Guide de l’administrateur : Configuration et utilisation du suivi des documents pour Azure Information ProtectionAdmin Guide: Configuring and using document tracking for Azure Information Protection

S’applique à : Azure Information Protection, Windows 10, Windows 8.1, Windows 8, Windows 7 avec SP1, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012, Windows Server 2008 R2Applies to: Azure Information Protection, Windows 10, Windows 8.1, Windows 8, Windows 7 with SP1, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012, Windows Server 2008 R2

Si votre abonnement prend en charge le suivi des documents, le site de suivi des documents est activé par défaut pour tous les utilisateurs de votre organisation.If you have a subscription that supports document tracking, the document tracking site is enabled by default for all users in your organization. Le suivi des documents fournit des informations pour les utilisateurs et administrateurs concernant les dates d’accès à un document protégé et, si nécessaire, un document suivi peut être révoqué.Document tracking provides information for users and administrators about when a protected document was accessed and if necessary, a tracked document can be revoked.

Utilisation de PowerShell pour gérer le site de suivi de documentsUsing PowerShell to manage the document tracking site

Les sections suivantes contiennent des informations sur la façon de gérer le site de suivi de documents à l’aide de PowerShell.The following sections contain information about how you can manage the document tracking site by using PowerShell. Pour connaître les instructions d'installation du module PowerShell, consultez Installation du module PowerShell AADRM.For installation instructions for the PowerShell module, see Installing the AADRM PowerShell module. Si vous avez précédemment téléchargé et installé le module, vérifiez le numéro de version en exécutant la commande suivante : (Get-Module aadrm –ListAvailable).VersionIf you have previously downloaded and installed the module, check the version number by running: (Get-Module aadrm –ListAvailable).Version

Pour plus d’informations sur chacune des applets de commande, utilisez les liens fournis.For more information about each of the cmdlets, use the links provided.

Contrôles de confidentialité de votre site de suivi de documentsPrivacy controls for your document tracking site

Si l’affichage de toutes les informations de suivi des documents est interdit dans votre organisation pour des raisons de confidentialité, vous pouvez désactiver le suivi des documents à l’aide de l’applet de commande Disable-AadrmDocumentTrackingFeature.If displaying all document tracking information is prohibited in your organization because of privacy requirements, you can disable document tracking by using the Disable-AadrmDocumentTrackingFeature cmdlet.

Cette applet de commande désactive l’accès au site de suivi de documents afin que tous les utilisateurs de votre organisation ne puissent pas effectuer le suivi ou révoquer l’accès à des documents qu’ils ont protégés.This cmdlet disables access to the document tracking site so that all users in your organization cannot track or revoke access to documents that they have protected. Vous pouvez réactiver le suivi des documents à tout moment en utilisant Enable-AadrmDocumentTrackingFeature et vérifier si le suivi des documents est actuellement activé ou désactivé à l’aide de Get-AadrmDocumentTrackingFeature.You can re-enable document tracking any time, by using the Enable-AadrmDocumentTrackingFeature, and you can check whether document tracking is currently enabled or disabled by using Get-AadrmDocumentTrackingFeature. Pour exécuter ces applets de commande, vous devez disposer au minimum de la version 2.3.0.0 du module AADRM pour PowerShell.To run these cmdlets, you must have at least version 2.3.0.0 of the AADRM module for PowerShell.

Lorsque le site de suivi des documents est activé, il fournit des informations telles que les adresses de messagerie des personnes qui ont tenté d'accéder aux documents protégés et indique quand ces personnes ont tenté d'y accéder, ainsi que leur emplacement.When the document tracking site is enabled, by default, it shows information such as the email addresses of the people who attempted to access the protected documents, when these people tried to access them, and their location. Ce niveau d’informations peut être utile pour déterminer comment les documents partagés sont utilisés et s’ils doivent être révoqués en cas d’activité suspecte.This level of information can be helpful to determine how the shared documents are used and whether they should be revoked if suspicious activity is seen. Toutefois, pour des raisons de confidentialité, vous devrez peut-être désactiver ces informations utilisateur pour une partie ou l’intégralité des utilisateurs.However, for privacy reasons, you might need to disable this user information for some or all users.

Si vous avez des utilisateurs pour lesquels cette activité ne doit pas être suivie par d’autres utilisateurs, ajoutez-les à un groupe qui est stocké dans Azure AD, et spécifiez ce groupe avec l’applet de commande Set-AadrmDoNotTrackUserGroup.If you have users who should not have this activity tracked by other users, add them to a group that is stored in Azure AD, and specify this group with the Set-AadrmDoNotTrackUserGroup cmdlet. Lorsque vous exécutez cette applet de commande, vous devez spécifier un groupe unique.When you run this cmdlet, you must specify a single group. Toutefois, le groupe peut contenir des groupes imbriqués.However, the group can contain nested groups.

Pour ces membres du groupe, les utilisateurs ne peuvent pas voir les activités sur le site de suivi du document lorsque cette activité est liée à des documents qu’ils partagent avec eux.For these group members, users cannot see any activity on the document tracking site when that activity is related to documents that they shared with them. En outre, aucune notification par e-mail n’est envoyée à l’utilisateur qui a partagé le document.In addition, no email notifications are sent to the user who shared the document.

Lorsque vous utilisez cette configuration, tous les utilisateurs peuvent toujours utiliser le site de suivi de documents et révoquer l’accès à des documents qu’ils ont protégés.When you use this configuration, all users can still use the document tracking site and revoke access to documents that they have protected. Toutefois, ils ne voient pas l’activité des utilisateurs que vous avez spécifiés à l’aide de l’applet de commande Set-AadrmDoNotTrackUserGroup.However, they do not see activity for the users who you have specified by using the Set-AadrmDoNotTrackUserGroup cmdlet.

Ce paramètre affecte uniquement les utilisateurs finaux.This setting affects end users only. Les administrateurs pour Azure Information Protection peuvent toujours suivre les activités de tous les utilisateurs, même lorsque ces utilisateurs sont spécifiés à l’aide de Set-AadrmDoNotTrackUserGroup.Administrators for Azure Information Protection can always track activities of all users, even when those users are specified by using Set-AadrmDoNotTrackUserGroup. Pour plus d’informations sur la façon dont les administrateurs peuvent suivre les documents pour les utilisateurs, consultez la section Suivi et révocation de documents pour les utilisateurs.For more information about how administrators can track documents for users, see the Tracking and revoking documents for users section.

Téléchargement des informations de journalisation à partir du site de suivi de documentsLogging information from the document tracking site

Si vous utilisez la version minimale 2.13.0.0 du module AADRM, vous pouvez utiliser les applets de commande suivantes pour télécharger les informations de journalisation à partir du site de suivi de documents :When you have a minimum version of 2.13.0.0 for the AADRM module, you can use the following cmdlets to download logging information from the document tracking site:

  • Get-AadrmTrackingLogGet-AadrmTrackingLog

    Cette applet de commande retourne les informations de suivi relatives aux documents protégés qu’un utilisateur spécifié a protégés (l’émetteur Rights Management) ou auxquels il a accédé.This cmdlet returns tracking information about protected documents for a specified user who protected documents (the Rights Management issuer) or who accessed protected documents. Utilisez cette applet de commande pour vous aider à répondre à la question « Quels documents protégés ont fait l’objet d’un suivi ou d’un accès par un utilisateur spécifié ? »Use this cmdlet to help answer the question "Which protected documents did a specified user track or access?"

  • Get-AadrmDocumentLogGet-AadrmDocumentLog

    Cette applet de commande retourne les informations sur la protection des documents suivis d’un utilisateur spécifié qui a protégé ces documents (l’émetteur Rights Management) ou qui en était le propriétaire Rights Management, ou des documents protégés ayant été configurés pour autoriser l’accès direct par l’utilisateur.This cmdlet returns protection information about the tracked documents for a specified user if that user protected documents (the Rights Management issuer) or was the Rights Management owner for documents, or protected documents were configured to grant access directly to the user. Utilisez cette applet de commande pour vous aider à répondre à la question « Comment les documents d’un utilisateur spécifié sont-ils protégés ? »Use this cmdlet to help answer the question "How are documents protected for a specified user?"

URL de destination utilisées par le site de suivi de documentsDestination URLs used by the document tracking site

Les URL suivantes sont utilisées pour le suivi des documents et doivent être autorisées sur tous les appareils et services entre les clients qui exécutent le client Azure Information Protection et Internet.The following URLs are used for document tracking and must be allowed on all devices and services between the clients that run the Azure Information Protection client and the Internet. Par exemple, ajoutez ces URL aux pare-feu ou à vos sites approuvés si vous utilisez Internet Explorer avec la sécurité renforcée.For example, add these URLs to firewalls, or to your Trusted Sites if you're using Internet Explorer with Enhanced Security.

  • https://*.azurerms.com

  • https://*.microsoftonline.com

  • https://*.microsoftonline-p.com

  • https://ecn.dev.virtualearth.net

Ces URL sont standard pour le service Azure Rights Management, à l’exception de l’URL virtualearth.net utilisée par les cartes Bing pour afficher l’emplacement de l’utilisateur.These URLs are standard for the Azure Rights Management service, with the exception of the virtualearth.net URL that is used for Bing maps to display the user location.

Suivi et révocation de documents pour les utilisateursTracking and revoking documents for users

Quand les utilisateurs se connectent au site de suivi des documents, ils peuvent suivre et révoquer des documents qu’ils ont protégés à l’aide du client Azure Information Protection, ou qu’ils ont partagés à l’aide de l’application de partage RMS.When users sign in to the document tracking site, they can track and revoke documents that they have protected by using the Azure Information Protection client or shared by using the Rights Management sharing application. Quand vous vous connectez en tant qu’administrateur général Azure AD pour votre abonné, vous pouvez cliquer sur l’icône Administrateur afin passer en mode Administrateur.When you sign in as an Azure AD global administrator for your tenant, you can click the Admin icon, which switches to Administrator mode. Les autres rôles d’administrateur ne prennent pas en charge ce mode pour le site de suivi de document.Other administrator roles do not support this mode for the document tracking site.

Icône Administrateur du site de suivi de document

Le mode administrateur vous permet d’afficher les documents que les utilisateurs de votre organisation ont choisi de suivre à l’aide du client Azure Information Protection, ou ceux qu’ils ont partagé à l’aide de l’application de partage Rights Management.The Administrator mode lets you see the documents that users in your organization have selected to track by using the Azure Information Protection client, or shared by using the Rights Management sharing application.

Note

Si vous ne voyez pas cette icône bien que vous soyez un administrateur général, cela signifie que vous n’avez pas encore partagé de documents.If you do not see this icon, despite being a global administrator, it's because you haven't yet shared any documents yourself. Dans ce cas, utilisez l’URL suivante pour accéder au site de suivi des documents : https://portal.azurerms.com/#/adminIn this case, use the following URL to access the document tracking site: https://portal.azurerms.com/#/admin

Les actions que vous prenez en mode Administrateur sont auditées et consignées dans les fichiers journaux d’utilisation, et vous devez confirmer pour continuer.Actions that you take in Administrator mode are audited and logged in the usage log files, and you must confirm to continue. Pour plus d’informations sur la journalisation, consultez la section suivante.For more information about this logging, see the next section.

Quand vous êtes en mode Administrateur, vous pouvez lancer une recherche par utilisateur ou par document.When you are in Administrator mode, you can then search by user or document. Si vous effectuez une recherche par utilisateur, vous affichez tous les documents que l’utilisateur spécifié a choisi de suivre à l’aide du client Azure Information Protection ou a partagé à l’aide de l’application de partage Rights Management.If you search by user, you see all the documents that the specified user has selected to track by using the Azure Information Protection client, or shared by using the Rights Management sharing application.

Si vous effectuez une recherche par document, vous affichez tous les utilisateurs de votre organisation qui ont suivi ce document à l’aide du client Azure Information Protection ou l’ont partagé à l’aide de l’application de partage Rights Management.If you search by document, you see all the users in your organization who tracked that document by using the Azure Information Protection client, or shared by using the Rights Management sharing application. Vous pouvez ensuite affiner les résultats de la recherche pour suivre les documents que les utilisateurs ont protégé et révoquer ces documents, si nécessaire.You can then drill into the search results to track the documents that users have protected and revoke these documents, if necessary.

Pour quitter le mode Administrateur, cliquez sur X en regard de Quitter le mode Administrateur :To leave the Administrator mode, click X next to Exit administrator mode:

Quitter le mode administrateur dans le site de suivi des documents

Pour obtenir des instructions sur l’utilisation du site de suivi des documents, consultez Suivre et révoquer vos documents dans le guide de l’utilisateur.For instructions how to use the document tracking site, see Track and revoke your documents from the user guide.

Journalisation de l’utilisation du site de suivi des documentsUsage logging for the document tracking site

Dans les fichiers journaux d’utilisation, deux champs s’appliquent au suivi des documents : AdminAction et ActingAsUser.Two fields in the usage log files are applicable to document tracking: AdminAction and ActingAsUser.

AdminAction Ce champ a la valeur True quand un administrateur utilise le site de suivi des documents en mode Administrateur, par exemple pour révoquer un document au nom d’un utilisateur ou pour voir quand il a été partagé.AdminAction - This field has a value of true when an administrator uses the document tracking site in Administrator mode, for example, to revoke a document on a user's behalf or to see when it was shared. Ce champ est vide quand un utilisateur se connecte au site de suivi des documents.This field is empty when a user signs in to the document tracking site.

ActingAsUser: Quand le champ AdminAction a la valeur True, ce champ contient le nom de l’utilisateur au nom duquel l’administrateur agit (comme propriétaire du document ou utilisateur recherché).ActingAsUser - When the AdminAction field is true, this field contains the user name that the administrator is acting on behalf of as the searched for user or document owner. Ce champ est vide quand un utilisateur se connecte au site de suivi des documents.This field is empty when a user signs in to the document tracking site.

Il existe également des types de demandes qui journalisent la façon dont les utilisateurs et les administrateurs utilisent le site de suivi des documents.There are also request types that log how users and administrators are using the document tracking site. Par exemple, RevokeAccess est le type de demande quand un utilisateur (ou un administrateur au nom d’un utilisateur) a révoqué un document dans le site de suivi des documents.For example, RevokeAccess is the request type when a user or an administrator on behalf of a user has revoked a document in the document tracking site. Utilisez ce type de demande conjointement avec le champ AdminAction pour déterminer si l’utilisateur a révoqué son propre document (le champ AdminAction est vide) ou si un administrateur a révoqué un document au nom d’un d’utilisateur (AdminAction a la valeur True).Use this request type in combination with the AdminAction field to determine whether the user revoked their own document (the AdminAction field is empty) or an administrator revoked a document on behalf of a user (the AdminAction is true).

Pour plus d’informations sur la journalisation de l’utilisation, consultez Journalisation et analyse de l’utilisation du service Azure Rights ManagementFor more information about usage logging, see Logging and analyzing usage of the Azure Rights Management service

Étapes suivantesNext steps

Maintenant que vous avez configuré le site de suivi des documents pour le client Azure Information Protection, consultez les éléments suivants pour des informations supplémentaires nécessaires à la prise en charge de ce client :Now that you've configured the document tracking site for the Azure Information Protection client, see the following for additional information that you might need to support this client:

CommentairesComments

Avant de transmettre vos commentaires, nous vous demandons de consulter notre règlement interne.Before commenting, we ask that you review our House rules.