Guide de l’administrateur : Configuration et utilisation du suivi des documents pour Azure Information ProtectionAdmin Guide: Configuring and using document tracking for Azure Information Protection

S’applique à : Services AD RMS (Active Directory Rights Management Services), Azure Information Protection, Windows 10, Windows 8.1, Windows 8, Windows 7 SP1, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012, Windows Server 2008 R2Applies to: Active Directory Rights Management Services, Azure Information Protection, Windows 10, Windows 8.1, Windows 8, Windows 7 with SP1, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012, Windows Server 2008 R2

Si votre abonnement prend en charge le suivi des documents, le site de suivi des documents est activé par défaut pour tous les utilisateurs de votre organisation.If you have a subscription that supports document tracking, the document tracking site is enabled by default for all users in your organization. Le suivi des documents fournit des informations pour les utilisateurs et administrateurs concernant les dates d’accès à un document protégé et, si nécessaire, un document suivi peut être révoqué.Document tracking provides information for users and administrators about when a protected document was accessed and if necessary, a tracked document can be revoked.

Contrôles de confidentialité de votre site de suivi de documentsPrivacy controls for your document tracking site

Si l’affichage de toutes les informations de suivi des documents est interdit dans votre organisation pour des raisons de confidentialité, vous pouvez désactiver le suivi des documents à l’aide de l’applet de commande Disable-AadrmDocumentTrackingFeature.If displaying all document tracking information is prohibited in your organization because of privacy requirements, you can disable document tracking by using the Disable-AadrmDocumentTrackingFeature cmdlet.

Cette applet de commande désactive l’accès au site de suivi de documents afin que tous les utilisateurs de votre organisation ne puissent pas effectuer le suivi ou révoquer l’accès à des documents qu’ils ont protégés.This cmdlet disables access to the document tracking site so that all users in your organization cannot track or revoke access to documents that they have protected. Vous pouvez réactiver le suivi des documents à tout moment en utilisant Enable-AadrmDocumentTrackingFeature et vérifier si le suivi des documents est actuellement activé ou désactivé à l’aide de Get-AadrmDocumentTrackingFeature.You can re-enable document tracking any time, by using the Enable-AadrmDocumentTrackingFeature, and you can check whether document tracking is currently enabled or disabled by using Get-AadrmDocumentTrackingFeature. Pour exécuter ces applets de commande, vous devez disposer au moins de la version 2.3.0.0 du module Azure Rights Management (AADRM) pour PowerShell.To run these cmdlets, you must have at least version 2.3.0.0 of the Azure Rights Management (AADRM) module for PowerShell.

Lorsque le site de suivi des documents est activé, il fournit des informations telles que les adresses de messagerie des personnes qui ont tenté d'accéder aux documents protégés et indique quand ces personnes ont tenté d'y accéder, ainsi que leur emplacement.When the document tracking site is enabled, by default, it shows information such as the email addresses of the people who attempted to access the protected documents, when these people tried to access them, and their location. Ce niveau d’informations peut être utile pour déterminer comment les documents partagés sont utilisés et s’ils doivent être révoqués en cas d’activité suspecte.This level of information can be helpful to determine how the shared documents are used and whether they should be revoked if suspicious activity is seen. Toutefois, pour des raisons de confidentialité, vous devrez peut-être désactiver ces informations utilisateur pour une partie ou l’intégralité des utilisateurs.However, for privacy reasons, you might need to disable this user information for some or all users.

Si vous avez des utilisateurs pour lesquels cette activité ne doit pas être suivie par d’autres utilisateurs, ajoutez-les à un groupe qui est stocké dans Azure AD, et spécifiez ce groupe avec l’applet de commande Set-AadrmDoNotTrackUserGroup.If you have users who should not have this activity tracked by other users, add them to a group that is stored in Azure AD, and specify this group with the Set-AadrmDoNotTrackUserGroup cmdlet. Lorsque vous exécutez cette applet de commande, vous devez spécifier un groupe unique.When you run this cmdlet, you must specify a single group. Toutefois, le groupe peut contenir des groupes imbriqués.However, the group can contain nested groups.

Pour ces membres du groupe, les utilisateurs ne peuvent pas voir les activités sur le site de suivi du document lorsque cette activité est liée à des documents qu’ils partagent avec eux.For these group members, users cannot see any activity on the document tracking site when that activity is related to documents that they shared with them. En outre, aucune notification par e-mail n’est envoyée à l’utilisateur qui a partagé le document.In addition, no email notifications are sent to the user who shared the document.

Lorsque vous utilisez cette configuration, tous les utilisateurs peuvent toujours utiliser le site de suivi de documents et révoquer l’accès à des documents qu’ils ont protégés.When you use this configuration, all users can still use the document tracking site and revoke access to documents that they have protected. Toutefois, ils ne voient pas l’activité des utilisateurs que vous avez spécifiés à l’aide de l’applet de commande Set-AadrmDoNotTrackUserGroup.However, they do not see activity for the users who you have specified by using the Set-AadrmDoNotTrackUserGroup cmdlet.

Ce paramètre affecte uniquement les utilisateurs finaux.This setting affects end users only. Les administrateurs pour Azure Information Protection peuvent toujours suivre les activités de tous les utilisateurs, même lorsque ces utilisateurs sont spécifiés à l’aide de Set-AadrmDoNotTrackUserGroup.Administrators for Azure Information Protection can always track activities of all users, even when those users are specified by using Set-AadrmDoNotTrackUserGroup. Pour plus d’informations sur la façon dont les administrateurs peuvent suivre les documents pour les utilisateurs, consultez la section Suivi et révocation de documents pour les utilisateurs.For more information about how administrators can track documents for users, see the Tracking and revoking documents for users section.

Vous pouvez utiliser Clear-AadrmDoNotTrackUserGroup si vous n’avez plus besoin de cette option.You can use the Clear-AadrmDoNotTrackUserGroup if you no longer need this option. Ou, pour supprimer sélectivement des utilisateurs, supprimez-les du groupe, mais attention à la mise en cache de groupe.Or to selectively remove users, remove them from the group, but be aware of group caching. Vous pouvez vérifier si cette option est actuellement en cours d’utilisation à l’aide de Get-AadrmDoNotTrackUserGroup.You can check whether this option is currently in use by using Get-AadrmDoNotTrackUserGroup. Pour exécuter les applets de commande pour cette configuration de groupe, vous devez disposer au moins de la version 2.10.0.0 du module Azure Rights Management (AADRM) pour PowerShell.To run the cmdlets for this group configuration, you must have at least version 2.10.0.0 of the Azure Rights Management (AADRM) module for PowerShell.

Pour plus d’informations sur chacune de ces applets de commande, utilisez les liens fournis.For more information about each of these cmdlets, use the links provided. Pour obtenir des instructions d’installation pour le module PowerShell, consultez Installation de Windows PowerShell pour Azure Rights Management.For installation instructions for the PowerShell module, see Installing Windows PowerShell for Azure Rights Management. Si vous avez précédemment téléchargé et installé le module, vérifiez le numéro de version en exécutant la commande suivante : (Get-Module aadrm –ListAvailable).VersionIf you have previously downloaded and installed the module, check the version number by running: (Get-Module aadrm –ListAvailable).Version

URL de destination utilisées par le site de suivi de documentsDestination URLs used by the document tracking site

Les URL suivantes sont utilisées pour le suivi des documents et doivent être autorisées sur tous les appareils et services entre les clients qui exécutent le client Azure Information Protection et Internet.The following URLs are used for document tracking and must be allowed on all devices and services between the clients that run the Azure Information Protection client and the Internet. Par exemple, ajoutez ces URL aux pare-feu ou à vos sites approuvés si vous utilisez Internet Explorer avec la sécurité renforcée.For example, add these URLs to firewalls, or to your Trusted Sites if you're using Internet Explorer with Enhanced Security.

  • https://*.azurerms.com

  • https://*.microsoftonline.com

  • https://*.microsoftonline-p.com

  • https://ecn.dev.virtualearth.net

Ces URL sont standard pour le service Azure Rights Management, à l’exception de l’URL virtualearth.net utilisée par les cartes Bing pour afficher l’emplacement de l’utilisateur.These URLs are standard for the Azure Rights Management service, with the exception of the virtualearth.net URL that is used for Bing maps to display the user location.

Suivi et révocation de documents pour les utilisateursTracking and revoking documents for users

Quand les utilisateurs se connectent au site de suivi des documents, ils peuvent suivre et révoquer des documents qu’ils ont protégés à l’aide du client Azure Information Protection, ou qu’ils ont partagés à l’aide de l’application de partage RMS.When users sign in to the document tracking site, they can track and revoke documents that they have protected by using the Azure Information Protection client or shared by using the Rights Management sharing application. Quand vous vous connectez comme administrateur pour Azure Information Protection (administrateur général), vous pouvez cliquer sur l’icône Administrateur pour passer en mode Administrateur.When you sign in as an administrator for Azure Information Protection (global admin), you can click the Admin icon, which switches to Administrator mode. Ce mode vous permet d’afficher les documents que les utilisateurs de votre organisation ont choisi de suivre à l’aide du client Azure Information Protection ou ont partagé à l’aide de l’application de partage Rights Management :This mode lets you see the documents that users in your organization have selected to track by using the Azure Information Protection client, or shared by using the Rights Management sharing application:

Icône Administrateur du site de suivi de document

Note

Si vous ne voyez pas cette icône, alors que vous êtes administrateur général, cela signifie que vous n’avez pas encore partagé de documents.If you do not see this icon, despite being a global admin, it's because you haven't yet shared any documents yourself. Dans ce cas, utilisez l’URL suivante pour accéder au site de suivi des documents : https://portal.azurerms.com/#/adminIn this case, use the following URL to access the document tracking site: https://portal.azurerms.com/#/admin

Les actions que vous prenez en mode Administrateur sont auditées et consignées dans les fichiers journaux d’utilisation, et vous devez confirmer pour continuer.Actions that you take in Administrator mode are audited and logged in the usage log files, and you must confirm to continue. Pour plus d’informations sur la journalisation, consultez la section suivante.For more information about this logging, see the next section.

Quand vous êtes en mode Administrateur, vous pouvez lancer une recherche par utilisateur ou par document.When you are in Administrator mode, you can then search by user or document. Si vous effectuez une recherche par utilisateur, vous affichez tous les documents que l’utilisateur spécifié a choisi de suivre à l’aide du client Azure Information Protection ou a partagé à l’aide de l’application de partage Rights Management.If you search by user, you see all the documents that the specified user has selected to track by using the Azure Information Protection client, or shared by using the Rights Management sharing application.

Si vous effectuez une recherche par document, vous affichez tous les utilisateurs de votre organisation qui ont suivi ce document à l’aide du client Azure Information Protection ou l’ont partagé à l’aide de l’application de partage Rights Management.If you search by document, you see all the users in your organization who tracked that document by using the Azure Information Protection client, or shared by using the Rights Management sharing application. Vous pouvez ensuite affiner les résultats de la recherche pour suivre les documents que les utilisateurs ont protégé et révoquer ces documents, si nécessaire.You can then drill into the search results to track the documents that users have protected and revoke these documents, if necessary.

Pour quitter le mode Administrateur, cliquez sur X en regard de Quitter le mode Administrateur :To leave the Administrator mode, click X next to Exit administrator mode:

Quitter le mode administrateur dans le site de suivi des documents

Pour obtenir des instructions sur l’utilisation du site de suivi des documents, consultez Suivre et révoquer vos documents dans le guide de l’utilisateur.For instructions how to use the document tracking site, see Track and revoke your documents from the user guide.

Journalisation de l’utilisation du site de suivi des documentsUsage logging for the document tracking site

Dans les fichiers journaux d’utilisation, deux champs s’appliquent au suivi des documents : AdminAction et ActingAsUser.Two fields in the usage log files are applicable to document tracking: AdminAction and ActingAsUser.

AdminAction Ce champ a la valeur True quand un administrateur utilise le site de suivi des documents en mode Administrateur, par exemple pour révoquer un document au nom d’un utilisateur ou pour voir quand il a été partagé.AdminAction - This field has a value of true when an administrator uses the document tracking site in Administrator mode, for example, to revoke a document on a user's behalf or to see when it was shared. Ce champ est vide quand un utilisateur se connecte au site de suivi des documents.This field is empty when a user signs in to the document tracking site.

ActingAsUser: Quand le champ AdminAction a la valeur True, ce champ contient le nom de l’utilisateur au nom duquel l’administrateur agit (comme propriétaire du document ou utilisateur recherché).ActingAsUser - When the AdminAction field is true, this field contains the user name that the administrator is acting on behalf of as the searched for user or document owner. Ce champ est vide quand un utilisateur se connecte au site de suivi des documents.This field is empty when a user signs in to the document tracking site.

Il existe également des types de demandes qui journalisent la façon dont les utilisateurs et les administrateurs utilisent le site de suivi des documents.There are also request types that log how users and administrators are using the document tracking site. Par exemple, RevokeAccess est le type de demande quand un utilisateur (ou un administrateur au nom d’un utilisateur) a révoqué un document dans le site de suivi des documents.For example, RevokeAccess is the request type when a user or an administrator on behalf of a user has revoked a document in the document tracking site. Utilisez ce type de demande conjointement avec le champ AdminAction pour déterminer si l’utilisateur a révoqué son propre document (le champ AdminAction est vide) ou si un administrateur a révoqué un document au nom d’un d’utilisateur (AdminAction a la valeur True).Use this request type in combination with the AdminAction field to determine whether the user revoked their own document (the AdminAction field is empty) or an administrator revoked a document on behalf of a user (the AdminAction is true).

Pour plus d’informations sur la journalisation de l’utilisation, consultez Journalisation et analyse de l’utilisation du service Azure Rights ManagementFor more information about usage logging, see Logging and analyzing usage of the Azure Rights Management service

Étapes suivantesNext steps

Maintenant que vous avez configuré le site de suivi des documents pour le client Azure Information Protection, consultez les éléments suivants pour des informations supplémentaires nécessaires à la prise en charge de ce client :Now that you've configured the document tracking site for the Azure Information Protection client, see the following for additional information that you might need to support this client:

CommentairesComments

Avant de transmettre vos commentaires, nous vous demandons de consulter notre règlement interne.Before commenting, we ask that you review our House rules.