Příručka pro správce: sledování a odvolávání přístupu k dokumentům pomocí Azure Information Protection (Public Preview)Administrator Guide: Track and revoke document access with Azure Information Protection (Public preview)

*Platí pro: Azure Information Protection, Windows 10, Windows 8.1, Windows 8 **Applies to: Azure Information Protection, Windows 10, Windows 8.1, Windows 8*

*Relevantní pro: jenom klienta AIP Unified labeling. **Relevant for: AIP unified labeling client only.*

Pokud jste upgradovali na verzi 2.9.111.0 nebo novější, všechny chráněné dokumenty Office, které ještě nejsou zaregistrované pro sledování, se při příštím otevření prostřednictvím klienta AIP Unified labeling automaticky zaregistrují.If you've upgraded to version 2.9.111.0 or later, any protected Office documents that are not yet registered for tracking are automatically registered the next time they're opened via the AIP unified labeling client. Chráněné dokumenty jsou podporovány pro sledování a odvolání, i když nejsou označeny.Protected documents are supported for track and revoke, even if they are not labeled.

Registrace dokumentu ke sledování umožňuje Microsoft 365 globálním správcům sledovat podrobnosti přístupu, včetně úspěšných událostí přístupu a zamítnutých pokusů, a také odvolat přístup v případě potřeby.Registering a document for tracking enables Microsoft 365 global admins to track access details, including successful access events and denied attempts, as well as revoke access if needed.

Funkce sledování a odvolání pro sjednoceného klienta označování jsou momentálně ve verzi PREVIEW.Track and revoke features for the unified labeling client are currently in PREVIEW. Doplňkové podmínky Azure Preview zahrnují další právní podmínky, které se vztahují na funkce Azure, které jsou ve verzi beta, Preview nebo jinak ještě nedostupné ve všeobecné dostupnosti.The Azure Preview Supplemental Terms include additional legal terms that apply to Azure features that are in beta, preview, or otherwise not yet released into general availability.

Poznámka

Funkce sledování a odvolání se podporují jenom u typů souborů Office.Track and revoke features are supported for Office file types only.

Sledovat přístup k dokumentuTrack document access

Globální správci můžou sledovat přístup k chráněným dokumentům přes PowerShell pomocí ID obsahu generovaného pro chráněný dokument během registrace.Global admins can track access for protected documents via PowerShell using the ContentID generated for the protected document during registration.

Zobrazení podrobností přístupu k dokumentu:To view document access details:

K vyhledání podrobností o dokumentu, který chcete sledovat, použijte následující rutiny:Use the following cmdlets to find details for the document you want to track:

  1. Vyhledejte hodnotu v dokumentu, který chcete sledovat.Find the ContentID value for the document you want to track.

    Použijte příkaz Get-AipServiceDocumentLog k vyhledání dokumentu pomocí názvu souboru nebo e-mailové adresy uživatele, který ochranu použil.Use the Get-AipServiceDocumentLog to search for a document using the filename and/or the email address of the user who applied protection.

    Například;For example;

    Get-AipServiceDocumentLog -ContentName "test.docx" -Owner “alice@contoso.com” -FromTime "12/01/2020 00:00:00" -ToTime "12/31/2020 23:59:59"
    

    Tento příkaz vrátí hodnotu obsahu pro všechny odpovídající chráněné dokumenty, které jsou zaregistrovány pro sledování.This command returns the ContentID for all matching, protected documents that are registered for tracking.

    Poznámka

    Chráněné dokumenty jsou registrovány pro sledování, když jsou poprvé otevřeny na počítači s nainstalovaným jednotným klientem pro označování.Protected documents are registered for tracking when they are first opened on a machine with the unified labeling client installed. Pokud tento příkaz nevrátí ID obsahu vašeho chráněného souboru, otevřete ho na počítači s nainstalovaným jednotným klientem pro označování, který zaregistruje dokument ke sledování.If this command does not return the ContentID for your protected file, open it on a machine with the unified labeling client installed to register the document for tracking.

  2. Pomocí rutiny Get-AipServiceTrackingLog s dokumentem pro zobrazení dokumentu vraťte data sledování.Use the Get-AipServiceTrackingLog cmdlet with your document's ContentID to return your tracking data.

    Například:For example:

    Get-AipServiceTrackingLog -ContentId c03bf90c-6e40-4f3f-9ba0-2bcd77524b87
    

    Vrátí se data sledování, včetně e-mailů uživatelů, kteří se pokusili o přístup, ať už byl udělen nebo odepřen přístup, čas a datum pokusu a doména a místo, kde pokus o přístup vznikl.Tracking data is returned, including emails of users who attempted access, whether access was granted or denied, the time and date of the attempt, and the domain and location where the access attempt originated.

Odvolat přístup k dokumentu z PowerShelluRevoke document access from PowerShell

Globální správci můžou odvolat přístup k jakémukoli chráněnému dokumentu uloženému v místních sdílených složkách obsahu pomocí rutiny set-AIPServiceDocumentRevoked .Global admins can revoke access for any protected document stored in their local content shares, using the Set-AIPServiceDocumentRevoked cmdlet.

  1. Vyhledejte hodnotu v dokumentu, pro kterou chcete přístup odvolat.Find the ContentID value for the document you want to revoke access for.

    Použijte příkaz Get-AipServiceDocumentLog k vyhledání dokumentu pomocí názvu souboru nebo e-mailové adresy uživatele, který ochranu použil.Use the Get-AipServiceDocumentLog to search for a document using the filename and/or the email address of the user who applied protection.

    Například:For example:

    Get-AipServiceDocumentLog -ContentName "test.docx" -Owner “alice@contoso.com” -FromTime "12/01/2020 00:00:00" -ToTime "12/31/2020 23:59:59"
    

    Vrácená data obsahují hodnotu v dokumentu.The data returned includes the ContentID value for your document.

    Tip

    Pouze dokumenty, které byly chráněny a registrovány pro sledování , mají hodnotu.Only documents that have been protected and registered for tracking have a ContentID value.

    Pokud dokument nemá žádné ID obsahu, otevřete ho na počítači s nainstalovaným jednotným klientem pro označování, který zaregistruje soubor pro sledování.If your document has no ContentID, open it on a machine with the unified labeling client installed to register the file for tracking.

  2. K odvolání přístupu použijte set-AIPServiceDocumentRevoked s ID dokumentu.Use the Set-AIPServiceDocumentRevoked with your document's ContentID to revoke access.

    Například:For example:

    Set-AipServiceDocumentRevoked -ContentId 0e421e6d-ea17-4fdb-8f01-93a3e71333b8 -IssuerName testIssuer
    

Poznámka

Pokud je povolený přístup v režimu offline , uživatelé budou mít přístup k dokumentům, které byly odvolány, dokud nevyprší doba platnosti zásad offline.If offline access is allowed, users will continue to be able to access the documents that have been revoked until the offline policy period expires.

Tip

Uživatelé taky můžou odvolat přístup ke všem dokumentům, na kterých se ochrana nastavila přímo z nabídky citlivosti ve svých aplikacích Office.Users can also revoke access for any documents where they applied protection directly from the Sensitivity menu in their Office apps. Další informace najdete v tématu uživatelská příručka: odvolání přístupu k dokumentu pomocí Azure Information ProtectionFor more information, see User Guide: Revoke document access with Azure Information Protection

Zrušení odvolání přístupuUn-revoke access

Pokud jste omylem odvolali přístup k určitému dokumentu, použijte ke zrušení odvolání přístupu stejnou hodnotu v rámci rutiny clear-AipServiceDocumentRevoked .If you have accidentally revoked access to a specific document, use the same ContentID value with the Clear-AipServiceDocumentRevoked cmdlet to un-revoke the access.

Chcete-li použít rutinu clear-AipServiceDocumentRevoked , je nutné nejprve načíst AipService.dll.To use the Clear-AipServiceDocumentRevoked cmdlet, you must first load the AipService.dll.

Například:For example:

Import-Module -Name "C:\Program Files\WindowsPowerShell\Modules\AIPService\1.0.0.4\AipService.dll"
Clear-AipServiceDocumentRevoked -ContentId   0e421e6d-ea17-4fdb-8f01-93a3e71333b8 -IssuerName testIssuer

Uživateli, který jste definovali v parametru Issuer , je udělen přístup k dokumentu.Document access is granted to the user you defined in the IssuerName parameter.

Vypnutí funkcí sledování a odvolání pro vašeho tenantaTurn off track and revoke features for your tenant

Pokud potřebujete vypnout funkce sledování a odvolání pro vašeho tenanta, například pro požadavky na ochranu osobních údajů ve vaší organizaci nebo oblasti, proveďte následující kroky:If you need to turn off track and revoke features for your tenant, such as for privacy requirements in your organization or region, perform both of the following steps:

  1. Spusťte rutinu Disable-AipServiceDocumentTrackingFeature .Run the Disable-AipServiceDocumentTrackingFeature cmdlet.

  2. Nastavte rozšířené nastavení klienta EnableTrackAndRevoke na hodnotu false.Set the EnableTrackAndRevoke advanced client setting to False.

Sledování dokumentů a možnosti pro odvolání přístupu jsou pro vašeho tenanta vypnuté:Document tracking and options to revoke access are turned off for your tenant:

  • Otevírání chráněných dokumentů pomocí klienta AIP Unified labeling již neregistruje dokumenty pro sledování a odvolání.Opening protected documents with the AIP unified labeling client no longer registers the documents for track and revoke.
  • Protokoly přístupu se neukládají, pokud jsou otevřené chráněné dokumenty, které jsou už zaregistrované.Access logs are not stored when protected documents that are already registered are opened. Přístup k protokolům, které byly uloženy před vypnutím těchto funkcí, je stále k dispozici.Access logs that were stored before turning off these features are still available.
  • Správci nebudou moct sledovat nebo odvolávat přístup prostřednictvím PowerShellu a koncoví uživatelé už nebudou v aplikacích Office zobrazovat možnost odvolání nabídky.Admins will not be able to track or revoke access via PowerShell, and end-users will no longer see the Revoke menu option in their Office apps.

Tip

Pokud chcete zapnout sledování a odvolat se zpátky, nastavte EnableTrackAndRevoke na hodnotu true a také spusťte rutinu Enable-AipServiceDocumentTrackingFeature .To turn track and revoke back on, set the EnableTrackAndRevoke to True, and also run the Enable-AipServiceDocumentTrackingFeature cmdlet.

Vypnout možnost koncovým uživatelům odvolat přístupTurn off the ability for end-users to revoke access

Pokud nechcete, aby koncoví uživatelé měli možnost odvolat přístup k chráněným dokumentům z aplikací Office, můžete z aplikací Office odebrat volbu odvolat přístup .If you do not want end-users to have the ability to revoke access to protected documents from their Office apps, you can remove the Revoke Access option from your Office apps.

Poznámka

Když odeberete možnost odvolat přístup , budou chráněné dokumenty sledovány na pozadí a zůstane správce schopen odvolat přístup k dokumentům přes PowerShell.Removing the Revoke Access option continues to keep your protected documents tracked in the background, and retains the admin ability to revoke access to documents via PowerShell.

Pokud chcete odebrat možnost přístup k odvolání z aplikací Office, nastavte pro pokročilého klienta nastavení EnableRevokeGuiSupport na hodnotu false.To remove the Revoke Access option from Office apps, set the EnableRevokeGuiSupport advanced client setting to False.

Další informace najdete v tématu uživatelská příručka: odvolání přístupu k dokumentu pomocí Azure Information Protection (Public Preview).For more information, see User Guide: Revoke document access with Azure Information Protection (Public preview).

Další krokyNext steps

Další informace naleznete v tématu:For more information, see: