管理員指南:使用舊版追蹤入口網站設定和使用 Rights Management Service 保護的檔追蹤

  • 發行項

注意

傳統用戶端僅支援舊版 Azure 資訊保護檔追蹤網站,而不支援統一標籤用戶端。 如需詳細資訊,請參閱已移除和已淘汰的服務

如果您有支援文件追蹤的訂閱,您的組織預設會替所有使用者啟用文件追蹤網站。 文件追蹤為使用者和系統管理員提供當存取受保護文件時的相關資訊,必要時,可以撤銷追蹤的文件。

使用 PowerShell 管理文件追蹤網站

下列各節包含如何使用 PowerShell 管理文件追蹤網站的相關資訊。 如需 PowerShell 模組的安裝指示,請參閱 安裝 AIPService PowerShell 模組

如需各個 Cmdlet 的詳細資訊,請使用提供的連結。

文件追蹤網站的隱私權控制

如果因為隱私權需求而禁止在組織中顯示所有檔追蹤資訊,您可以使用 Disable-AipServiceDocumentTrackingFeature Cmdlet 來停用檔追蹤。

此 Cmdlet 會停用文件追蹤網站的存取權,讓您組織中的所有使用者無法追蹤或撤銷他們所保護之文件的存取。 您可以隨時使用 Enable-AipServiceDocumentTrackingFeature重新啟用檔追蹤,而且您可以使用 Get-AipServiceDocumentTrackingFeature檢查檔追蹤目前是否已啟用或停用。

啟用文件追蹤網站時,根據預設,它會顯示例如嘗試存取受保護文件之人員的電子郵件地址、這些人員何時嘗試存取受保護的文件,以及他們的位置等等資訊。 此層級的資訊有助於判斷共用文件的使用方式,以及如果看到可疑活動是否應該撤銷。 不過,基於隱私原因,您可能需要針對部分或所有使用者停用此使用者資訊。

如果您有其他使用者不應該追蹤此活動的使用者,請將他們新增至儲存在 Azure AD 中的群組,並使用 Set-AipServiceDoNotTrackUserGroup Cmdlet 來指定此群組。 當您執行這個 Cmdlet 時,您必須指定單一群組。 不過,群組可以包含巢狀群組。

對於這些群組成員,當活動與他們共用的文件相關時,使用者無法在追蹤網站上看到任何活動。 此外,不會有任何電子郵件通知傳送給共用文件的使用者。

當您使用此設定時,所有使用者仍然可以使用文件追蹤網站並且撤銷他們所保護的文件存取權。 不過,他們不會看到您使用 Set-AipServiceDoNotTrackUserGroup Cmdlet 所指定之使用者的活動。

這個設定只會影響使用者。 Azure 資訊保護的系統管理員一律可以追蹤所有使用者的活動,即使這些使用者是使用 Set-AipServiceDoNotTrackUserGroup 來指定。 如需系統管理員如何追蹤使用者之文件的詳細資訊,請參閱追蹤及撤銷使用者的文件一節。

來自文件追蹤網站的記錄資訊

您可以使用下列 Cmdlet 從檔追蹤網站下載記錄資訊:

  • Get-AipServiceTrackingLog

    這個 Cmdlet 會針對已保護文件 (Rights Management 簽發者) 或存取了受保護文件的指定使用者,傳回關於受保護文件的追蹤資訊。 使用這個 Cmdlet 以協助回答「指定的使用者追蹤或存取了哪些受保護的文件?」

  • Get-AipServiceDocumentLog

    如果指定的使用者已保護文件 (Rights Management 簽發者) 或是文件的 Rights Management 擁有者,或者已將受保護的文件設定為直接授與使用者存取權,這個 Cmdlet 會針對該使用者傳回關於所追蹤文件的保護資訊。 使用這個 Cmdlet 以協助回答「如何針對指定的使用者保護文件?」

文件追蹤網站使用的目的地 URL

下列 URL 用於檔追蹤,而且必須在執行 Azure 資訊保護 用戶端和網際網路的用戶端之間允許所有裝置和服務。 例如,如果您使用具有增強式安全性的 Internet Explorer,將這些 URL 新增至防火牆或信任的網站。

  • https://*.azurerms.com

  • https://*.microsoftonline.com

  • https://*.microsoftonline-p.com

  • https://ecn.dev.virtualearth.net

這些 URL 是 Azure Rights Management 服務的標準,除了 virtualearth.net URL 以外,它是用於 Bing 地圖以顯示使用者位置。

追蹤及撤銷使用者的文件

當使用者登入文件追蹤網站時,他們可以追蹤及撤銷他們使用 Azure 資訊保護用戶端保護的文件。 當您以租用戶的 Azure AD 全域系統管理員身分登入時,可以按一下系統管理圖示來切換到 [系統管理員] 模式。 其他系統管理員角色不支援文件追蹤網站的這個模式。

文件追蹤網站中的系統管理圖示

系統管理員模式可讓您查看組織中使用者已透過使用 Azure 資訊保護用戶端所選取進行追蹤的文件。

注意

如果您是全域系統管理員,但還是看不到這個圖示,則原因是您自己尚未共用任何文件。 在此情況下,使用下列 URL 來存取文件追蹤網站:https://portal.azurerms.com/#/admin

您在 [系統管理員] 模式中執行的動作,會在使用方式記錄檔中稽核和記錄,且您必須確認以繼續。 如需此記錄的詳細資訊,請參閱下節。

當您在 [系統管理員] 模式中時,您可以接著依據使用者或文件搜尋。 若你依據使用者進行搜尋,即可查看特定使用者已透過使用 Azure 資訊保護用戶端所選取進行追蹤的所有文件。

若你依據文件進行搜尋,即可查看組織中所有已透過使用 Azure 資訊保護用戶端進行追蹤該文件的所有使用者。 您可以向下切入搜尋結果,來追蹤使用者已保護的文件,以及視需要撤銷這些文件。

若要離開 [系統管理員] 模式,按一下 [結束系統管理員模式] 旁邊的 X

在文件追蹤網站中結束系統管理員模式

如需如何使用文件追蹤網站的相關指示,請參閱使用者指南中的追蹤及撤銷您的文件

使用 PowerShell 向文件追蹤網站註冊已標記的文件

若要能夠追蹤與撤銷文件時,必須先向文件追蹤網站註冊它。 若使用者在使用 Azure 資訊保護用戶端時,從 [檔案總管] 或其 Office 應用程式中選取 [追蹤與撤銷] 選項,就會發生此動作。

如果您使用 Set-AIPFileLabel Cmdlet 來為使用者標記和保護檔案,可使用 EnableTracking 參數來向文件追蹤網站註冊檔案。 例如:

Set-AIPFileLabel -Path C:\Projects\ -LabelId ade72bf1-4714-4714-4714-a325f824c55a -EnableTracking

文件追蹤網站的使用方式記錄

使用方式記錄檔中的兩個欄位適用於文件追蹤:AdminActionActingAsUser

AdminAction - 當系統管理員在 [系統管理員] 模式使用文件追蹤網站時,這個欄位具有值為 true,例如代表使用者撤銷文件,或是查看何時共用。 當使用者登入文件追蹤網站時,這個欄位是空的。

ActingAsUser - 當 AdminAction 欄位為 true 時,此欄位包含系統管理員搜尋使用者或文件擁有者時所代表的使用者名稱。 當使用者登入文件追蹤網站時,這個欄位是空的。

另外還有要求類型,其記錄使用者和系統管理員如何使用文件追蹤網站。 例如,RevokeAccess 是當使用者或代表使用者的系統管理員在文件追蹤網站中撤銷文件時的要求類型。 使用此要求類型搭配 AdminAction 欄位以判斷使用者是否已撤銷他們自己的文件 (AdminAction 欄位是空的),或者系統管理員是否已代表使用者撤銷文件 (AdminAction 為 true)。

如需使用量記錄的詳細資訊,請參閱記錄和分析 Azure 資訊保護的保護使用量

下一步

既然您已經針對 Azure 資訊保護用戶端設定文件追蹤網站,請參閱下列主題,以取得您支援此用戶端可能需要的其他資訊: