Guía del administrador: Configuración y uso del seguimiento de documentos para la protección de Rights Management Service con el portal de seguimiento heredado

Nota:

El sitio heredado de seguimiento de documentos de Azure Information Protection solo se admite para el cliente clásico y no para el cliente de etiquetado unificado. Para obtener más información, consulte Servicios eliminados y retirados.

Para obtener las instrucciones más recientes, consulte Seguimiento y revocación del acceso a documentos.

Si tiene una suscripción que admita el seguimiento de documentos, el sitio de seguimiento de documentos se habilita de forma predeterminada para todos los usuarios de la organización. El seguimiento de documentos proporciona información para los usuarios y administradores sobre cuándo se accedió a un documento protegido y, si es necesario, se puede revocar un documento sometido a seguimiento.

Uso de PowerShell para administrar el sitio de seguimiento de documentos

Las secciones siguientes contienen información sobre cómo puede administrar el sitio de seguimiento de documentos mediante PowerShell. Para obtener instrucciones de instalación para el módulo de PowerShell, consulte Instalación del módulo de PowerShell AIPService.

Para más información acerca de cada uno de estos cmdlets, use los vínculos proporcionados.

Controles de privacidad para el sitio de seguimiento de documentos

Si mostrar toda la información de seguimiento de documentos está prohibido en una organización debido a los requisitos de privacidad, puede deshabilitar el seguimiento con el cmdlet Disable-AipServiceDocumentTrackingFeature.

Este cmdlet deshabilita el acceso al sitio de seguimiento de documentos para que ningún usuario de la organización pueda realizar el seguimiento ni revocar el acceso a los documentos que se hayan protegido. Puede volver a habilitar el seguimiento de documentos en cualquier momento mediante Enable-AipServiceDocumentTrackingFeature y puede comprobar si el seguimiento de documentos está habilitado o deshabilitado actualmente mediante Get-AipServiceDocumentTrackingFeature.

Cuando el sitio de seguimiento de documentos está habilitado, de forma predeterminada, se muestra información como las direcciones de correo electrónico de las personas que intentaron acceder a los documentos protegidos, cuándo y su ubicación. Este nivel de información puede resultar útil para determinar cómo se usan los documentos compartidos y si se deben revocar en el caso de que se observe alguna actividad sospechosa. Sin embargo, por motivos de privacidad, es posible que tenga que deshabilitar esta información de usuario para algunos de los usuarios o para todos ellos.

Si tiene usuarios cuya actividad no debería ser seguida por otros, agréguelos a un grupo que se almacene en Microsoft Entra ID y especifique este grupo con el cmdlet Set-AipServiceDoNotTrackUserGroup. Cuando ejecute este cmdlet, debe especificar un único grupo. Sin embargo, el grupo puede contener grupos anidados.

Para estos miembros del grupo, los usuarios no pueden ver ninguna actividad en el sitio de seguimiento de documentos cuando esa actividad esté relacionada con los documentos que compartían con ellos. Además, no se envían notificaciones por correo electrónico al usuario que compartió el documento.

Cuando se usa esta configuración, todos los usuarios pueden seguir usando el sitio de seguimiento de documentos y revocar el acceso a los documentos que hayan protegido. Sin embargo, no verán la actividad de aquellos usuarios que haya especificado con el cmdlet Set-AipServiceDoNotTrackUserGroup.

Esta configuración solo afecta a los usuarios finales. Los administradores de Azure Information Protection siempre pueden hacer un seguimiento de las actividades de todos los usuarios, incluso cuando esos usuarios se especifican mediante el cmdlet Set-AipServiceDoNotTrackUserGroup. Para más información acerca de cómo los administradores pueden realizar un seguimiento de los documentos de los usuarios, consulte la sección Seguimiento y revocación de documentos de los usuarios sección.

Registro de información del sitio de seguimiento de documentos

Puede usar los siguientes cmdlets para descargar la información de registro del sitio de seguimiento de documentos:

  • Get-AipServiceTrackingLog

    Este cmdlet devuelve información de seguimiento de los documentos protegidos de un usuario especificado que protegió documentos (emisor de Rights Management) o a los que accedió a documentos protegidos. Use este cmdlet para responder a la pregunta "¿Qué documentos protegidos rastreó o a qué documentos accedió un usuario especificado?"

  • Get-AipServiceDocumentLog

    Este cmdlet devuelve información de protección sobre los documentos con seguimiento de un usuario especificado si ese usuario protegió documentos (el emisor de Rights Management) o si era el propietario de Rights Management para los documentos o los documentos protegidos se configuraron para conceder acceso directamente al usuario. Use este cmdlet para responder a la pregunta "¿Cómo están protegidos los documentos para un usuario especificado?"

Direcciones URL de destino que usa el sitio de seguimiento de documentos

Las siguientes direcciones URL se utilizan para el seguimiento de documentos y se deben permitir en todos los dispositivos y servicios entre los clientes que ejecutan el cliente de Azure Information Protection e Internet. Por ejemplo, agregue estas direcciones URL a los firewalls o a los sitios de confianza, si está usando Internet Explorer con seguridad mejorada.

  • https://*.azurerms.com

  • https://*.microsoftonline.com

  • https://*.microsoftonline-p.com

  • https://ecn.dev.virtualearth.net

Estas direcciones URL son estándar para el servicio Azure Rights Management, a excepción de virtualearth.net que se usa para que los mapas de Bing muestren la ubicación del usuario.

Seguimiento y revocación de documentos de los usuarios

Cuando los usuarios inician sesión en el sitio de seguimiento de documentos, pueden realizar un seguimiento y revocar los documentos que han protegido utilizando el cliente de Azure Information Protection. Cuando inicie sesión como administrador global de Microsoft Entra para su cuenta empresarial, puede hacer clic en el icono Admin, que cambia al modo Administrador. Otros roles de administrador no admiten este modo para el sitio de seguimiento de documentos.

Admin icon in the document tracking site

El modo Administrador le permite ver los documentos cuyo seguimiento han seleccionado los usuarios de su organización mediante el cliente Azure Information Protection.

Nota:

Si no ve este icono a pesar de ser un administrador global, es porque aún no ha compartido ningún documento. En este caso, utilice la siguiente dirección URL para acceder al sitio de seguimiento de documentos: https://portal.azurerms.com/#/admin

Las acciones que realiza en modo de administrador se auditan y registran en los archivos de registro de uso, y debe confirmar para continuar. Para más información sobre este registro, consulte la siguiente sección.

Cuando está en el modo de administrador, puede buscar por usuario o por documento. Si busca por usuario, verá todos los documentos que el usuario especificado ha seleccionado para rastrear mediante el cliente de Azure Information Protection.

Si busca por documento, verá todos los usuarios de su organización que han rastreado ese documento utilizando el cliente de Azure Information Protection. A continuación, puede profundizar en los resultados de la búsqueda para realizar un seguimiento de los documentos que los usuarios hayan protegido y revocar dichos documentos, si es necesario.

Para salir del modo de administrador, haga clic en X junto a Salir del modo de administrador:

Exit administrator mode in the document tracking site

Para obtener instrucciones acerca de cómo usar el sitio de seguimiento de documentos, consulte Seguimiento y revocación de documentos en el manual del usuario.

Uso de PowerShell para registrar documentos etiquetados con el sitio de seguimiento de documentos

Para poder realizar un seguimiento y revocar un documento, primero debe registrarse en el sitio de seguimiento de documentos. Esta acción se produce cuando los usuarios seleccionan la opción Seguimiento y revocación del Explorador de archivos o sus aplicaciones de Office cuando usan el cliente de Azure Information Protection.

Si etiqueta y protege archivos para los usuarios mediante el cmdlet Set-AIPFileLabel , puede usar el parámetro EnableTracking para registrar el archivo en el sitio de seguimiento de documentos. Por ejemplo:

Set-AIPFileLabel -Path C:\Projects\ -LabelId ade72bf1-4714-4714-4714-a325f824c55a -EnableTracking

Registro de uso para el sitio de seguimiento de documentos

Dos campos de los archivos de registro de uso son aplicables al seguimiento de documentos: AdminAction y ActingAsUser.

AdminAction: este campo tiene el valor true cuando un administrador usa el sitio de seguimiento de documentos en el modo de administrador, por ejemplo, para revocar un documento en nombre de un usuario o para ver cuándo se ha compartido. Este campo está vacío cuando un usuario inicia sesión en el sitio de seguimiento de documentos.

ActingAsUser: cuando el campo AdminAction es true, este campo contiene el nombre de usuario en nombre del que el administrador actúa, como la búsqueda del usuario o del propietario del documento. Este campo está vacío cuando un usuario inicia sesión en el sitio de seguimiento de documentos.

También hay tipos de solicitud que registran cómo los usuarios y administradores usan el sitio de seguimiento de documentos. Por ejemplo, RevokeAccess es el tipo de solicitud cuando un usuario o un administrador en nombre de un usuario ha revocado un documento en el sitio de seguimiento de documentos. Utilice este tipo de solicitud en combinación con el campo AdminAction para determinar si el usuario ha revocado su propio documento (el campo AdminAction está vacío) o si un administrador ha revocado un documento en nombre del usuario (el campo AdminAction es true).

Para más información acerca del registro de uso de claves para BYOK, consulte registro y análisis del uso de protección de Azure Information Protection.

Pasos siguientes

Ahora que ha configurado el sitio de seguimiento de documentos para el cliente de Azure Information Protection, consulte lo siguiente para obtener información adicional que podría necesitar para la compatibilidad con este cliente: