Guida Amministrazione istrator: Tenere traccia e revocare l'accesso ai documenti con Azure Information Protection
Nota
Si sta cercando Microsoft Purview Information Protection, in precedenza Microsoft Information Protection (MIP)?
Il componente aggiuntivo Azure Information Protection per Office è ora in modalità di manutenzione e verrà ritirato aprile 2024. È invece consigliabile usare le etichette integrate nelle app e nei servizi di Office 365, che supportano anche il rilevamento e la revoca dell'accesso ai documenti.
Il rilevamento dei documenti fornisce informazioni per gli amministratori, con il ruolo Azure Information Protection Amministrazione istrator o Azure Rights Management Global Amministrazione istrator, su quando è stato eseguito l'accesso a un documento protetto. Se necessario, sia gli amministratori che gli utenti possono revocare l'accesso ai documenti rilevati.
Nelle versioni 2.9.111.0 o successive, tutti i documenti di Office protetti non ancora registrati per il rilevamento vengono registrati automaticamente alla successiva apertura tramite il client di etichettatura unificata AIP. I documenti protetti sono supportati per tenere traccia e revocare, anche se non sono etichettati.
La registrazione di un documento per il rilevamento consente agli amministratori di tenere traccia dei dettagli di accesso, inclusi gli eventi di accesso riusciti e i tentativi negati, nonché revocare l'accesso, se necessario.
Nota
Le funzionalità di rilevamento e revoca sono supportate solo per i tipi di file di Office.
I documenti protetti sono supportati per tenere traccia e revocare, anche se non sono etichettati.
Tenere traccia dell'accesso ai documenti
Amministrazione possono tenere traccia dell'accesso ai documenti protetti tramite PowerShell usando ContentID generato per il documento protetto durante la registrazione.
Per visualizzare i dettagli di accesso ai documenti:
Usare i cmdlet seguenti per trovare i dettagli del documento da tenere traccia:
Trovare il valore ContentID per il documento da tenere traccia.
Usare Get-AipServiceDocumentLog per cercare un documento usando il nome file e/o l'indirizzo di posta elettronica dell'utente che ha applicato la protezione.
Per esempio;
Get-AipServiceDocumentLog -ContentName "test.docx" -Owner “alice@contoso.com” -FromTime "12/01/2020 00:00:00" -ToTime "12/31/2020 23:59:59"Questo comando restituisce il ContentID per tutti i documenti protetti corrispondenti registrati per il rilevamento.
Nota
I documenti protetti vengono registrati per il rilevamento quando vengono aperti per la prima volta in un computer con il client di etichettatura unificata installato. Se questo comando non restituisce il ContentID per il file protetto, aprirlo in un computer con il client di etichettatura unificata installato per registrare il documento per il rilevamento.
Usare il cmdlet Get-AipServiceTrackingLog con ContentID del documento per restituire i dati di rilevamento.
Ad esempio:
Get-AipServiceTrackingLog -ContentId c03bf90c-6e40-4f3f-9ba0-2bcd77524b87I dati di rilevamento vengono restituiti, inclusi i messaggi di posta elettronica degli utenti che hanno tentato di accedere, se l'accesso è stato concesso o negato, l'ora e la data del tentativo e il dominio e la posizione in cui è stato originato il tentativo di accesso.
Revocare l'accesso ai documenti da PowerShell
Amministrazione possono revocare l'accesso a qualsiasi documento protetto archiviato nelle condivisioni contenuto locali, usando Cmdlet Set-AIPServiceDocumentRevoked.
Trovare il valore ContentID per il documento per cui si vuole revocare l'accesso.
Usare Get-AipServiceDocumentLog per cercare un documento usando il nome file e/o l'indirizzo di posta elettronica dell'utente che ha applicato la protezione.
Ad esempio:
Get-AipServiceDocumentLog -ContentName "test.docx" -Owner “alice@contoso.com” -FromTime "12/01/2020 00:00:00" -ToTime "12/31/2020 23:59:59"I dati restituiti includono il valore ContentID per il documento.
Suggerimento
Solo i documenti protetti e registrati per il rilevamento hanno un valore ContentID .
Se il documento non dispone di ContentID, aprirlo in un computer con il client di etichettatura unificata installato per registrare il file per il rilevamento.
Usare Set-AIPServiceDocumentRevoked con ContentID del documento per revocare l'accesso.
Ad esempio:
Set-AipServiceDocumentRevoked -ContentId 0e421e6d-ea17-4fdb-8f01-93a3e71333b8 -IssuerName testIssuer
Nota
Se l'accesso offline è consentito, gli utenti continueranno a poter accedere ai documenti revocati fino alla scadenza del periodo di criteri offline.
Suggerimento
Gli utenti possono anche revocare l'accesso a tutti i documenti in cui hanno applicato la protezione direttamente dal menu Riservatezza nei propri app Office. Per altre informazioni, vedere User Guide: Revoke document access with Azure Information Protection (Manuale dell'utente: Revocare l'accesso ai documenti con Azure Information Protection)
Annullare la revoca dell'accesso
Se si è accidentalmente revocato l'accesso a un documento specifico, usare lo stesso valore ContentID con il cmdlet Clear-AipServiceDocumentRevoked per annullare l'accesso.
Per usare il cmdlet Clear-AipServiceDocumentRevoked , è prima necessario caricare il AipService.dll.
Ad esempio:
Import-Module -Name "C:\Program Files\WindowsPowerShell\Modules\AIPService\1.0.0.4\AipService.dll"
Clear-AipServiceDocumentRevoked -ContentId 0e421e6d-ea17-4fdb-8f01-93a3e71333b8 -IssuerName testIssuer
L'accesso ai documenti viene concesso all'utente definito nel parametro IssuerName .
Disattivare le funzionalità di rilevamento e revoca per il tenant
Se è necessario disattivare le funzionalità di rilevamento e revoca per il tenant, ad esempio per i requisiti di privacy nell'organizzazione o nell'area geografica, eseguire entrambi i passaggi seguenti:
Eseguire il cmdlet Disable-AipServiceDocumentTrackingFeature .
Impostare l'impostazione client avanzata EnableTrackAndRevoke su False.
Il rilevamento dei documenti e le opzioni per revocare l'accesso vengono disattivati per il tenant:
- L'apertura di documenti protetti con il client di etichettatura unificata AIP non registra più i documenti per tenere traccia e revocare.
- I log di accesso non vengono archiviati quando vengono aperti documenti protetti già registrati. I log di accesso archiviati prima di disattivare queste funzionalità sono ancora disponibili.
- Amministrazione non sarà più in grado di tenere traccia o revocare l'accesso tramite PowerShell e gli utenti finali non vedranno piùRevocare l'opzione di menu nelle app Office.
Suggerimento
Per attivare e revocare la traccia, impostare EnableTrackAndRevoke su True ed eseguire anche il cmdlet Enable-AipServiceDocumentTrackingFeature.
Disattivare la possibilità per gli utenti finali di revocare l'accesso
Se non si vuole che gli utenti finali abbiano la possibilità di revocare l'accesso ai documenti protetti dai propri app Office, è possibile rimuovere l'opzione Revoca accesso dai app Office.
Nota
La rimozione dell'opzione Revoca accesso continua a tenere traccia dei documenti protetti in background e mantiene la possibilità di revocare l'accesso ai documenti tramite PowerShell.
Per rimuovere l'opzione Revoca accesso da app Office s, impostare l'impostazione client avanzata EnableRevokeGuiSupport su False.
Per altre informazioni, vedere Manuale dell'utente: Revocare l'accesso ai documenti con Azure Information Protection.
Passaggi successivi
Per altre informazioni, vedi:
Commenti e suggerimenti
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedere https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per