管理 Azure 資訊保護 的個人資料

  • 發行項

注意

您要尋找 Microsoft Purview 資訊保護,先前稱為 Microsoft 資訊保護 (MIP)嗎?

Azure 資訊保護 載入宏已淘汰,並以 Microsoft 365 應用程式和服務內建的標籤取代。 深入瞭解其他 Azure 資訊保護元件的支持狀態。

新的 Microsoft Purview 資訊保護 用戶端(不含載入宏)目前處於預覽狀態,並排程正式運作

當您設定及使用 Azure 資訊保護 時,Azure 資訊保護 服務會儲存和使用電子郵件位址和 IP 位址。 您可以在下列專案中找到此個人資料:

  • 保護服務的進階使用者和委派系統管理員

  • 保護服務的 管理員 記錄

  • 保護服務的使用量記錄

  • Azure 資訊保護 用戶端和 RMS 用戶端的使用記錄

注意

本文提供瞭如何從裝置或服務中刪除個人資料的步驟,並可以用來支援您在 GDPR 下的義務。 如果您正在尋找有關 GDPR 的一般資訊,請參閱服務信任入口網站的 GDPR 區段

檢視 Azure 資訊保護 所使用的個人資料

  • 統一標籤用戶端

    針對統一卷標用戶端,敏感度標籤和標籤原則會在 Microsoft Purview 合規性入口網站 中設定。 如需詳細資訊,請參閱 Microsoft 365 檔

注意

當 Azure 資訊保護 用來分類和保護檔和電子郵件時,電子郵件地址和使用者的 IP 位址可能會儲存在記錄檔中。

保護服務的進階使用者和委派系統管理員

執行 Get-AipServiceSuperUser Cmdlet 和 get-aipservicerolebasedadministrator Cmdlet,以查看哪些使用者已從 Azure 資訊保護 獲指派保護服務 (Azure Rights Management) 的進階使用者角色或全域管理員角色。 針對已獲指派其中一個角色的使用者,會顯示其電子郵件位址。

保護服務的 管理員 記錄

執行 Get-AipService 管理員 Log Cmdlet,從 Azure 資訊保護 取得保護服務 (Azure Rights Management) 的管理動作記錄。 此記錄檔包含電子郵件位址和IP位址形式的個人資料。 記錄檔是純文本的,下載之後,就可以脫機搜尋特定系統管理員的詳細數據。

例如:

PS C:\Users> Get-AipServiceAdminLog -Path '.\Desktop\admin.log' -FromTime 4/1/2018 -ToTime 4/30/2018 -Verbose
The Rights Management administration log was successfully generated and can be found at .\Desktop\admin.log.

保護服務的使用量記錄

執行 Get-AipServiceUserLog Cmdlet 來擷取使用 Azure 資訊保護 保護服務的終端使用者動作記錄。 記錄檔可以包含電子郵件位址和IP位址形式的個人資料。 記錄檔是純文本的,下載之後,就可以脫機搜尋特定系統管理員的詳細數據。

例如:

PS C:\Users> Get-AipServiceUserLog -Path '.\Desktop\' -FromDate 4/1/2018 -ToDate 4/30/2018 -NumberOfThreads 10
Acquiring access to your user log…
Downloading the log for 2018-04-01.
Downloading the log for 2018-04-03.
Downloading the log for 2018-04-06.
Downloading the log for 2018-04-09.
Downloading the log for 2018-04-10.
Downloaded the log for 2018-04-01. The log is available at .\Desktop\rmslog-2018-04-01.log.
Downloaded the log for 2018-04-03. The log is available at .\Desktop\rmslog-2018-04-03.log.
Downloaded the log for 2018-04-06. The log is available at .\Desktop\rmslog-2018-04-06.log.
Downloaded the log for 2018-04-09. The log is available at .\Desktop\rmslog-2018-04-09.log.
Downloaded the log for 2018-04-10. The log is available at .\Desktop\rmslog-2018-04-10.log.
Downloading the log for 2018-04-12.
Downloading the log for 2018-04-13.
Downloading the log for 2018-04-14.
Downloading the log for 2018-04-16.
Downloading the log for 2018-04-18.
Downloaded the log for 2018-04-12. The log is available at .\Desktop\rmslog-2018-04-12.log.
Downloaded the log for 2018-04-13. The log is available at .\Desktop\rmslog-2018-04-13.log.
Downloaded the log for 2018-04-14. The log is available at .\Desktop\rmslog-2018-04-14.log.
Downloaded the log for 2018-04-16. The log is available at .\Desktop\rmslog-2018-04-16.log.
Downloaded the log for 2018-04-18. The log is available at .\Desktop\rmslog-2018-04-18.log.
Downloading the log for 2018-04-24.
Downloaded the log for 2018-04-24. The log is available at .\Desktop\rmslog-2018-04-24.log.

Azure 資訊保護 用戶端和 RMS 用戶端的使用記錄

當標籤和保護套用至檔案和電子郵件時,電子郵件位址和IP位址可以儲存在用戶電腦上的記錄檔中,位置如下:

  • 針對 Azure 資訊保護 統一卷標用戶端: %localappdata%\Microsoft\MSIP\Logs

  • 針對 RMS 用戶端: %localappdata%\Microsoft\MSIPC\msip\Logs

此外,Azure 資訊保護 用戶端會將此個人資料記錄到本機 Windows 事件記錄檔應用程式和服務記錄>Azure 資訊保護。

當 Azure 資訊保護 用戶端執行掃描器時,個人資料會儲存至執行掃描器的 Windows Server 計算機上 %localappdata%\Microsoft\MSIP\Scanner\Reports

您可以使用下列設定來關閉 Azure 資訊保護 客戶端和掃描器的記錄資訊:

注意

如果您想要檢視或刪除個人資料,請檢閱 Microsoft Purview 合規性管理員和 Microsoft 365 企業版 合規性網站的 GDPR 一節中的 Microsoft 指引。 如果您要尋找 GDPR 的一般資訊,請參閱 服務信任入口網站的 GDPR 一節。

檔案追蹤記錄

相關: Rights Management Service 保護僅適用於舊版追蹤入口網站

執行 Get-AipServiceDocumentLog Cmdlet,從文件追蹤網站擷取特定使用者的相關信息。 若要取得與文件記錄相關聯的追蹤資訊,請使用 Get-AipServiceTrackingLog Cmdlet。

例如:

PS C:\Users> Get-AipServiceDocumentLog -UserEmail "admin@aip500.onmicrosoft.com"


ContentId             : 6326fcb2-c465-4c24-a7f6-1cace7a9cb6f
Issuer                : admin@aip500.onmicrosoft.com
Owner                 : admin@aip500.onmicrosoft.com
ContentName           :
CreatedTime           : 3/6/2018 10:24:00 PM
Recipients            : {
                        PrimaryEmail: johndoe@contoso.com
                        DisplayName: JOHNDOE@CONTOSO.COM
                        UserType: External,
                        PrimaryEmail: alice@contoso0110.onmicrosoft.com
                        DisplayName: ALICE@CONTOSO0110.ONMICROSOFT.COM
                        UserType: External
                        }
TemplateId            :
PolicyExpires         :
EULDuration           :
SendRegistrationEmail : True
NotificationInfo      : Enabled: False
                        DeniedOnly: False
                        Culture:
                        TimeZoneId:
                        TimeZoneOffset: 0
                        TimeZoneDaylightName:
                        TimeZoneStandardName:

RevocationInfo        : Revoked: False
                        RevokedTime:
                        RevokedBy:


PS C:\Users> Get-AipServiceTrackingLog -UserEmail "admin@aip500.onmicrosoft.com"

ContentId            : 6326fcb2-c465-4c24-a7f6-1cace7a9cb6f
Issuer               : admin@aip500.onmicrosoft.com
RequestTime          : 3/6/2018 10:45:57 PM
RequesterType        : External
RequesterEmail       : johndoe@contoso.com
RequesterDisplayName : johndoe@contoso.com
RequesterLocation    : IP: 167.220.1.54
                       Country: US
                       City: redmond
                       Position: 47.6812453974602,-122.120736471666

Rights               : {VIEW,OBJMODEL}
Successful           : False
IsHiddenInfo         : False

ObjectID 沒有搜尋。 不過,您不受 參數的限制 -UserEmail ,而且您提供的電子郵件位址不需要是租使用者的一部分。 如果提供的電子郵件位址儲存在檔案追蹤記錄中的任何位置,則會在 Cmdlet 輸出中傳回檔追蹤專案。

保護及控制個人資訊存取

您在 Azure 入口網站 中檢視及指定的個人資料,只能存取已從 Microsoft Entra ID 獲指派下列其中一個系統管理員角色的使用者:

  • Azure 資訊保護 系統管理員

  • 合規性系統管理員

  • 合規性數據管理員

  • 安全性系統管理員

  • 安全性讀取器

  • 全域管理員

  • 全域讀取器

您使用 AIPService 模組(或較舊的模組 AADRM)檢視及指定的個人資料,只能存取已獲指派 Azure 資訊保護 系統管理員、合規性系統管理員、合規性數據管理員Microsoft Entra ID 的全域 管理員 istrator 角色,或保護服務的全域管理員角色。

更新個人資料

敏感度標籤和標籤原則是在 Microsoft Purview 合規性入口網站 中設定。 如需詳細資訊,請參閱 Microsoft 365 檔

針對保護設定,您可以使用 AIPService 模組中的 PowerShell Cmdlet 來更新相同的資訊。

您無法更新進階使用者和委派系統管理員的電子郵件位址。 請改為移除指定的用戶帳戶,並使用更新的電子郵件位址新增用戶帳戶。

保護服務的進階使用者和委派系統管理員

當您需要更新進階使用者的電子郵件地址時:

  1. 使用 Remove-AipServiceSuperUser 移除使用者和舊的電子郵件位址。

  2. 使用 Add-AipServiceSuperUser 來新增使用者和新的電子郵件位址。

當您需要更新委派系統管理員的電子郵件地址時:

  1. 使用 Remove-AipServiceRoleBased 管理員 istrator 移除使用者和舊的電子郵件位址。

  2. 使用 Add-AipServiceRoleBased 管理員 istrator 來新增使用者和新的電子郵件位址。

刪除個人資料中

敏感度標籤和標籤原則是在 Microsoft Purview 合規性入口網站 中設定。 如需詳細資訊,請參閱 Microsoft 365 檔

針對保護設定,您可以使用 AIPService 模組中的 PowerShell Cmdlet 來刪除相同的資訊。

若要刪除進階使用者和委派系統管理員的電子郵件位址,請使用 Remove-AipServiceSuperUser Cmdlet 和 Remove-AipServiceRoleBased 管理員 istrator 移除這些使用者。

若要刪除保護服務的檔案追蹤記錄、系統管理記錄或使用記錄中的個人資料,請使用下一節來引發具有 Microsoft 支援服務 的要求。

若要刪除儲存在電腦上的用戶端記錄檔和掃描儀記錄檔中的個人資料,請使用任何標準 Windows 工具來刪除檔案內的檔案或個人資料。

使用 Microsoft 支援服務 刪除個人資料

使用下列三個步驟來要求 Microsoft 刪除文件追蹤記錄、系統管理記錄或保護服務使用記錄中的個人資料。

步驟 1:起始刪除要求連絡 Microsoft 支援服務,以開啟 Azure 資訊保護 支援案例,並要求刪除租使用者中的數據。 您必須證明您是 Azure 資訊保護 租用戶的系統管理員,並瞭解此程式需要數天才能確認。 提交要求時,您必須根據需要刪除的數據,提供其他資訊。

  • 若要刪除管理記錄檔,請提供 結束日期。 所有管理員記錄,直到該結束日期才會刪除。
  • 若要刪除使用量記錄,請提供 結束日期。 在結束日期之前的所有使用量記錄都會被刪除。
  • 若要刪除文件追蹤記錄,請提供 結束日期UserEmail。 刪除與 UserEmail 相關的所有文件追蹤資訊,直到該結束日期為止。 支援 UserEmail 的正規表示式 (Perl 格式)。

刪除此資料是永久動作。 在處理刪除要求之後,沒有任何方法可復原數據。 建議系統管理員先匯出必要的數據,再提交刪除要求。

步驟 2:等候驗證 Microsoft 會確認您刪除一或多個記錄的要求是合法的。 此程式最多可能需要五個工作天。

步驟 3:取得刪除 Microsoft 客戶支援服務 (CSS) 的確認,將會傳送確認電子郵件,指出數據已刪除。

匯出個人資料中

當您使用 AIPService 或 AADRM PowerShell Cmdlet 時,個人資料可供搜尋和匯出為 PowerShell 物件。 PowerShell 物件可以轉換成 JSON,並使用 ConvertTo-Json Cmdlet 儲存。

Azure 資訊保護 遵循 Microsoft 根據個人資料進行分析或營銷的隱私權條款

稽核與報告

只有已獲指派系統管理員 許可權 的使用者才能使用 AIPService 或 ADDRM 模組來搜尋和導出個人資料。 這些作業會記錄在可下載的管理記錄檔中。

針對刪除動作,支援要求會做為 Microsoft 所執行動作的稽核和報告記錄。 刪除之後,已刪除的數據將無法用於搜尋和導出,而且系統管理員可以使用AIPService 模組的 Get Cmdlet 來驗證此專案。