管理員指南:使用舊版追蹤入口網站設定及使用 Rights Management Service 保護的檔追蹤

  • 發行項

注意

傳統 Azure 資訊保護檔追蹤網站僅支援傳統用戶端,而不是統一標籤用戶端。 如需詳細資訊,請參閱 已移除和已淘汰的服務

如需最新的指引,請參閱 追蹤和撤銷檔存取 權。

如果您有支援檔追蹤的訂用帳戶,則預設會為組織中的所有使用者啟用檔追蹤網站。 檔追蹤會提供使用者和系統管理員有關何時存取受保護檔的相關資訊,並在必要時撤銷追蹤的檔。

使用 PowerShell 管理檔追蹤網站

下列各節包含如何使用 PowerShell 管理檔追蹤網站的相關資訊。 如需 PowerShell 模組的安裝指示,請參閱 安裝 AIPService PowerShell 模組

如需每個 Cmdlet 的詳細資訊,請使用提供的連結。

檔追蹤網站的隱私權控制

如果因為隱私權需求而禁止在組織中顯示所有檔追蹤資訊,您可以使用 Disable-AipServiceDocumentTrackingFeature Cmdlet 來停用檔追蹤

此 Cmdlet 會停用檔追蹤網站的存取權,讓貴組織中的所有使用者無法追蹤或撤銷他們已保護之檔的存取權。 您可以使用 Enable-AipServiceDocumentTrackingFeature 重新啟用檔追蹤 ,而且您可以使用 Get-AipServiceDocumentTrackingFeature 檢查檔追蹤目前已啟用或停用

啟用檔追蹤網站時,預設會顯示資訊,例如嘗試存取受保護檔的人員的電子郵件地址、這些人嘗試存取這些檔,以及其位置。 此層級的資訊有助於判斷共用檔的使用方式,以及如果看到可疑活動,是否應該撤銷它們。 不過,基於隱私權考慮,您可能需要為部分或所有使用者停用此使用者資訊。

如果您有其他使用者不應該追蹤此活動的使用者,請將他們新增至儲存在 Microsoft Entra ID 中的群組,並使用 Set-AipServiceDoNotTrackUserGroup Cmdlet 指定此群組 。 當您執行此 Cmdlet 時,必須指定單一群組。 不過,群組可以包含巢狀群組。

針對這些群組成員,當使用者的活動與他們共用的檔相關時,就無法在檔追蹤網站上看到任何活動。 此外,不會將電子郵件通知傳送給共用檔的使用者。

當您使用此組態時,所有使用者仍然可以使用檔追蹤網站,並撤銷其受保護檔的存取權。 不過,他們看不到您使用 Set-AipServiceDoNotTrackUserGroup Cmdlet 所指定之使用者的活動。

此設定只會影響終端使用者。 Azure 資訊保護的 管理員istrators 一律可以追蹤所有使用者的活動,即使這些使用者是使用 Set-AipServiceDoNotTrackUserGroup 所指定。 如需系統管理員如何追蹤使用者檔的詳細資訊,請參閱 追蹤和撤銷使用者 的檔一節。

從檔追蹤網站記錄資訊

您可以使用下列 Cmdlet,從檔追蹤網站下載記錄資訊:

  • Get-AipServiceTrackingLog

    此 Cmdlet 會針對受保護檔(Rights Management 簽發者)或存取受保護檔之指定使用者,傳回受保護檔的追蹤資訊。 使用此 Cmdlet 來協助回答「指定使用者追蹤或存取哪些受保護的檔?」

  • Get-AipServiceDocumentLog

    此 Cmdlet 會傳回指定使用者所追蹤檔的保護資訊,前提是該使用者保護的檔(Rights Management 簽發者)或為檔的 Rights Management 擁有者,或受保護的檔已設定為直接授與使用者的存取權。 使用此 Cmdlet 來協助回答「檔如何為指定使用者保護?」

檔追蹤網站所使用的目的地 URL

下列 URL 用於檔追蹤,而且必須在執行 Azure 資訊保護 用戶端與網際網路的用戶端之間,允許在所有裝置和服務上。 例如,如果您使用 Internet Explorer 搭配增強式安全性,請將這些 URL 新增至防火牆,或新增至信任的網站。

  • https://*.azurerms.com

  • https://*.microsoftonline.com

  • https://*.microsoftonline-p.com

  • https://ecn.dev.virtualearth.net

這些 URL 是 Azure Rights Management 服務的標準,除了用於 Bing 地圖來顯示使用者位置的 virtualearth.net URL 之外。

追蹤和撤銷使用者的檔

當使用者登入檔追蹤網站時,他們可以使用 Azure 資訊保護 用戶端來追蹤和撤銷他們保護的檔。 當您以租使用者的 Microsoft Entra Global 管理員istrator 身分登入時,您可以按一下管理員圖示,以切換至管理員istrator 模式。 其他系統管理員角色不支援檔追蹤網站的此模式。

Admin icon in the document tracking site

管理員istrator 模式可讓您查看組織中使用者已選取使用 Azure 資訊保護 用戶端追蹤的檔。

注意

如果您沒有看到此圖示,儘管是全域管理員,這是因為您尚未自行共用任何檔。 在此情況下,請使用下列 URL 來存取檔追蹤網站: https://portal.azurerms.com/#/admin

您在管理員istrator 模式中採取的動作會稽核並記錄在使用量記錄檔中,您必須確認才能繼續。 如需此記錄的詳細資訊,請參閱下一節。

當您處於管理員istrator 模式時,您可以接著依使用者或檔進行搜尋。 如果您依使用者搜尋,您會看到指定使用者已選取使用 Azure 資訊保護 用戶端追蹤的所有檔。

如果您依檔搜尋,您會看到組織中使用 Azure 資訊保護 用戶端追蹤該檔的所有使用者。 然後,您可以鑽研搜尋結果,以追蹤使用者已保護的檔,並視需要撤銷這些檔。

若要離開管理員istrator 模式,請按一下 [結束系統管理員模式 ] 旁的 [X ]:

Exit administrator mode in the document tracking site

如需如何使用檔追蹤網站的指示,請參閱 從使用者指南追蹤和撤銷您的檔

使用 PowerShell 向檔追蹤網站註冊已標記的檔

若要能夠追蹤和撤銷檔,必須先向檔追蹤網站註冊檔。 當使用者在使用 Azure 資訊保護 用戶端時,從檔案總管或其Office 應用程式選取 [ 追蹤和撤銷 ] 選項時,就會發生此動作。

如果您使用 Set-AIPFileLabel Cmdlet 為使用者 標記及保護檔案,您可以使用 EnableTracking 參數向檔追蹤網站註冊檔案。 例如:

Set-AIPFileLabel -Path C:\Projects\ -LabelId ade72bf1-4714-4714-4714-a325f824c55a -EnableTracking

檔追蹤網站的使用量記錄

使用量記錄檔中的兩個欄位適用于檔追蹤: 管理員Action ActingAsUser

管理員Action - 當系統管理員在 管理員istrator 模式中使用檔追蹤網站時,此欄位的值為 true,例如,代表使用者撤銷檔,或查看共用時間。 當使用者登入檔追蹤網站時,此欄位是空的。

ActingAsUser - 當 [管理員Action] 欄位為 true 時,此欄位包含系統管理員代表搜尋使用者或檔擁有者的使用者名稱。 當使用者登入檔追蹤網站時,此欄位是空的。

也有要求類型可記錄使用者和系統管理員如何使用檔追蹤網站。 例如,當使用者或系統管理員代表使用者撤銷檔追蹤網站中的檔時, RevokeAccess 是要求類型。 將此要求類型與 [管理員Action] 欄位搭配使用,以判斷使用者是否撤銷了自己的檔(管理員Action 欄位是空的),還是系統管理員代表使用者撤銷檔(管理員Action 為 true)。

如需使用量記錄的詳細資訊,請參閱 記錄和分析 Azure 資訊保護的保護使用量

下一步

既然您已為 Azure 資訊保護 用戶端設定檔追蹤網站,請參閱下列資訊,以取得您可能需要支援此用戶端的其他資訊: