通过

跟踪和撤销文档访问权限

  • 项目

文档跟踪为管理员提供有关何时访问受保护文档的信息。 如有必要,管理员和用户可以撤销对跟踪文档的文档访问权限。

必须先注册文档进行跟踪,然后管理员才能跟踪访问详细信息,包括成功的访问事件和被拒绝的尝试,并根据需要撤销访问权限。 请参阅下一部分,了解用于在下次打开时支持文件注册的内置标记的最低版本的 Office 应用。

注意

仅 Office 文件类型支持跟踪和撤销功能。

要求

使用 功能表 和行 文档跟踪和吊销 标识 Word、Excel 和 PowerPoint 的最低版本,这些版本在下次打开时自动注册受标签保护的本地 Office 文档 () 。

本文中的 PowerShell cmdlet 使用 AIPService PowerShell 模块,可以从 PowerShell 库安装该模块。 在运行任何记录的 cmdlet 之前,必须运行 Connect-AipService 才能连接到租户。

限制

  • 跟踪和撤销功能不支持受密码保护的文档。

  • 如果将多个文档附加到电子邮件,然后保护电子邮件并发送,则每个附件将获取相同的 ContentID 值。 仅当已打开的第一个文件时,才会返回此 ContentID 值。 搜索其他附件不会返回获取跟踪数据所需的 ContentID 值。

    此外,撤消其中一个附件的访问权限也会撤销对同一受保护电子邮件中其他附件的访问权限。

  • 上传到 SharePoint 或 OneDrive 的受管理员定义权限保护的文档会丢失其 ContentID 值,并且无法跟踪或撤销访问权限。

  • 如果用户从 SharePoint 或 OneDrive 下载受管理员定义权限保护的文件,则会向文档应用新的 ContentID 。 使用原始 ContentID 值跟踪数据不包括对用户下载的文件执行的任何访问。 此外,根据原始 ContentID 值撤消访问权限不会撤销任何已下载文件的访问权限。

    如果管理员有权访问下载的文件,则可以使用 PowerShell 标识文档的 ContentID 以跟踪和撤销操作。

跟踪文档访问

管理员可以使用注册期间为受保护文档生成的 ContentID ,通过 PowerShell 跟踪受保护文档的访问权限。

查看文档访问详细信息

使用以下 cmdlet 查找要跟踪的文档的详细信息:

  1. 查找要跟踪的文档的 ContentID 值。

    使用 Get-AipServiceDocumentLog 使用文件名或应用保护的用户的电子邮件地址搜索文档。

    例如:

    Get-AipServiceDocumentLog -ContentName "test.docx" -Owner “alice@contoso.com” -FromTime "12/01/2020 00:00:00" -ToTime "12/31/2020 23:59:59"

    此命令返回注册用于跟踪的所有匹配的受保护文档的 ContentID

    注意

    在支持文件注册的 Office 应用中首次打开受保护的文档时,将注册这些文档进行跟踪。 如果此命令未返回受保护文件的 ContentID,请在 支持文件注册的 Office 应用中将其打开。

  2. Get-AipServiceTrackingLog cmdlet 与文档的 ContentID 配合使用可返回跟踪数据。

    例如:

    Get-AipServiceTrackingLog -ContentId c03bf90c-6e40-4f3f-9ba0-2bcd77524b87

    将返回跟踪数据,包括尝试访问的用户的电子邮件、访问是否被授予、尝试的时间和日期,以及尝试访问的域和位置。

从 PowerShell 撤销文档访问权限

管理员可以使用 Set-AIPServiceDocumentRevoked cmdlet 撤消对其本地内容共享中存储的任何受保护文档的访问权限。

注意

如果允许 脱机访问 ,则用户将继续能够访问已撤销的文档,直到脱机策略期限到期。

  1. 查找要撤消其访问权限的文档的 ContentID 值。

    使用 Get-AipServiceDocumentLog 使用文件名或应用保护的用户的电子邮件地址搜索文档。

    例如:

    Get-AipServiceDocumentLog -ContentName "test.docx" -Owner “alice@contoso.com” -FromTime "12/01/2020 00:00:00" -ToTime "12/31/2020 23:59:59"

    返回的数据包括文档的 ContentID 值。

    提示

    只有已受保护并注册跟踪的文档才具有 ContentID 值。 如果文档没有 ContentID,请在 支持文件注册的 Office 应用中打开它。

  2. Set-AIPServiceDocumentRevoked 与文档的 ContentID 配合使用可撤销访问权限。

    例如:

    Set-AipServiceDocumentRevoked -ContentId 0e421e6d-ea17-4fdb-8f01-93a3e71333b8 -IssuerName testIssuer

通过使用 Office 应用中的 “敏感度 ”菜单,用户还可以撤销对其保护的任何文档的访问权限。

还原访问权限

如果意外撤销了对特定文档的访问权限,请对 Clear-AipServiceDocumentRevoked cmdlet 使用相同的 ContentID 值来还原访问权限。

例如:

Clear-AipServiceDocumentRevoked -ContentId   0e421e6d-ea17-4fdb-8f01-93a3e71333b8 -IssuerName testIssuer

在 IssuerName 参数中定义的用户授予文档访问权限。

关闭租户的跟踪和撤销功能

如果需要关闭和撤销租户的跟踪和撤销功能(例如针对组织或区域中的隐私要求),请运行 Disable-AipServiceDocumentTrackingFeature cmdlet。

已为租户关闭文档跟踪和撤销访问权限的选项:

  • 打开受保护的文档不再注册用于跟踪和撤销的文档。
  • 打开已注册的受保护文档时,不会存储访问日志。 在关闭这些功能之前存储的访问日志仍然可用。
  • 管理员将无法通过 PowerShell 跟踪或撤销访问权限,尽管最终用户仍可在其 Office 应用中看到 “撤销 ”菜单选项,但网站会显示一条消息,指出其管理员已禁用跟踪和吊销。

如果需要重新打开和撤消跟踪,请运行 Enable-AipServiceDocumentTrackingFeature cmdlet。

从敏感度菜单中删除跟踪和撤销选项

如果需要从 Office 客户端的敏感度菜单中删除“跟踪 & 撤销”按钮,请将 PowerShell 高级设置与 Set-LabelPolicy cmdlet 配合使用。

PowerShell 命令示例:

Set-LabelPolicy -Identity Global -AdvancedSettings @{EnableRevokeGuiSupport="False"}