Administratorhandbuch: Konfigurieren und Verwenden der Dokumentnachverfolgung für Azure Information Protection mit dem klassischen Client

Gilt für: Azure Information Protection, Windows 10, Windows 8.1, Windows 8, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012

Relevant für: Azure Information Protection klassischen Client für Windows. Informationen zum Client für einheitliche Bezeichnungen finden Sie im Clientadministratorhandbuch füreinheitliche Bezeichnungen.

Hinweis

Der klassische Azure Information Protection-Client und die Bezeichnungsverwaltung im Azure-Portal werden am 31. März 2021 eingestellt, um eine vereinheitlichte und optimierte Kundenumgebung zu gewährleisten. Für den klassischen Client wird keine weitere Unterstützung bereitgestellt, und Wartungsversionen werden nicht mehr veröffentlicht.

Der Inhalt dieses Artikels wird nur zur Unterstützung von Kunden mit erweitertem Support bereitgestellt. Es wird empfohlen, dass Sie zur einheitlichen Bezeichnung migrieren und ein Upgrade auf den Client für einheitliche Bezeichnungen durchführen. Weitere Informationen finden Sie in unserem jüngsten Blog zu veralteten Versionen.

Wenn Sie über ein Abonnement verfügen, das die Dokumentnachverfolgung und den klassischen AIP-Client unterstützt, ist die Website für die Dokumentnachverfolgung standardmäßig für alle Benutzer in Ihrer Organisation aktiviert. Durch die Dokumentkontrolle erhalten Benutzer und Administratoren Informationen dazu, wann auf ein geschütztes Dokument zugegriffen wird und ob ein nachverfolgtes Dokument ggf. gesperrt werden kann.

Verwalten der Website für die Dokumentnachverfolgung mithilfe von PowerShell

In den folgenden Abschnitten finden Sie Informationen dazu, wie Sie die Website für die Dokumentnachverfolgung mithilfe von PowerShell verwalten können. Installationsanweisungen für das PowerShell-Modul finden Sie unter Installieren des PowerShell-Moduls "AIPService".

Weitere Informationen zu den einzelnen Cmdlets finden Sie unter den angegebenen Links.

Steuerung des Datenschutzes für Ihre Website für die Dokumentkontrolle

Wenn das Anzeigen aller Dokumentnachverfolgungsinformationen in Ihrer Organisation aufgrund von Datenschutzanforderungen nicht zulässig ist, können Sie die Dokumentnachverfolgung mithilfe des Cmdlets Disable-AipServiceDocumentTrackingFeature deaktivieren.

Dieses Cmdlet deaktiviert den Zugriff auf die Website für die Dokumentkontrolle, damit keine Benutzer in Ihrer Organisation die von ihnen geschützten Dokumente nachverfolgen oder den Zugriff darauf widerrufen können. Sie können die Dokumentnachverfolgung jederzeit wieder aktivieren, indem Sie Enable-AipServiceDocumentTrackingFeatureverwenden, und Sie können mit Get-AipServiceDocumentTrackingFeatureüberprüfen, ob die Dokumentnachverfolgung derzeit aktiviert oder deaktiviert ist.

Wenn die Website für die Dokumentkontrolle aktiviert ist, werden standardmäßig bestimmte Informationen angezeigt. Hierzu zählen beispielsweise die E-Mail-Adressen der Personen, die versucht haben, auf geschützte Dokumente zuzugreifen, sowie der Zeitpunkt des Zugriffsversuchs und der Standort. Diese Informationen können hilfreich sein, um zu bestimmen, wie die freigegebenen Dokumente verwendet werden und ob sie bei verdächtigen Aktivitäten gesperrt werden sollen. Aus Datenschutzgründen müssen diese Benutzerinformationen allerdings unter Umständen für einige oder alle Benutzer deaktiviert werden.

Wenn Sie Benutzer haben, die diese Aktivität nicht von anderen Benutzern nachverfolgen sollten, fügen Sie sie einer Gruppe hinzu, die in Azure AD gespeichert ist, und geben Sie diese Gruppe mit dem Cmdlet Set-AipServiceDoNotTrackUserGroup an. Bei der Ausführung dieses Cmdlets darf nur eine einzelne Gruppe angegeben werden. Diese Gruppe kann allerdings geschachtelte Gruppen enthalten.

Anderen Benutzern werden auf der Website für die Dokumentkontrolle keine Aktivitäten für die Mitglieder dieser Gruppe angezeigt, wenn die Aktivitäten mit Dokumenten zusammenhängen, die für sie freigegeben wurden. Darüber hinaus werden keine E-Mail-Benachrichtigungen an den Benutzer gesendet, der das Dokument freigegeben hat.

Bei Verwendung dieser Konfiguration können alle Benutzer weiterhin die Website für die Dokumentkontrolle verwenden und den Zugriff auf die von ihnen geschützten Dokumente widerrufen. Sie sehen jedoch keine Aktivität für die Benutzer, die Sie mithilfe des Cmdlets Set-AipServiceDoNotTrackUserGroup haben.

Diese Einstellung gilt nur für Endbenutzer. Administratoren für Azure Information Protection können immer Aktivitäten aller Benutzer nachverfolgen, auch wenn diese Benutzer mithilfe von Set-AipServiceDoNotTrackUserGroup angegeben werden. Weitere Informationen dazu, wie Administratoren Dokumente für Benutzer nachverfolgen können, finden Sie im Abschnitt Nachverfolgen und Sperren von Dokumenten für Benutzer.

Protokollieren von Informationen aus der Website für die Dokumentnachverfolgung

Sie können die folgenden Cmdlets verwenden, um Protokollierungsinformationen von der Website für die Dokumentnachverfolgung herunterzuladen:

  • Get-AipServiceTrackingLog

    Dieses Cmdlet gibt Informationen zu geschützten Dokumenten für einen angegebenen Benutzer zurück, der Dokumente geschützt hat (Rights Management-Aussteller) oder der auf geschützte Dokumente zugegriffen hat. Mithilfe dieses Cmdlets können Sie die Frage beantworten, auf welche geschützten Dokumente ein bestimmter Benutzer zugegriffen und welche er nachverfolgt hat.

  • Get-AipServiceDocumentLog

    Dieses Cmdlet gibt Informationen zum Schutz der nachverfolgten Dokumente für einen bestimmten Benutzer zurück (Rights Management-Aussteller), falls dieser Benutzer Dokumente geschützt hat, Rights Management-Besitzer von Dokumenten war oder Dokumente geschützt hat, die so konfiguriert waren, dass dem Benutzer direkter Zugriff gewährt werden sollte. Mithilfe dieses Cmdlets können Sie die Frage beantworten, wie Dokumente für einen bestimmten Benutzer geschützt werden.

Von der Website für die Dokumentkontrolle verwendete Ziel-URLs

Die folgenden URLs werden für die Dokumentnachverfolgung verwendet und müssen auf allen Geräten und Diensten zwischen den Clients, auf denen der Azure Information Protection ausgeführt wird, und dem Internet zugelassen werden. Fügen Sie diese URLs beispielsweise Firewalls oder (bei Verwendung von Internet Explorer mit erhöhter Sicherheit) Ihren vertrauenswürdigen Websites hinzu.

  • https://*.azurerms.com

  • https://*.microsoftonline.com

  • https://*.microsoftonline-p.com

  • https://ecn.dev.virtualearth.net

Dies sind die Standard-URLs für den Azure Rights Management-Dienst. Einzige Ausnahme: virtualearth.net (wird bei Bing-Karten zum Anzeigen des Benutzerstandorts verwendet).

Nachverfolgen und Sperren von Dokumenten für Benutzer

Wenn sich Benutzer auf der Website zur Dokumentenverfolgung anmelden, können sie mithilfe des Azure Information Protection-Clients Dokumente nachverfolgen und sperren, die sie freigegeben haben. Wenn Sie sich für Ihren Mandanten als globaler Azure AD-Administrator anmelden, können Sie auf das Administratorsymbol klicken, um in den Administratormodus zu wechseln. Dieser Modus für die Website zum Nachverfolgen von Dokumenten wird von anderen Administratorrollen nicht unterstützt.

Administratorsymbol auf der Website für die Dokumentkontrolle

Im Administratormodus können Sie die Dokumente anzeigen, die von den Benutzern in Ihrer Organisation zum Nachverfolgen durch den Azure Information Protection-Client ausgewählt wurden.

Hinweis

Wenn Sie dieses Symbol nicht sehen, obwohl Sie über globale Administratorrechte verfügen, liegt das daran, dass Sie selbst noch keine Dokumente freigegeben haben. Verwenden Sie in diesem Fall die folgende URL, um auf die Website zur Dokumentenverfolgung zu gelangen: https://portal.azurerms.com/#/admin

Im Administratormodus ausgeführte Aktionen werden überwacht, in Verwendungsprotokolldateien protokolliert und müssen bestätigt werden, um den Vorgang fortsetzen zu können. Weitere Informationen zu dieser Protokollierung finden Sie im nächsten Abschnitt.

Im Administratormodus können Sie nach Benutzer oder nach Dokumente suchen. Wenn Sie nach Benutzer suchen, können Sie alle Dokumente anzeigen, die vom angegebenen Benutzer zum Nachverfolgen durch den Azure Information Protection-Client ausgewählt wurden.

Wenn Sie nach Dokument suchen, können Sie alle Benutzer in Ihrer Organisation anzeigen, die dieses Dokument durch den Azure Information Protection-Client nachverfolgt haben. Sie können die Suchergebnisse genauer untersuchen, um die Dokumente nachzuverfolgen, die Benutzer geschützt haben, und diese Dokumente ggf. sperren.

Klicken Sie neben Administratormodus beenden auf X, um den Administratormodus zu beenden:

Beenden des Administratormodus auf der Website für die Dokumentkontrolle

Eine Anleitung zur Verwendung der Website für die Dokumentkontrolle finden Sie unter Benutzerhandbuch: Nachverfolgen und Widerrufen Ihrer Dokumente bei Verwendung von Azure Information Protection.

Verwenden von PowerShell zum Registrieren von bezeichneten Dokumenten bei der Website zur Dokumentennachverfolgung

Zum Nachverfolgen und Widerrufen eines Dokuments muss es zunächst bei der Website zur Dokumentnachverfolgung registriert werden. Diese Aktion wird ausgeführt, wenn Benutzer bei Verwendung des Azure Information Protection-Clients im Datei-Explorer oder über ihre Office-Apps die Option Track and revoke (Verfolgen und widerrufen) auswählen.

Wenn Sie Dateien für Benutzer mit dem Cmdlet Set-AIPFileLabel bezeichnen und schützen, können Sie den Parameter EnableTracking verwenden, um die Dateien bei der Website zur Dokumentnachverfolgung zu registrieren. Beispiel:

Set-AIPFileLabel -Path C:\Projects\ -LabelId ade72bf1-4714-4714-4714-a325f824c55a -EnableTracking

Verwendungsprotokollierung für die Website für die Dokumentkontrolle

Für die Dokumentkontrolle sind zwei Felder in den Verwendungsprotokolldateien relevant: AdminAction und ActingAsUser.

AdminAction: Dieses Feld hat den Wert „true“, wenn ein Administrator die Website für die Dokumentkontrolle im Administratormodus verwendet, um beispielsweise ein Dokument im Auftrag eines Benutzers zu sperren oder um zu ermitteln, wann es freigegeben wurde. Wenn sich ein Benutzer bei der Website für die Dokumentkontrolle anmeldet, ist dieses Feld leer.

ActingAsUser: Wenn das Feld „AdminAction“ den Wert „true“ hat, enthält dieses Feld den Namen des Benutzers, in dessen Auftrag der Administrator als gesuchter Benutzer oder Besitzer des Dokuments handelt. Wenn sich ein Benutzer bei der Website für die Dokumentkontrolle anmeldet, ist dieses Feld leer.

Bei einigen Anforderungstypen wird auch protokolliert, wie Benutzer und Administratoren die Website für die Dokumentkontrolle verwenden. Der Anforderungstyp RevokeAccess wird beispielsweise verwendet, wenn ein Benutzer oder Administrator im Auftrag eines Benutzers ein Dokument auf der Website für die Dokumentkontrolle gesperrt hat. Verwenden Sie diesen Anforderungstyp in Kombination mit dem Feld „AdminAction“, um zu ermitteln, ob ein Benutzer sein eigenes Dokument gesperrt hat („AdminAction“ ist leer) oder ob ein Administrator ein Dokument im Namen eines Benutzers gesperrt hat („AdminAction“ hat den Wert „true“).

Weitere Informationen zur Verwendungsprotokollierung finden Sie unter Protokollierung und Analyse der Schutznutzung Azure Information Protection

Nächste Schritte

Sie haben nun die Website für die Dokumentkontrolle für den Azure Information Protection-Client konfiguriert. Unter den folgenden Links finden Sie zusätzliche Informationen, die Sie ggf. zur Unterstützung dieses Clients benötigen: