文件追蹤為管理員提供有關受保護文件何時被存取的資訊。 如有需要,管理員與使用者皆可撤銷追蹤文件的存取權限。
文件必須先註冊以進行追蹤,管理員才能追蹤存取細節,包括成功存取事件與拒絕嘗試,並在必要時撤銷存取權。 請參考下一節,了解支援檔案註冊的 Office 應用程式的最低版本,下次開啟時會點。
注意事項
追蹤與撤銷功能僅支援 Office 檔案類型。
需求
使用功能表和文件追蹤與撤銷列,找出能自動註冊標籤保護本地 Office 文件的最低Word版本 (如果尚未註冊,) 下次開啟文件時。
本文中的 PowerShell 指令小程式使用 AIPService PowerShell 模組,你可以從 PowerShell 資源庫安裝。 你必須先執行 Connect-AipService 來連接你的租戶,才能執行任何文件中提到的指令。
限制
密碼保護的文件不支援追蹤與撤銷功能。
如果你在一封郵件上附加多份文件,然後保護郵件並寄出,每個附件都會獲得相同的 ContentID 值。 這個 ContentID 值只會在第一個被開啟的檔案中回傳。 搜尋其他附件不會回傳取得追蹤資料所需的 ContentID 值。
此外,撤銷其中一個附件的存取權,也會同時撤銷同一受保護郵件中其他附件的存取權限。
由管理員定義權限保護且上傳到 SharePoint 或 OneDrive 的文件會失去 其 ContentID 值,且存取權限無法被追蹤或撤銷。
如果使用者從 SharePoint 或 OneDrive 下載了受管理員定義權限保護的檔案,文件會套用新的 ContentID 。 使用原始 ContentID 值來追蹤資料,不會包含對使用者下載檔案所做的任何存取。 此外,根據原始 ContentID 值撤銷存取權,也不會撤銷任何已下載檔案的存取權。
如果管理員有下載檔案的存取權,他們可以使用 PowerShell 來識別文件的 ContentID ,以便追蹤並撤銷相關操作。
追蹤文件存取
管理員可透過 PowerShell 追蹤受保護文件的存取權限,使用註冊時產生的受保護文件 ContentID 。
欲查看文件存取詳情:
請使用以下 cmdlet 來查找你想追蹤的文件細節:
找到你想追蹤的文件的 ContentID 值。
使用 Get-AipServiceDocumentLog 搜尋文件,使用使用者的檔案名稱或電子郵件地址。
例如;
Get-AipServiceDocumentLog -ContentName "test.docx" -Owner "alice@contoso.com" -FromTime "12/01/2020 00:00:00" -ToTime "12/31/2020 23:59:59"此指令會回傳所有已註冊追蹤的匹配且受保護的文件的 ContentID 。
注意事項
受保護的文件在支援檔案註冊的 Office 應用程式中首次開啟時,就會被註冊追蹤。 如果這個指令沒有回傳受保護檔案的 ContentID,請用 支援檔案註冊的 Office 應用程式開啟它。
使用 Get-AipServiceTrackingLog 指令檔搭配文件的 ContentID 來回傳追蹤資料。
例如:
Get-AipServiceTrackingLog -ContentId c03bf90c-6e40-4f3f-9ba0-2bcd77524b87追蹤資料會回傳,包括嘗試存取使用者的電子郵件、是否被授權存取、嘗試的時間與日期,以及存取嘗試的網域與地點。
Revoke document access from PowerShell
管理員可使用 Set-AIPServiceDocumentRevoked 指令,撤銷儲存在本地內容分享中任何受保護文件的存取權。
注意事項
若允許 離線存取 ,使用者將持續存取已被撤銷的文件,直到離線政策期間結束。
找到你想撤銷存取權的文件的 ContentID 值。
使用 Get-AipServiceDocumentLog 搜尋文件,使用使用者的檔案名稱或電子郵件地址。
例如:
Get-AipServiceDocumentLog -ContentName "test.docx" -Owner "alice@contoso.com" -FromTime "12/01/2020 00:00:00" -ToTime "12/31/2020 23:59:59"回傳的資料包含你文件的 ContentID 值。
提示
只有經過保護並註冊追蹤的文件才會有 ContentID 值。 如果你的文件沒有 ContentID,請用 支援檔案註冊的 Office 應用程式開啟。
使用 Set-AIPServiceDocumentRevoked 與文件的 ContentID 一起撤銷存取權。
例如:
Set-AipServiceDocumentRevoked -ContentId 0e421e6d-ea17-4fdb-8f01-93a3e71333b8 -IssuerName testIssuer
透過使用 Office 應用程式中的 敏感度 選單,使用者也能撤銷他們所保護文件的存取權。
恢復存取權
如果你不小心撤銷了對特定文件的存取權,請使用相同的 ContentID 值搭配 Clear-AipServiceDocumentRevoked 指令檔來恢復存取權限。
例如:
Clear-AipServiceDocumentRevoked -ContentId 0e421e6d-ea17-4fdb-8f01-93a3e71333b8 -IssuerName testIssuer
文件存取權限會授予您在 IssuerName 參數中定義的使用者。
關閉租戶的追蹤並撤銷功能
如果你需要關閉租戶的追蹤與撤銷功能,例如因組織或地區的隱私需求,請執行 Disable-AipServiceDocumentTrackingFeature 指令檔。
租戶的紀錄追蹤及撤銷存取選項已關閉:
- 開啟受保護文件不再會將文件登記為追蹤與撤銷。
- 當已註冊的受保護文件被開啟時,存取日誌不會被儲存。 關閉這些功能前儲存的存取日誌仍然可用。
- 管理員無法透過 PowerShell 追蹤或撤銷存取權,雖然最終使用者仍能在 Office 應用程式中看到 撤銷 選單選項,但網站會顯示管理員已停用追蹤與撤銷的訊息。
如果你需要開啟追蹤並撤銷,請執行 Enable-AipServiceDocumentTrackingFeature 的 cmdlet。
從靈敏度選單中移除追蹤與撤銷選項
如果你需要移除 Office 用戶端敏感度選單中的「追蹤 & 撤銷」按鈕,請使用 PowerShell 進階設定搭配 Set-LabelPolicy 指令檔。
PowerShell 指令範例:
Set-LabelPolicy -Identity Global -AdvancedSettings @{EnableRevokeGuiSupport="False"}
Office 應用程式的最終使用者說明
請參閱 「追蹤並撤銷你檔案的存取權」。