管理員 istrator 指南:使用 Azure 資訊保護 追蹤和撤銷檔存取權

  • 發行項

注意

您要尋找 Microsoft Purview 資訊保護,前身為 Microsoft 資訊保護 (MIP)?

適用於 Office 的 Azure 資訊保護 載入宏現在處於維護模式,將於 2024 年 4 月淘汰。 相反地,我們建議您使用 Office 365 應用程式和服務內建的標籤,其也支援 追蹤和撤銷檔存取權。

文件追蹤會提供系統管理員的資訊,其中包含 Azure 資訊保護 管理員 istrator 或 Azure Rights Management Global 管理員 istrator 角色,關於何時存取受保護的檔。 如有必要,系統管理員和使用者可以撤銷追蹤檔的檔存取權。

在 2.9.111.0 版或更新版本中,任何尚未註冊進行追蹤的受保護 Office 檔會在下次透過 AIP 統一標籤客戶端開啟時自動註冊。 即使未加上標籤,受保護的檔仍支援追蹤和撤銷。

註冊檔以進行追蹤可讓系統管理員追蹤存取詳細數據,包括成功的存取事件和拒絕的嘗試,以及視需要撤銷存取權。

注意

僅支援 Office 檔類型的追蹤和撤銷功能。

即使未加上標籤,受保護的檔仍支援追蹤和撤銷。

追蹤檔案存取

管理員 可以使用PowerShell 追蹤受保護檔的存取註冊期間為受保護文件產生的 ContentID

若要檢視檔案存取詳細資料

使用下列 Cmdlet 來尋找您要追蹤的檔案的詳細資料:

  1. 尋找您要追蹤之檔的 ContentID 值。

    使用 Get-AipServiceDocumentLog,使用套用保護的用戶檔名和/或電子郵件位址來搜尋檔。

    例如;

    Get-AipServiceDocumentLog -ContentName "test.docx" -Owner “alice@contoso.com” -FromTime "12/01/2020 00:00:00" -ToTime "12/31/2020 23:59:59"

    此命令會 針對已註冊追蹤的所有相符受保護檔,傳回 ContentID

    注意

    受保護的檔會在第一次在已安裝統一標籤端的電腦上開啟時註冊進行追蹤。 如果此命令未傳回受保護檔案的 ContentID,請在已安裝統一卷標用戶端的電腦上開啟它,以註冊檔以進行追蹤。

  2. 使用 Get-AipServiceTrackingLog Cmdlet 搭配檔的 ContentID 來傳回追蹤數據。

    例如:

    Get-AipServiceTrackingLog -ContentId c03bf90c-6e40-4f3f-9ba0-2bcd77524b87

    會傳回追蹤數據,包括嘗試存取的用戶電子郵件、授與或拒絕存取權、嘗試嘗試的時間和日期,以及存取嘗試產生的網域和位置。

從 PowerShell 撤銷檔存取權

管理員 可以使用 撤銷儲存在其本機內容共用中之任何受保護檔的存取權Set-AIPServiceDocumentRevoked Cmdlet。

  1. 尋找您要撤銷存取權的檔 ContentID 值。

    使用 Get-AipServiceDocumentLog,使用套用保護的用戶檔名和/或電子郵件位址來搜尋檔。

    例如:

    Get-AipServiceDocumentLog -ContentName "test.docx" -Owner “alice@contoso.com” -FromTime "12/01/2020 00:00:00" -ToTime "12/31/2020 23:59:59"

    傳回的數據報含您檔的 ContentID 值。

    提示

    只有已保護並註冊追蹤的檔具有 ContentID 值。

    如果您的文件沒有 ContentID,請在已安裝統一標籤客戶端的電腦上開啟它,以註冊檔案以進行追蹤。

  2. 使用 Set-AIPServiceDocumentRevoked 搭配您文件的 ContentID 撤銷存取權。

    例如:

    Set-AipServiceDocumentRevoked -ContentId 0e421e6d-ea17-4fdb-8f01-93a3e71333b8 -IssuerName testIssuer

注意

如果 允許離線存取 ,使用者將繼續能夠存取已撤銷的檔,直到離線原則期間到期為止。

提示

使用者也可以撤銷他們直接從 Office 應用程式 的 [敏感度] 功能表套用保護的任何檔存取權。 如需詳細資訊,請參閱使用者指南:使用 Azure 資訊保護 撤銷檔存取權

取消撤銷存取權

如果您不小心撤銷特定檔的存取權,請使用與 Clear-AipServiceDocumentRevoked Cmdlet 相同的 ContentID來取消撤銷存取權。

若要使用 Clear-AipServiceDocumentRevoked Cmdlet,您必須先載入 AipService.dll

例如:

Import-Module -Name "C:\Program Files\WindowsPowerShell\Modules\AIPService\1.0.0.4\AipService.dll"
Clear-AipServiceDocumentRevoked -ContentId   0e421e6d-ea17-4fdb-8f01-93a3e71333b8 -IssuerName testIssuer

檔存取權會授與您在IssuerName參數中定義的使用者。

關閉租用戶的追蹤和撤銷功能

如果您需要關閉租使用者的追蹤和撤銷功能,例如組織或區域中的隱私權需求,請執行下列步驟:

  1. 執行 Disable-AipServiceDocumentTrackingFeature Cmdlet。

  2. EnableTrackAndRevoke 進階用戶端設定設為 False

您的租使用者已關閉檔追蹤和撤銷存取權的選項:

  • 使用 AIP 統一標籤客戶端開啟受保護的檔,不再註冊用於追蹤和撤銷的檔。
  • 開啟已註冊的受保護檔時,不會儲存存取記錄。 在關閉這些功能之前儲存的存取記錄仍可供使用。
  • 管理員 將無法透過PowerShell追蹤或撤銷存取權,且使用者將無法再看到撤銷其 Office 應用程式 中的功能表選項。

提示

若要開啟追蹤並撤銷,請將 EnableTrackAndRevoke 設定True,同時執行 Enable-AipServiceDocumentTrackingFeature Cmdlet。

關閉使用者撤銷存取權的能力

如果您不希望終端用戶能夠從其 Office 應用程式 撤銷受保護檔的存取權,您可以從 Office 應用程式 中移除 [撤銷存取權] 選項。

注意

移除 [撤銷存取權] 選項會繼續在背景中追蹤受保護的檔,並保留系統管理員透過PowerShell撤銷檔存取權的能力。

若要從 Office 應用程式 移除 Revoke Access 選項,請將 EnableRevokeGuiSupport 進階客戶端設定設為 False

如需詳細資訊,請參閱使用者指南:使用 Azure 資訊保護 撤銷檔存取權。

下一步

如需詳細資訊,請參閱