sağlar ve GDPR kapsamındaki yükümlülüklerinizi desteklemek için kullanılabilir. GDPR hakkında genel bilgiler arıyorsanız, Hizmet Güveni portalının GDPR bölümüne bakın.

Azure Information Protection'ın kullandığı kişisel verileri görüntüleme

• Birleşik etiketleme istemcisi:

  Birleşik etiketleme istemcisi için duyarlılık etiketleri ve etiket ilkeleri Microsoft Purview uyumluluk portalı yapılandırılır. Daha fazla bilgi için Microsoft 365 belgelerine bakın.

Not

Belgeleri ve e-postaları sınıflandırmak ve korumak için Azure Information Protection kullanıldığında, e-posta adresleri ve kullanıcıların IP adresleri günlük dosyalarına kaydedilebilir.

Koruma hizmeti için süper kullanıcılar ve yönetici temsilcileri

Azure Information Protection'dan koruma hizmeti (Azure Rights Management) için hangi kullanıcılara süper kullanıcı rolü veya genel yönetici rolü atandığını görmek için Get-AipServiceSuperUser cmdlet'ini ve get-aipservicerolebasedadministrator cmdlet'ini çalıştırın. Bu rollerden birine atanmış kullanıcılar için e-posta adresleri görüntülenir.

Koruma hizmeti için Yönetici günlükleri

Azure Information Protection'dan koruma hizmeti (Azure Rights Management) için yönetici eylemlerinin günlüğünü almak için Get-AipService Yönetici Log cmdlet'ini çalıştırın. Bu günlük, e-posta adresleri ve IP adresleri biçiminde kişisel verileri içerir. Günlük düz metin biçimindedir ve indirildikten sonra belirli bir yöneticinin ayrıntıları çevrimdışı olarak aranabilir.

Örneğin:

PS C:\Users> Get-AipServiceAdminLog -Path '.\Desktop\admin.log' -FromTime 4/1/2018 -ToTime 4/30/2018 -Verbose
The Rights Management administration log was successfully generated and can be found at .\Desktop\admin.log.

Koruma hizmeti için kullanım günlükleri

Azure Information Protection'dan koruma hizmetini kullanan son kullanıcı eylemlerinin günlüğünü almak için Get-AipServiceUserLog cmdlet'ini çalıştırın. Günlük, kişisel verileri e-posta adresleri ve IP adresleri biçiminde içerebilir. Günlük düz metin biçimindedir ve indirildikten sonra belirli bir yöneticinin ayrıntıları çevrimdışı olarak aranabilir.

Örneğin:

PS C:\Users> Get-AipServiceUserLog -Path '.\Desktop\' -FromDate 4/1/2018 -ToDate 4/30/2018 -NumberOfThreads 10
Acquiring access to your user log…
Downloading the log for 2018-04-01.
Downloading the log for 2018-04-03.
Downloading the log for 2018-04-06.
Downloading the log for 2018-04-09.
Downloading the log for 2018-04-10.
Downloaded the log for 2018-04-01. The log is available at .\Desktop\rmslog-2018-04-01.log.
Downloaded the log for 2018-04-03. The log is available at .\Desktop\rmslog-2018-04-03.log.
Downloaded the log for 2018-04-06. The log is available at .\Desktop\rmslog-2018-04-06.log.
Downloaded the log for 2018-04-09. The log is available at .\Desktop\rmslog-2018-04-09.log.
Downloaded the log for 2018-04-10. The log is available at .\Desktop\rmslog-2018-04-10.log.
Downloading the log for 2018-04-12.
Downloading the log for 2018-04-13.
Downloading the log for 2018-04-14.
Downloading the log for 2018-04-16.
Downloading the log for 2018-04-18.
Downloaded the log for 2018-04-12. The log is available at .\Desktop\rmslog-2018-04-12.log.
Downloaded the log for 2018-04-13. The log is available at .\Desktop\rmslog-2018-04-13.log.
Downloaded the log for 2018-04-14. The log is available at .\Desktop\rmslog-2018-04-14.log.
Downloaded the log for 2018-04-16. The log is available at .\Desktop\rmslog-2018-04-16.log.
Downloaded the log for 2018-04-18. The log is available at .\Desktop\rmslog-2018-04-18.log.
Downloading the log for 2018-04-24.
Downloaded the log for 2018-04-24. The log is available at .\Desktop\rmslog-2018-04-24.log.

Azure Information Protection istemcileri ve RMS istemcisi için kullanım günlükleri

Belgelere ve e-postalara etiketler ve koruma uygulandığında, e-posta adresleri ve IP adresleri kullanıcının bilgisayarındaki günlük dosyalarında aşağıdaki konumlarda depolanabilir:

• Azure Information Protection birleşik etiketleme istemcisi için: %localappdata%\Microsoft\MSIP\Logs

• RMS istemcisi için: %localappdata%\Microsoft\MSIPC\msip\Logs

Ayrıca, Azure Information Protection istemcisi bu kişisel verileri yerel Windows olay günlüğüne kaydeder Uygulamalar ve Hizmetler Azure Information Protection'ı günlüğe kaydeder>.

Azure Information Protection istemcisi tarayıcıyı çalıştırdığında, kişisel veriler tarayıcıyı çalıştıran Windows Server bilgisayarında %localappdata%\Microsoft\MSIP\Scanner\Reports konumuna kaydedilir.

Aşağıdaki yapılandırmaları kullanarak Azure Information Protection istemcisi ve tarayıcı için günlük bilgilerini kapatabilirsiniz:

• Azure Information Protection istemcisi için: LogLevel'i Kapalı olarak yapılandıran gelişmiş bir istemci ayarı oluşturun.

• Azure Information Protection tarayıcısı için: Set-AIPScannerConfiguration cmdlet'ini kullanarak ReportLevel parametresini Kapalı olarak ayarlayın.

Not

Kişisel verileri görüntülemek veya silmek istiyorsanız lütfen Microsoft Purview Uyumluluk Yöneticisi'nde ve Microsoft 365 Kurumsal Uyumluluğu sitesinin GDPR bölümünde Microsoft'un kılavuzunu gözden geçirin. GDPR hakkında genel bilgi arıyorsanız Hizmet Güveni portalının GDPR bölümüne bakın.

Belge izleme günlükleri

İlgili: Rights Management Hizmeti koruması yalnızca eski izleme portalıyla

Belge izleme sitesinden belirli bir kullanıcı hakkındaki bilgileri almak için Get-AipServiceDocumentLog cmdlet'ini çalıştırın. Belge günlükleriyle ilişkili izleme bilgilerini almak için Get-AipServiceTrackingLog cmdlet'ini kullanın.

Örneğin:

PS C:\Users> Get-AipServiceDocumentLog -UserEmail "admin@aip500.onmicrosoft.com"


ContentId             : 6326fcb2-c465-4c24-a7f6-1cace7a9cb6f
Issuer                : admin@aip500.onmicrosoft.com
Owner                 : admin@aip500.onmicrosoft.com
ContentName           :
CreatedTime           : 3/6/2018 10:24:00 PM
Recipients            : {
                        PrimaryEmail: johndoe@contoso.com
                        DisplayName: JOHNDOE@CONTOSO.COM
                        UserType: External,
                        PrimaryEmail: alice@contoso0110.onmicrosoft.com
                        DisplayName: ALICE@CONTOSO0110.ONMICROSOFT.COM
                        UserType: External
                        }
TemplateId            :
PolicyExpires         :
EULDuration           :
SendRegistrationEmail : True
NotificationInfo      : Enabled: False
                        DeniedOnly: False
                        Culture:
                        TimeZoneId:
                        TimeZoneOffset: 0
                        TimeZoneDaylightName:
                        TimeZoneStandardName:

RevocationInfo        : Revoked: False
                        RevokedTime:
                        RevokedBy:


PS C:\Users> Get-AipServiceTrackingLog -UserEmail "admin@aip500.onmicrosoft.com"

ContentId            : 6326fcb2-c465-4c24-a7f6-1cace7a9cb6f
Issuer               : admin@aip500.onmicrosoft.com
RequestTime          : 3/6/2018 10:45:57 PM
RequesterType        : External
RequesterEmail       : johndoe@contoso.com
RequesterDisplayName : johndoe@contoso.com
RequesterLocation    : IP: 167.220.1.54
                       Country: US
                       City: redmond
                       Position: 47.6812453974602,-122.120736471666

Rights               : {VIEW,OBJMODEL}
Successful           : False
IsHiddenInfo         : False

ObjectID tarafından arama yapılmaz. Ancak parametresi tarafından -UserEmail kısıtlanmazsınız ve sağladığınız e-posta adresinin kiracınızın bir parçası olması gerekmez. Sağlanan e-posta adresi belge izleme günlüklerinde herhangi bir yerde depolanıyorsa, belge izleme girdisi cmdlet çıkışında döndürülür.

Kişisel bilgilere erişimin güvenliğini sağlama ve denetleme

Azure portalında görüntüleyip belirttiğiniz kişisel verilere yalnızca Microsoft Entra Id'den aşağıdaki yönetici rollerinden birine atanmış kullanıcılar erişebilir:

• Azure Information Protection yöneticisi

• Uyumluluk yöneticisi

• Uyumluluk veri yöneticisi

• Güvenlik yöneticisi

• Güvenlik okuyucusu

• Genel yönetici

• Genel okuyucu

AIPService modülünü (veya eski modülü, AADRM) kullanarak görüntüleyip belirttiğiniz kişisel verilere yalnızca Microsoft Entra Id'den Azure Information Protection yöneticisi, Uyumluluk yöneticisi, Uyumluluk veri yöneticisi veya Genel Yönetici istrator rolleri ya da koruma hizmeti için genel yönetici rolü atanmış kullanıcılar erişebilir.

Kişisel verileri güncelleştirme

Duyarlılık etiketleri ve etiket ilkeleri Microsoft Purview uyumluluk portalı yapılandırılır. Daha fazla bilgi için Microsoft 365 belgelerine bakın.

Koruma ayarları için, AIPService modülündeki PowerShell cmdlet'lerini kullanarak aynı bilgileri güncelleştirebilirsiniz.

Süper kullanıcılar ve yönetici temsilcileri için e-posta adreslerini güncelleştiremezsiniz. Bunun yerine, belirtilen kullanıcı hesabını kaldırın ve güncelleştirilmiş e-posta adresiyle kullanıcı hesabını ekleyin.

Koruma hizmeti için süper kullanıcılar ve yönetici temsilcileri

Süper kullanıcı için bir e-posta adresini güncelleştirmeniz gerektiğinde:

1. Kullanıcı ve eski e-posta adresini kaldırmak için Remove-AipServiceSuperUser kullanın.

2. Kullanıcıyı ve yeni e-posta adresini eklemek için Add-AipServiceSuperUser kullanın.

Yönetici temsilcisinin e-posta adresini güncelleştirmeniz gerektiğinde:

1. Kullanıcı ve eski e-posta adresini kaldırmak için Remove-AipServiceRoleBased Yönetici istrator komutunu kullanın.

2. Kullanıcı ve yeni e-posta adresini eklemek için Add-AipServiceRoleBased Yönetici istrator komutunu kullanın.

Kişisel verileri silme

Duyarlılık etiketleri ve etiket ilkeleri Microsoft Purview uyumluluk portalı yapılandırılır. Daha fazla bilgi için Microsoft 365 belgelerine bakın.

Koruma ayarları için, AIPService modülünden PowerShell cmdlet'lerini kullanarak aynı bilgileri silebilirsiniz.

Süper kullanıcıların ve yönetici temsilcilerinin e-posta adreslerini silmek için Remove-AipServiceSuperUser cmdlet'ini ve Remove-AipServiceRoleBased Yönetici istrator'ı kullanarak bu kullanıcıları kaldırın.

Koruma hizmetinin belge izleme günlüklerindeki, yönetim günlüklerindeki veya kullanım günlüklerindeki kişisel verileri silmek için aşağıdaki bölümü kullanarak Microsoft Desteği ile bir istek oluşturun.

bilgisayarlarda depolanan istemci günlük dosyalarındaki ve tarayıcı günlüklerindeki kişisel verileri silmek için, standart Windows araçlarını kullanarak dosyaların içindeki dosyaları veya kişisel verileri silin.

Microsoft Desteği ile kişisel verileri silmek için

Microsoft'un koruma hizmeti için belge izleme günlüklerindeki, yönetim günlüklerindeki veya kullanım günlüklerindeki kişisel verileri silmesini istemek için aşağıdaki üç adımı kullanın.

1. Adım: Silme isteği başlatma Kiracınızdan veri silme isteğiiçeren bir Azure Information Protection destek olayı açmak için Microsoft Desteği başvurun. Azure Information Protection kiracınızda yönetici olduğunuzu kanıtlamanız ve bu işlemin onaylanmasının birkaç gün sürdüğünü anlamanız gerekir. İsteğinizi gönderirken, silinmesi gereken verilere bağlı olarak ek bilgiler sağlamanız gerekir.

• Yönetim günlüğünü silmek için bitiş tarihini belirtin. Bu bitiş tarihine kadar tüm yönetici günlükleri silinir.
• Kullanım günlüklerini silmek için bitiş tarihini belirtin. Bu bitiş tarihine kadar tüm kullanım günlükleri silinir.
• Belge izleme günlüklerini silmek için bitiş tarihini ve UserEmail'i sağlayın. Bu bitiş tarihine kadar UserEmail ile ilgili tüm belge izleme bilgileri silinir. UserEmail için normal ifade (Perl biçimi) desteklenir.

Bu verileri silmek kalıcı bir eylemdir. Silme isteği işlendikten sonra verileri kurtarmanın bir anlamı yoktur. Yöneticilerin bir silme isteği göndermeden önce gerekli verileri dışarı aktarması önerilir.

2. Adım: Doğrulamayı bekleyin Microsoft, bir veya daha fazla günlüğü silme isteğinizin geçerli olduğunu doğrular. Bu işlem beş iş gününe kadar sürebilir.

3. Adım: Silme işleminin onayını alın Microsoft Müşteri Destek Hizmetleri (CSS), verilerin silindiğini belirten bir onay e-postası gönderir.

Kişisel verileri dışa aktarma

AIPService veya AADRM PowerShell cmdlet'lerini kullandığınızda, kişisel veriler bir PowerShell nesnesi olarak arama ve dışarı aktarma için kullanılabilir hale getirilir. PowerShell nesnesi JSON'a dönüştürülebilir ve cmdlet'i kullanılarak ConvertTo-Json kaydedilebilir.

Onay olmadan profil oluşturma veya pazarlama için kişisel verilerin kullanımını kısıtlama

Azure Information Protection, Microsoft'un kişisel verilere dayalı profil oluşturma veya pazarlama için gizlilik koşullarını izler.

Denetim ve raporlama

Kişisel verileri aramak ve dışarı aktarmak için AIPService veya ADDRM modülünü yalnızca yönetici izinleri atanmış kullanıcılar kullanabilir. Bu işlemler, indirilebilen yönetim günlüğüne kaydedilir.

Silme eylemleri için destek isteği, Microsoft tarafından gerçekleştirilen eylemler için denetim ve raporlama izi görevi görür. Silme işleminden sonra silinen veriler arama ve dışarı aktarma için kullanılamaz ve yönetici bunu AIPService modülünden cmdlet'leri alma kullanarak doğrulayabilir.