Příručka pro správce: Konfigurace a použití sledování dokumentů pro Azure Information ProtectionAdmin Guide: Configuring and using document tracking for Azure Information Protection

Platí pro: Azure Information Protection, Windows 10, Windows 8.1, Windows 8, Windows 7 s SP1, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012, Windows Server 2008 R2Applies to: Azure Information Protection, Windows 10, Windows 8.1, Windows 8, Windows 7 with SP1, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012, Windows Server 2008 R2

Pokud máte předplatné, které podporuje sledování dokumentů, pro všechny uživatele ve vaší organizaci je ve výchozím nastavení povolený web pro sledování dokumentů.If you have a subscription that supports document tracking, the document tracking site is enabled by default for all users in your organization. Sledování dokumentů poskytuje uživatelům a správcům časové informace o přístupu k chráněnému dokumentu a v případě potřeby je možné sledovaný dokument odvolat.Document tracking provides information for users and administrators about when a protected document was accessed and if necessary, a tracked document can be revoked.

Použití Powershellu ke správě webu pro sledování dokumentůUsing PowerShell to manage the document tracking site

Následující části obsahují informace o tom, jak můžete spravovat pomocí prostředí PowerShell webu pro sledování dokumentů.The following sections contain information about how you can manage the document tracking site by using PowerShell. Pokyny k instalaci modulu prostředí PowerShell, najdete v části instalace modulu prostředí PowerShell AADRM.For installation instructions for the PowerShell module, see Installing the AADRM PowerShell module. Pokud jste modul stáhli a nainstalovali už dříve, zkontrolujte verzi spuštěním tohoto příkazu: (Get-Module aadrm –ListAvailable).VersionIf you have previously downloaded and installed the module, check the version number by running: (Get-Module aadrm –ListAvailable).Version

Další informace o každé rutiny pomocí odkazů uvedených.For more information about each of the cmdlets, use the links provided.

Ovládací prvky ochrany osobních údajů vašeho webu pro sledování dokumentůPrivacy controls for your document tracking site

Pokud je zobrazení všech informací o sledování dokumentů ve vaší organizaci zakázané kvůli požadavkům na ochranu osobních údajů, můžete sledování dokumentů zakázat pomocí rutiny Disable-AadrmDocumentTrackingFeature.If displaying all document tracking information is prohibited in your organization because of privacy requirements, you can disable document tracking by using the Disable-AadrmDocumentTrackingFeature cmdlet.

Tato rutina zakáže přístup k webu pro sledování dokumentů tak, aby žádní uživatelé ve vaší organizaci nemohli sledovat nebo odvolat přístup k dokumentům, u kterých nastavili ochranu.This cmdlet disables access to the document tracking site so that all users in your organization cannot track or revoke access to documents that they have protected. Sledování dokumentů můžete kdykoli znovu povolit pomocí rutiny Enable-AadrmDocumentTrackingFeature a rutina Get-AadrmDocumentTrackingFeature zase umožňuje zkontrolovat, jestli je sledování dokumentů zrovna povolené nebo zakázané.You can re-enable document tracking any time, by using the Enable-AadrmDocumentTrackingFeature, and you can check whether document tracking is currently enabled or disabled by using Get-AadrmDocumentTrackingFeature. Tyto rutiny spustit, pokud nemáte alespoň verze 2.3.0.0 AADRM modulu pro prostředí PowerShell.To run these cmdlets, you must have at least version 2.3.0.0 of the AADRM module for PowerShell.

Pokud je sledování dokumentů povolené, zobrazuje ve výchozím nastavení informace, jako jsou e-mailové adresy osob, které se pokusily získat přístup k chráněným dokumentům, kdy se tyto osoby pokusily o přístup k nim a jejich umístění.When the document tracking site is enabled, by default, it shows information such as the email addresses of the people who attempted to access the protected documents, when these people tried to access them, and their location. Tato úroveň informací může být užitečná k určení toho, jak se používají sdílené dokumenty a jestli se mají odvolat v případě podezřelých aktivit.This level of information can be helpful to determine how the shared documents are used and whether they should be revoked if suspicious activity is seen. Z důvodů ochrany osobních údajů však může být zapotřebí tyto informace o uživatelích zakázat pro některé nebo všechny uživatele.However, for privacy reasons, you might need to disable this user information for some or all users.

Pokud máte uživatele, kteří by neměl mít tato aktivita sledovat jinými uživateli, přidejte je do skupiny, která je uložená ve službě Azure AD, a zadejte tuto skupinu Set-AadrmDoNotTrackUserGroup rutiny.If you have users who should not have this activity tracked by other users, add them to a group that is stored in Azure AD, and specify this group with the Set-AadrmDoNotTrackUserGroup cmdlet. Při spuštění této rutiny musíte zadat jen jednu skupinu.When you run this cmdlet, you must specify a single group. Daná skupina však může obsahovat vnořené skupiny.However, the group can contain nested groups.

Pro tyto členy skupiny uživatelé neuvidí žádnou aktivitu na webu pro sledování při aktivity souvisí s dokumenty, které je sdílet s nimi dokumentů.For these group members, users cannot see any activity on the document tracking site when that activity is related to documents that they shared with them. Kromě toho se neodesílají žádná e-mailová oznámení uživateli, který dokument nasdílel.In addition, no email notifications are sent to the user who shared the document.

Při použití této konfigurace mohou všichni uživatelé stále používat web pro sledování dokumentů a odvolávat přístup k dokumentům, u kterých nastavili ochranu.When you use this configuration, all users can still use the document tracking site and revoke access to documents that they have protected. Nevidí ale aktivitu uživatelů, které jste zadali pomocí rutiny Set-AadrmDoNotTrackUserGroup.However, they do not see activity for the users who you have specified by using the Set-AadrmDoNotTrackUserGroup cmdlet.

Toto nastavení má vliv pouze koncovým uživatelům.This setting affects end users only. Správci pro Azure Information Protection můžete sledovat aktivity všech uživatelů, vždy, i v případě, že tito uživatelé zadávají pomocí Set-AadrmDoNotTrackUserGroup.Administrators for Azure Information Protection can always track activities of all users, even when those users are specified by using Set-AadrmDoNotTrackUserGroup. Další informace o tom, jak správci mohou sledovat dokumenty pro uživatele najdete v tématu sledování a odvolání dokumentů pro uživatele části.For more information about how administrators can track documents for users, see the Tracking and revoking documents for users section.

Protokolování informací z webu pro sledování dokumentůLogging information from the document tracking site

Pokud máte minimálně verze 2.13.0.0 AADRM modulu, můžete použít následující rutiny můžete stáhnout z webu pro sledování dokumentů informace o protokolování:When you have a minimum version of 2.13.0.0 for the AADRM module, you can use the following cmdlets to download logging information from the document tracking site:

  • Get-AadrmTrackingLogGet-AadrmTrackingLog

    Tato rutina vrátí informace o sledování o chráněné dokumenty pro zadaného uživatele, kteří chráněných dokumentů (Vystavitel Rights Management) nebo kdo měl přístup k chráněné dokumenty.This cmdlet returns tracking information about protected documents for a specified user who protected documents (the Rights Management issuer) or who accessed protected documents. Použijte tuto rutinu pro odpověď otázku "které chráněné dokumenty nebyla zadaného uživatele sledovat nebo přístup?"Use this cmdlet to help answer the question "Which protected documents did a specified user track or access?"

  • Get-AadrmDocumentLogGet-AadrmDocumentLog

    Tato rutina vrací ochrany informace o sledovaných dokumenty pro zadaného uživatele, pokud tento uživatel chráněných dokumentů (Vystavitel Rights Management), nebo byl vlastníka Rights Management pro dokumenty nebo chráněné dokumenty byly nakonfigurovány k udělení přístupu přímo na uživatele.This cmdlet returns protection information about the tracked documents for a specified user if that user protected documents (the Rights Management issuer) or was the Rights Management owner for documents, or protected documents were configured to grant access directly to the user. Použijte tuto rutinu pro odpověď otázku "Jak jsou dokumenty chráněné pro zadaného uživatele?"Use this cmdlet to help answer the question "How are documents protected for a specified user?"

Cílové adresy URL použité na webu pro sledování dokumentůDestination URLs used by the document tracking site

Následující adresy URL se používají pro sledování dokumentů a musí být povolené na všech zařízeních a ve všech službách mezi klienty, kteří používají klienta Azure Information Protection, a internetem.The following URLs are used for document tracking and must be allowed on all devices and services between the clients that run the Azure Information Protection client and the Internet. Tyto adresy URL například přidejte do bran firewall nebo mezi důvěryhodné servery, pokud používáte Internet Explorer s rozšířeným zabezpečením.For example, add these URLs to firewalls, or to your Trusted Sites if you're using Internet Explorer with Enhanced Security.

  • https://*.azurerms.com

  • https://*.microsoftonline.com

  • https://*.microsoftonline-p.com

  • https://ecn.dev.virtualearth.net

Tyto adresy URL jsou standardní pro službu Azure Rights Management, s výjimkou adresy URL virtualearth.net, která se používá v mapách Bing k zobrazení umístění uživatele.These URLs are standard for the Azure Rights Management service, with the exception of the virtualearth.net URL that is used for Bing maps to display the user location.

Sledování a odvolání dokumentu pro uživateleTracking and revoking documents for users

Když se uživatelé přihlásí k webu sledování dokumentů, můžou sledovat a odvolat dokumenty, které chránili pomocí klienta služby Azure Information Protection nebo sdíleli pomocí aplikace pro sdílení obsahu Microsoft Rights Management.When users sign in to the document tracking site, they can track and revoke documents that they have protected by using the Azure Information Protection client or shared by using the Rights Management sharing application. Když se přihlásíte jako správce pro službu Azure Information Protection (globální správce), můžete kliknutím na ikonu správce přepnout do režimu správce.When you sign in as an administrator for Azure Information Protection (global admin), you can click the Admin icon, which switches to Administrator mode. Tento režim vám umožní zobrazit dokumenty, které uživatelé ve vaší organizaci chtějí sledovat pomocí klienta Azure Information Protection nebo které sdíleli pomocí aplikace pro sdílení obsahu Rights Management:This mode lets you see the documents that users in your organization have selected to track by using the Azure Information Protection client, or shared by using the Rights Management sharing application:

Ikona správce na webu pro sledování dokumentů

Poznámka

Pokud nevidíte tuto ikonu, přestože jsou globální správce, je to, protože zatím nesdíleli žádné dokumenty sami.If you do not see this icon, despite being a global admin, it's because you haven't yet shared any documents yourself. V takovém případě použijte následující adresu URL pro přístup k webu pro sledování dokumentů: https://portal.azurerms.com/#/adminIn this case, use the following URL to access the document tracking site: https://portal.azurerms.com/#/admin

Akce, které provedete v režimu správce jsou auditovány a protokolovány v souborech protokolů použití a každou akci je nutné potvrdit.Actions that you take in Administrator mode are audited and logged in the usage log files, and you must confirm to continue. Další informace o tomto protokolování najdete v další části.For more information about this logging, see the next section.

Pokud jste v režimu správce, můžete vyhledávat podle uživatele nebo dokumentu.When you are in Administrator mode, you can then search by user or document. Pokud hledáte podle uživatele, uvidíte veškeré dokumenty, které daný uživatel vybral ke sledování pomocí klienta Azure Information Protection nebo sdílel pomocí aplikace pro sdílení obsahu Rights Management.If you search by user, you see all the documents that the specified user has selected to track by using the Azure Information Protection client, or shared by using the Rights Management sharing application.

Pokud hledáte podle dokumentu, uvidíte všechny uživatele ve vaší organizaci, kteří daný dokument sledovali pomocí klienta Azure Information Protection nebo sdíleli pomocí aplikace pro sdílení obsahu Rights Management.If you search by document, you see all the users in your organization who tracked that document by using the Azure Information Protection client, or shared by using the Rights Management sharing application. Pak můžete zobrazit podrobnosti výsledků hledání, sledovat dokumenty, které uživatelé chránili, a případně tyto dokumenty odvolat.You can then drill into the search results to track the documents that users have protected and revoke these documents, if necessary.

Když budete chtít režim správce ukončit, klikněte na tlačítko X vedle možnosti Ukončit režim správce:To leave the Administrator mode, click X next to Exit administrator mode:

Ukončení režimu správce na webu pro sledování dokumentů

Pokyny pro použití webu sledování dokumentů najdete v části Sledování a odvolávání dokumentů v uživatelské příručce.For instructions how to use the document tracking site, see Track and revoke your documents from the user guide.

Protokolování použití pro web sledování dokumentůUsage logging for the document tracking site

Ke sledování dokumentů se vztahují dvě pole v souborech protokolu použití: AdminAction a ActingAsUser.Two fields in the usage log files are applicable to document tracking: AdminAction and ActingAsUser.

AdminAction – Toto pole má hodnotu true, pokud správce používá web sledování dokumentů v režimu správce, například k odvolání dokumentu namísto uživatele nebo ke zjištění, kdy byl dokument sdílený.AdminAction - This field has a value of true when an administrator uses the document tracking site in Administrator mode, for example, to revoke a document on a user's behalf or to see when it was shared. Toto pole je prázdné, když se k webu sledování dokumentů přihlásí uživatel.This field is empty when a user signs in to the document tracking site.

ActingAsUser – Když má pole AdminAction hodnotu true, toto pole obsahuje jméno uživatele, jehož jménem správce provedl danou akci, tj. jako hledaný uživatel nebo vlastník dokumentu.ActingAsUser - When the AdminAction field is true, this field contains the user name that the administrator is acting on behalf of as the searched for user or document owner. Toto pole je prázdné, když se k webu sledování dokumentů přihlásí uživatel.This field is empty when a user signs in to the document tracking site.

Existují také typy požadavků, které protokolují, jak uživatelé a správci používají web sledování dokumentů.There are also request types that log how users and administrators are using the document tracking site. Například RevokeAccess je typ požadavku, který se zaznamená, když uživatel nebo správce jménem uživatele odvolá dokument na webu pro sledování dokumentů.For example, RevokeAccess is the request type when a user or an administrator on behalf of a user has revoked a document in the document tracking site. Tento typ požadavku můžete použít v kombinaci s polem AdminAction k určení, zda uživatel odvolal svůj vlastní dokument (pole AdminAction je prázdné), nebo zda dokument odvolal správce jménem uživatele (pole AdminAction je true).Use this request type in combination with the AdminAction field to determine whether the user revoked their own document (the AdminAction field is empty) or an administrator revoked a document on behalf of a user (the AdminAction is true).

Další informace o protokolování využití najdete v tématu Protokolování a analýza využití služby Azure Rights Management.For more information about usage logging, see Logging and analyzing usage of the Azure Rights Management service

Další krokyNext steps

Teď, když jste nakonfigurovali web pro sledování dokumentů pro klienta služby Azure Information Protection, si přečtěte následující informace, které byste mohli potřebovat pro podporu tohoto klienta:Now that you've configured the document tracking site for the Azure Information Protection client, see the following for additional information that you might need to support this client:

KomentářeComments

Před přidáním komentáře se podívejte na naše pravidla organizace.Before commenting, we ask that you review our House rules.