文件追蹤可為管理員提供有關何時存取受保護文件的資訊。 如有必要,管理員和使用者都可以撤銷追蹤文件的文件存取權。
必須先註冊文件進行追蹤,管理員才能追蹤存取詳細資料,包括成功的存取事件和拒絕的嘗試,並視需要撤銷存取權。 請參閱下一節,以取得內建標籤的最低版本 Office 應用程式,以支援下次開啟檔案註冊。
注意事項
追蹤和撤銷功能僅支援 Office 檔案類型。
需求
使用功能資料表和文件追蹤和撤銷資料列來識別 Word、Excel 和 PowerPoint 的最低版本,這些版本會自動註冊受標籤保護的本機 Office 文件 (如果尚未註冊) 下次開啟時。
本文中的 PowerShell Cmdlet 會使用 AIPService PowerShell 模組,您可以從 PowerShell 資源庫安裝。 您必須先執行 Connect-AipService 以連線到租用戶,才能執行任何記載的 Cmdlet。
限制
追蹤和撤銷功能不支援受密碼保護的文件。
如果您將多個文件附加至電子郵件,然後保護電子郵件並傳送,則每個附件都會取得相同的 ContentID 值。 此 ContentID 值只會與已開啟的第一個檔案一起傳回。 搜尋其他附件不會傳回取得追蹤資料所需的 ContentID 值。
此外,撤銷其中一個附件的存取權也會撤銷同一受保護電子郵件中其他附件的存取權。
受系統管理員定義許可權保護且上傳至 SharePoint 或 OneDrive 的文件會遺失其 ContentID 值,而且無法追蹤或撤銷存取權。
如果使用者從 SharePoint 或 OneDrive 下載受管理員定義權限保護的檔案,則會將新的 ContentID 套用至檔。 使用原始 ContentID 值來追蹤資料,不會包含對使用者下載檔案執行的任何存取。 此外,根據原始 ContentID 值撤銷存取權不會撤銷任何已下載檔案的存取權。
如果管理員有權存取下載的檔案,他們可以使用 PowerShell 來識別文件的 ContentID 以進行追蹤和撤銷操作。
追蹤文件存取
系統管理員可以使用註冊期間針對受保護文件產生的 ContentID ,透過 PowerShell 追蹤受保護文件的存取權。
若要檢視文件存取詳細資料:
使用下列 Cmdlet 來尋找您要追蹤之文件的詳細資料:
尋找您要追蹤之文件的 ContentID 值。
使用 Get-AipServiceDocumentLog ,使用套用保護之使用者的檔名或電子郵件地址來搜尋檔。
例如;
Get-AipServiceDocumentLog -ContentName "test.docx" -Owner “alice@contoso.com” -FromTime "12/01/2020 00:00:00" -ToTime "12/31/2020 23:59:59"此命令會傳回所有已註冊追蹤之相符受保護文件的 ContentID 。
注意事項
受保護的文件會在第一次在支援檔案註冊的 Office 應用程式中開啟時註冊以進行追蹤。 如果此命令未傳回受保護檔案的 ContentID,請在 支援檔案註冊的 Office 應用程式中開啟它。
使用 Get-AipServiceTrackingLog Cmdlet 搭配文件的 ContentID 來傳回追蹤資料。
例如:
Get-AipServiceTrackingLog -ContentId c03bf90c-6e40-4f3f-9ba0-2bcd77524b87系統會傳回追蹤資料,包括嘗試存取的使用者的電子郵件、是否授予或拒絕存取、嘗試的時間和日期,以及存取嘗試的來源網域和位置。
撤銷來自 PowerShell 的文件存取權
系統管理員可以使用 Set-AIPServiceDocumentRevoked Cmdlet 撤銷儲存在其本機內容共用中的任何受保護檔的存取權。
注意事項
如果允許 離線存取 ,使用者將繼續能夠存取已撤銷的文件,直到離線原則期間到期為止。
尋找您要撤銷存取權之文件的 ContentID 值。
使用 Get-AipServiceDocumentLog ,使用套用保護之使用者的檔名或電子郵件地址來搜尋檔。
例如:
Get-AipServiceDocumentLog -ContentName "test.docx" -Owner “alice@contoso.com” -FromTime "12/01/2020 00:00:00" -ToTime "12/31/2020 23:59:59"傳回的資料包括文件的 ContentID 值。
提示
只有已受保護並註冊以進行追蹤的文件才具有 ContentID 值。 如果您的文件沒有 ContentID,請在 支援檔案註冊的 Office 應用程式中開啟它。
使用 Set-AIPServiceDocumentRevoked 搭配文件的 ContentID 來撤銷存取權。
例如:
Set-AipServiceDocumentRevoked -ContentId 0e421e6d-ea17-4fdb-8f01-93a3e71333b8 -IssuerName testIssuer
藉由使用 Office 應用程式中的 [敏感度] 功能表,使用者也可以撤銷他們保護之任何檔的存取權。
還原存取權
如果您不小心撤銷了特定檔的存取權,請搭配 Clear-AipServiceDocumentRevoked Cmdlet 使用相同的 ContentID 值來還原存取權。
例如:
Clear-AipServiceDocumentRevoked -ContentId 0e421e6d-ea17-4fdb-8f01-93a3e71333b8 -IssuerName testIssuer
文件存取權會授與您在 IssuerName 參數中定義的使用者。
關閉租用戶的追蹤和撤銷功能
如果您需要關閉租使用者的追蹤和撤銷功能,例如組織或區域中的隱私權需求,請執行 Disable-AipServiceDocumentTrackingFeature Cmdlet。
文件追蹤和撤銷存取權的選項已針對您的租用戶關閉:
- 開啟受保護的文件不再註冊文件以進行追蹤和撤銷。
- 開啟已註冊的受保護文件時,不會儲存存取記錄。 在關閉這些功能之前儲存的存取記錄仍然可用。
- 系統管理員將無法透過 PowerShell 追蹤或撤銷存取權,雖然終端使用者仍會在其 Office 應用程式中看到 [ 撤銷] 功能表選項,但網站會顯示一則訊息,指出其系統管理員已停用追蹤和撤銷。
如果您需要重新開啟追蹤和撤銷,請執行 Enable-AipServiceDocumentTrackingFeature Cmdlet。
從靈敏度菜單中刪除跟踪和撤銷選項
如果您需要從 Office 用戶端的敏感度功能表中移除 [追蹤 & 撤銷] 按鈕,請搭配 Set-LabelPolicy Cmdlet 使用 PowerShell 進階設定。
範例 PowerShell 命令:
Set-LabelPolicy -Identity Global -AdvancedSettings @{EnableRevokeGuiSupport="False"}