共用方式為

追蹤和撤銷檔存取

  • 發行項

檔案追蹤會為系統管理員提供有關何時存取受保護文件的資訊。 如有必要,系統管理員和使用者都可以撤銷追蹤檔的檔存取權。

必須先註冊檔以進行追蹤,系統管理員才能追蹤存取詳細數據,包括成功的存取事件和拒絕的嘗試,以及視需要撤銷存取權。 請參閱下一節以取得 Office 應用程式的最低版本,以取得下次開啟支援檔案註冊的內建標籤。

注意事項

追蹤和撤銷功能僅支援 Office 檔案類型。

需求

使用 功能數據表 和數據列 文件追蹤和撤銷 來識別 Word、Excel 和 PowerPoint 的最小版本,這些版本會在下次開啟) ,自動註冊受標籤保護的本機 Office 檔 (。

本文中的 PowerShell Cmdlet 使用 AIPService PowerShell 模組,您可以從 PowerShell 資源庫安裝此模組。 您必須先執行 Connect-AipService 以連線到您的租使用者,才能執行任何記載的 Cmdlet。

限制

  • 追蹤和撤銷功能不支援受密碼保護的檔。

  • 如果您將多份檔附加至電子郵件,然後保護電子郵件並傳送,則每個附件都會取得相同的 ContentID 值。 只有已開啟的第一個檔案才會傳回此 ContentID 值。 搜尋其他附件不會傳回取得追蹤數據所需的 ContentID 值。

    此外,撤銷其中一個附件的存取權也會撤銷相同受保護電子郵件中其他附件的存取權。

  • 使用上傳至 SharePoint 或 OneDrive 之系統管理員定義許可權保護的檔會遺失其 ContentID 值,且無法追蹤或撤銷存取權。

  • 如果使用者從 SharePoint 或 OneDrive 下載受系統管理員定義許可權保護的檔案,則會將新的 ContentID 套用至檔。 使用原始 ContentID 值來追蹤資料,將不會包含針對使用者下載的檔案執行的任何存取。 此外,根據原始 ContentID 值撤銷存取權,並不會撤銷任何已下載檔案的存取權。

    如果系統管理員可以存取下載的檔案,他們可以使用PowerShell來識別檔的 ContentID ,以追蹤和撤銷動作。

追蹤檔案存取

系統管理員可以使用在註冊期間為受保護文件產生的 ContentID ,透過 PowerShell 追蹤受保護檔的存取權。

若要檢視檔案存取詳細資料

使用下列 Cmdlet 來尋找您要追蹤的檔案的詳細資料:

  1. 尋找您想要追蹤之檔的 ContentID 值。

    使用 Get-AipServiceDocumentLog ,使用套用保護之用戶的檔名或電子郵件地址來搜尋檔。

    例如;

    Get-AipServiceDocumentLog -ContentName "test.docx" -Owner “alice@contoso.com” -FromTime "12/01/2020 00:00:00" -ToTime "12/31/2020 23:59:59"

    此命令會針對所有已註冊以進行追蹤的相符受保護文件,傳回 ContentID

    注意事項

    第一次在支援檔案註冊的 Office 應用程式中開啟受保護的檔時,會註冊以進行追蹤。 如果此命令未傳回受保護檔案的 ContentID,請在 支援檔案註冊的 Office 應用程式中開啟它。

  2. 使用 Get-AipServiceTrackingLog Cmdlet 搭配檔的 ContentID 來傳回追蹤數據。

    例如:

    Get-AipServiceTrackingLog -ContentId c03bf90c-6e40-4f3f-9ba0-2bcd77524b87

    系統會傳回追蹤數據,包括嘗試存取的用戶電子郵件、是否授與或拒絕存取權、嘗試的時間和日期,以及存取嘗試的來源網域和位置。

撤銷 PowerShell 的檔存取權

系統管理員可以使用 Set-AIPServiceDocumentRevoked Cmdlet 撤銷儲存在其本機內容共用中之任何受保護檔的存取權。

注意事項

如果允許 離線存取 ,使用者將能繼續存取已撤銷的檔,直到離線原則期間到期為止。

  1. 尋找您要撤銷其存取權之檔的 ContentID 值。

    使用 Get-AipServiceDocumentLog ,使用套用保護之用戶的檔名或電子郵件地址來搜尋檔。

    例如:

    Get-AipServiceDocumentLog -ContentName "test.docx" -Owner “alice@contoso.com” -FromTime "12/01/2020 00:00:00" -ToTime "12/31/2020 23:59:59"

    傳回的數據報含您檔的 ContentID 值。

    提示

    只有已保護並註冊以進行追蹤的檔才具有 ContentID 值。 如果您的文件沒有 ContentID,請在 支援檔案註冊的 Office 應用程式中開啟它。

  2. 使用 Set-AIPServiceDocumentRevoked 搭配檔的 ContentID 來撤銷存取權。

    例如:

    Set-AipServiceDocumentRevoked -ContentId 0e421e6d-ea17-4fdb-8f01-93a3e71333b8 -IssuerName testIssuer

使用者也可以在其 Office 應用程式中使用 [ 敏感度 ] 功能表,撤銷他們所保護之任何檔的存取權。

還原存取

如果您不小心撤銷了特定檔的存取權,請使用相同的 ContentID 值搭配 Clear-AipServiceDocumentRevoked Cmdlet 來還原存取權。

例如:

Clear-AipServiceDocumentRevoked -ContentId   0e421e6d-ea17-4fdb-8f01-93a3e71333b8 -IssuerName testIssuer

檔存取權會授與您在 IssuerName 參數中定義的使用者。

關閉租用戶的追蹤和撤銷功能

如果您需要關閉租用戶的追蹤和撤銷功能,例如組織或區域中的隱私權需求,請執行 Disable-AipServiceDocumentTrackingFeature Cmdlet。

針對您的租使用者,文件追蹤和撤銷存取權的選項已關閉:

  • 開啟受保護的檔不會再註冊追蹤和撤銷的檔。
  • 開啟已註冊的受保護檔時,不會儲存存取記錄。 關閉這些功能之前儲存的存取記錄仍可供使用。
  • 系統管理員將無法透過PowerShell追蹤或撤銷存取權,雖然使用者仍會在其 Office 應用程式中看到 [ 撤銷 ] 功能表選項,但網站會顯示一則訊息,指出其系統管理員已停用追蹤和撤銷。

如果您需要重新開啟追蹤和撤銷,請執行 Enable-AipServiceDocumentTrackingFeature Cmdlet。

從敏感度功能表中移除追蹤和撤銷選項

如果您需要從 Office 用戶端的敏感度功能表中移除 [追蹤 & 撤銷] 按鈕,請使用 PowerShell 進階設定搭配 Set-LabelPolicy Cmdlet。

範例 PowerShell 命令:

Set-LabelPolicy -Identity Global -AdvancedSettings @{EnableRevokeGuiSupport="False"}