Guía del administrador: seguimiento y revocación del acceso a documentos con Azure Information Protection

*Se aplica a: Azure Information Protection, Windows 10, Windows 8.1, Windows 8 *

*Relevante para: solo cliente de etiquetado Unificado de AIP. *

El seguimiento de documentos proporciona información para los administradores sobre cuándo se tuvo acceso a un documento protegido. Si es necesario, tanto los administradores como los usuarios pueden revocar el acceso al documento para los documentos con seguimiento. Los documentos protegidos se admiten para el seguimiento y la revocación, aunque no estén etiquetados.

Si ha actualizado a la versión 2.9.111.0 o posterior, todos los documentos de Office protegidos que no se hayan registrado para el seguimiento se registrarán automáticamente la próxima vez que se abran a través del cliente de etiquetado Unificado de AIP. Los documentos protegidos se admiten para el seguimiento y la revocación, aunque no estén etiquetados.

El registro de un documento para el seguimiento permite a Microsoft 365 administradores globales realizar un seguimiento de los detalles de acceso, incluidos los eventos de acceso correctos y los intentos denegados, así como revocar el acceso si es necesario.

Nota

Las características de seguimiento y revocación solo se admiten para los tipos de archivo de Office.

Seguimiento del acceso a los documentos

Los administradores globales pueden realizar el seguimiento del acceso a los documentos protegidos a través de PowerShell mediante el uso de contentid generado para el documento protegido durante el registro.

Para ver los detalles de acceso al documento:

Use los cmdlets siguientes para buscar los detalles del documento del que desea realizar un seguimiento:

  1. Busque el valor contentid del documento del que desea realizar un seguimiento.

    Use Get-AipServiceDocumentLog para buscar un documento con el nombre de archivo o la dirección de correo electrónico del usuario que aplicó la protección.

    Por ejemplo:

    Get-AipServiceDocumentLog -ContentName "test.docx" -Owner “alice@contoso.com” -FromTime "12/01/2020 00:00:00" -ToTime "12/31/2020 23:59:59"
    

    Este comando devuelve el contentid para todos los documentos protegidos y coincidentes registrados para el seguimiento.

    Nota

    Los documentos protegidos se registran para el seguimiento cuando se abren por primera vez en un equipo con el cliente de etiquetado unificado instalado. Si este comando no devuelve el valor de ContentID del archivo protegido, ábralo en un equipo con el cliente de etiquetado unificado instalado para registrar el documento para su seguimiento.

  2. Use el cmdlet Get-AipServiceTrackingLog con los valores de contentid del documento para devolver los datos de seguimiento.

    Por ejemplo:

    Get-AipServiceTrackingLog -ContentId c03bf90c-6e40-4f3f-9ba0-2bcd77524b87
    

    Se devuelven los datos de seguimiento, incluidos los mensajes de correo electrónico de los usuarios que intentaron acceder, si se ha concedido o denegado el acceso, la fecha y la hora del intento, y el dominio y la ubicación donde se originó el intento de acceso.

Revocar el acceso a documentos desde PowerShell

Los administradores globales pueden revocar el acceso a cualquier documento protegido almacenado en sus recursos compartidos de contenido local, mediante el cmdlet set-AIPServiceDocumentRevoked .

  1. Busque el valor contentid del documento para el que desea revocar el acceso.

    Use Get-AipServiceDocumentLog para buscar un documento con el nombre de archivo o la dirección de correo electrónico del usuario que aplicó la protección.

    Por ejemplo:

    Get-AipServiceDocumentLog -ContentName "test.docx" -Owner “alice@contoso.com” -FromTime "12/01/2020 00:00:00" -ToTime "12/31/2020 23:59:59"
    

    Los datos devueltos incluyen el valor ContentID del documento.

    Sugerencia

    Solo los documentos que se han protegido y registrado para el seguimiento tienen un valor de contentid .

    Si el documento no tiene ningún contentid, ábralo en un equipo que tenga instalado el cliente de etiquetado unificado para registrar el archivo para su seguimiento.

  2. Utilice set-AIPServiceDocumentRevoked con contentid del documento para revocar el acceso.

    Por ejemplo:

    Set-AipServiceDocumentRevoked -ContentId 0e421e6d-ea17-4fdb-8f01-93a3e71333b8 -IssuerName testIssuer
    

Nota

Si se permite el acceso sin conexión , los usuarios seguirán teniendo acceso a los documentos que se han revocado hasta que expire el período de directiva sin conexión.

Sugerencia

Los usuarios también pueden revocar el acceso a los documentos en los que se ha aplicado la protección directamente desde el menú sensibilidad de las aplicaciones de Office. Para obtener más información, vea Guía del usuario: revocar el acceso a documentos con Azure Information Protection

Anulación de la revocación del acceso

Si ha revocado accidentalmente el acceso a un documento específico, use el mismo valor de contentid con el cmdlet Clear-AipServiceDocumentRevoked para anular la revocación del acceso.

Para usar el cmdlet Clear-AipServiceDocumentRevoked , primero debe cargar el AipService.dll.

Por ejemplo:

Import-Module -Name "C:\Program Files\WindowsPowerShell\Modules\AIPService\1.0.0.4\AipService.dll"
Clear-AipServiceDocumentRevoked -ContentId   0e421e6d-ea17-4fdb-8f01-93a3e71333b8 -IssuerName testIssuer

El acceso al documento se concede al usuario que definió en el parámetro IssuerName .

Desactivar el seguimiento y la revocación de características para el inquilino

Si necesita desactivar el seguimiento y revocar características para su inquilino, por ejemplo, para los requisitos de privacidad de su organización o región, realice los dos pasos siguientes:

  1. Ejecute el cmdlet Disable-AipServiceDocumentTrackingFeature .

  2. Establezca la configuración de cliente avanzado de EnableTrackAndRevoke en false.

El seguimiento de documentos y las opciones para revocar el acceso están desactivadas para el inquilino:

  • Al abrir documentos protegidos con el cliente de etiquetado Unificado de AIP ya no se registran los documentos para realizar el seguimiento y revocar.
  • Los registros de acceso no se almacenan cuando se abren los documentos protegidos que ya están registrados. Los registros de acceso que se almacenaron antes de desactivar estas características siguen estando disponibles.
  • Los administradores no podrán realizar un seguimiento ni revocar el acceso a través de PowerShell, y los usuarios finales ya no verán la opción de menú REVOKE en sus aplicaciones de Office.

Sugerencia

Para volver a activar el seguimiento y revocarlo, establezca EnableTrackAndRevoke en true y también ejecute el cmdlet enable-AipServiceDocumentTrackingFeature .

Desactivar la capacidad de los usuarios finales para revocar el acceso

Si no quiere que los usuarios finales tengan la capacidad de revocar el acceso a documentos protegidos desde sus aplicaciones de Office, puede quitar la opción revocar acceso de las aplicaciones de Office.

Nota

La eliminación de la opción de acceso REVOKE mantiene el seguimiento de los documentos protegidos en segundo plano y conserva la capacidad de administración de revocar el acceso a los documentos a través de PowerShell.

Para quitar la opción REVOKE Access de las aplicaciones de Office, establezca la configuración de cliente avanzado de EnableRevokeGuiSupport en false.

Para obtener más información, vea Guía del usuario: revocar el acceso a documentos con Azure Information Protection.

Pasos siguientes

Para más información, consulte: