管理者ガイド: Azure Information Protection のドキュメント追跡の構成と使用Admin Guide: Configuring and using document tracking for Azure Information Protection

適用対象: Azure Information Protection、windows 10、Windows 8.1、windows 8、WINDOWS 7 SP1、windows server 2019、windows server 2016、windows Server 2012 R2、windows server 2012、windows Server 2008 r2Applies to: Azure Information Protection, Windows 10, Windows 8.1, Windows 8, Windows 7 with SP1, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012, Windows Server 2008 R2

手順: Windows 用の Azure Information Protection クライアントInstructions for: Azure Information Protection client for Windows

ドキュメント追跡をサポートするサブスクリプションがある場合、組織内のすべてのユーザーに対してドキュメント追跡サイトが既定で有効になっています。If you have a subscription that supports document tracking, the document tracking site is enabled by default for all users in your organization. ユーザーと管理者は、保護されたドキュメントにいつアクセスがあったのかをドキュメント追跡によって知ることができ、必要に応じて追跡対象のドキュメントへのアクセス権を取り消すことができます。Document tracking provides information for users and administrators about when a protected document was accessed and if necessary, a tracked document can be revoked.

PowerShell を使用したドキュメント追跡サイトの管理Using PowerShell to manage the document tracking site

次のセクションでは、PowerShell を使用してドキュメント追跡サイトを管理する方法について説明します。The following sections contain information about how you can manage the document tracking site by using PowerShell. PowerShell モジュールのインストール手順については、「 AIPService powershell モジュールのインストール」を参照してください。For installation instructions for the PowerShell module, see Installing the AIPService PowerShell module.

各コマンドレットの詳細については、各リンク先ページをご覧ください。For more information about each of the cmdlets, use the links provided.

ドキュメント追跡サイトのプライバシー管理Privacy controls for your document tracking site

プライバシー要件により、組織ですべてのドキュメント追跡情報を表示できない場合は、 disable-AipServiceDocumentTrackingFeatureコマンドレットを使用してドキュメント追跡を無効にすることができます。If displaying all document tracking information is prohibited in your organization because of privacy requirements, you can disable document tracking by using the Disable-AipServiceDocumentTrackingFeature cmdlet.

このコマンドレットは、組織内のすべてのユーザーが保護されたドキュメントへのアクセスを追跡したり取り消ししたりできないように、ドキュメント追跡サイトへのアクセスを無効にします。This cmdlet disables access to the document tracking site so that all users in your organization cannot track or revoke access to documents that they have protected. Enable-AipServiceDocumentTrackingFeatureを使用すると、いつでもドキュメント追跡を再度有効にできます。また、 Get AipServiceDocumentTrackingFeatureを使用して、ドキュメント追跡が現在有効になっているか無効になっているかを確認できます。You can re-enable document tracking any time, by using the Enable-AipServiceDocumentTrackingFeature, and you can check whether document tracking is currently enabled or disabled by using Get-AipServiceDocumentTrackingFeature.

ドキュメント追跡サイトを有効にすると、既定では、保護されたドキュメントにアクセスしようとしている人の電子メール アドレス、アクセスを試みた時刻、その人がいる位置情報などが示されます。When the document tracking site is enabled, by default, it shows information such as the email addresses of the people who attempted to access the protected documents, when these people tried to access them, and their location. このレベルの情報は、共有ドキュメントの使用方法を決めたり、不審なアクティビティが確認された際にアクセス権を取り消すべきかどうかを判断したりするのに役立ちます。This level of information can be helpful to determine how the shared documents are used and whether they should be revoked if suspicious activity is seen. ただし、このユーザー情報へのアクセス権は、プライバシー保護の観点から一部またはすべてのユーザーに対して無効にする必要がある場合もあります。However, for privacy reasons, you might need to disable this user information for some or all users.

このアクティビティが他のユーザーによって追跡されていないユーザーがいる場合は、Azure AD に格納されているグループにそのユーザーを追加し、 AipServiceDoNotTrackUserGroupコマンドレットでこのグループを指定します。If you have users who should not have this activity tracked by other users, add them to a group that is stored in Azure AD, and specify this group with the Set-AipServiceDoNotTrackUserGroup cmdlet. このコマンドレットを使用するときに指定できるグループは 1 つだけです。When you run this cmdlet, you must specify a single group. ただし、グループは入れ子構造にすることができます。However, the group can contain nested groups.

これらのグループ メンバーについては、ユーザーがグループ メンバーと共有したドキュメントに関連するアクティビティが発生した場合に、ドキュメント追跡サイトでユーザーがアクティビティを確認することはできません。For these group members, users cannot see any activity on the document tracking site when that activity is related to documents that they shared with them. また、ドキュメントを共有したユーザーには電子メール通知が送信されません。In addition, no email notifications are sent to the user who shared the document.

この構成を使用する場合、引き続きすべてのユーザーがドキュメント追跡サイトを使用でき、保護されたドキュメントへのアクセスを取り消すことができます。When you use this configuration, all users can still use the document tracking site and revoke access to documents that they have protected. ただし、AipServiceDoNotTrackUserGroup コマンドレットを使用して指定したユーザーのアクティビティは表示されません。However, they do not see activity for the users who you have specified by using the Set-AipServiceDoNotTrackUserGroup cmdlet.

この設定はエンド ユーザーのみに影響します。This setting affects end users only. Azure Information Protection の管理者は、AipServiceDoNotTrackUserGroup を使用してユーザーを指定した場合でも、常にすべてのユーザーのアクティビティを追跡できます。Administrators for Azure Information Protection can always track activities of all users, even when those users are specified by using Set-AipServiceDoNotTrackUserGroup. 管理者がユーザーのドキュメントを追跡する方法については、「ユーザーのドキュメントの追跡と取り消し」のセクションをご覧ください。For more information about how administrators can track documents for users, see the Tracking and revoking documents for users section.

ドキュメント追跡サイトからのログ情報Logging information from the document tracking site

ドキュメント追跡サイトからログ情報をダウンロードするには、次のコマンドレットを使用します。You can use the following cmdlets to download logging information from the document tracking site:

  • Get AipServiceTrackingLogGet-AipServiceTrackingLog

    このコマンドレットは、ドキュメントを保護した特定のユーザー (Rights Management の発行者) または保護されたドキュメントにアクセスしたユーザーの保護されたドキュメントに関する追跡情報を返します。This cmdlet returns tracking information about protected documents for a specified user who protected documents (the Rights Management issuer) or who accessed protected documents. このコマンドレットは、"指定したユーザーがどの保護されたドキュメントにアクセスまたは追跡したか?" という質問に回答するために役立ちます。Use this cmdlet to help answer the question "Which protected documents did a specified user track or access?"

  • Get-AipServiceDocumentLogGet-AipServiceDocumentLog

    このコマンドレットは、特定のユーザー (Rights Management の発行者) がドキュメントを保護したかドキュメントの Rights Management 所有者であった場合、または保護されたドキュメントがそのユーザーに直接アクセス権を付与するように構成された場合に、そのユーザーの追跡されるドキュメントに関する保護情報を返します。This cmdlet returns protection information about the tracked documents for a specified user if that user protected documents (the Rights Management issuer) or was the Rights Management owner for documents, or protected documents were configured to grant access directly to the user. このコマンドレットは、"指定されたユーザーに対してドキュメントをどのように保護するか?" という質問に回答するために役立ちます。Use this cmdlet to help answer the question "How are documents protected for a specified user?"

ドキュメント追跡サイトで使用される追跡先 URLDestination URLs used by the document tracking site

次の Url はドキュメント追跡に使用され、Azure Information Protection クライアントとインターネットを実行するクライアント間のすべてのデバイスとサービスで許可される必要があります。The following URLs are used for document tracking and must be allowed on all devices and services between the clients that run the Azure Information Protection client and the internet. たとえば、これらの URL をファイアウォールに追加します。あるいは、Internet Explorer でセキュリティ強化を使用している場合は信頼済みサイトに追加します。For example, add these URLs to firewalls, or to your Trusted Sites if you're using Internet Explorer with Enhanced Security.

  • https://*.azurerms.com

  • https://*.microsoftonline.com

  • https://*.microsoftonline-p.com

  • https://ecn.dev.virtualearth.net

これらの URL は、Bing マップでユーザーの位置情報を表示するために使用される virtualearth.net の URL を除き、Azure Rights Management サービスでは標準です。These URLs are standard for the Azure Rights Management service, with the exception of the virtualearth.net URL that is used for Bing maps to display the user location.

ユーザーのドキュメントの追跡と取り消しTracking and revoking documents for users

ユーザーは、ドキュメント追跡サイトにサインインすると、Azure Information Protection クライアントを使って保護しているドキュメント追跡したり取り消したりすることができます。When users sign in to the document tracking site, they can track and revoke documents that they have protected by using the Azure Information Protection client. テナントの Azure AD グローバル管理者としてサインインすると、[管理者] アイコンをクリックし、管理者モードに切り替えることができます。When you sign in as an Azure AD global administrator for your tenant, you can click the Admin icon, which switches to Administrator mode. その他の管理者ロールでは、このドキュメント追跡サイト用のモードはサポートされません。Other administrator roles do not support this mode for the document tracking site.

ドキュメント追跡サイトの [管理者] アイコン

管理者モードでは、組織内のユーザーが Azure Information Protection クライアントを使用して追跡することを選択したドキュメントを表示できます。The Administrator mode lets you see the documents that users in your organization have selected to track by using the Azure Information Protection client.

注意

グローバル管理者でもこのアイコンが表示されない場合は、まだドキュメントを共有していません。If you do not see this icon, despite being a global administrator, it's because you haven't yet shared any documents yourself. その場合、 https://portal.azurerms.com/#/admin の URL からドキュメント追跡サイトにアクセスします。In this case, use the following URL to access the document tracking site: https://portal.azurerms.com/#/admin

管理者モードで実行したアクションは監査され、使用状況ログ ファイルに記録されます。これを確認してから次に進む必要があります。Actions that you take in Administrator mode are audited and logged in the usage log files, and you must confirm to continue. このログ記録の詳細については、次のセクションを参照してください。For more information about this logging, see the next section.

管理者モードの場合、ユーザーまたはドキュメントを指定して検索できます。When you are in Administrator mode, you can then search by user or document. ユーザーを指定して検索すると、指定したユーザーが Azure Information Protection クライアントを使用して追跡することを選択したドキュメントを表示できます。If you search by user, you see all the documents that the specified user has selected to track by using the Azure Information Protection client.

ドキュメントを指定して検索すると、Azure Information Protection クライアントを使用してそのドキュメントを追跡した組織内のすべてのユーザーを表示できます。If you search by document, you see all the users in your organization who tracked that document by using the Azure Information Protection client. 検索結果を調べて、ユーザーが保護したドキュメントを追跡し、必要に応じてそのドキュメントを取り消すことができます。You can then drill into the search results to track the documents that users have protected and revoke these documents, if necessary.

管理者モードを終了するには、 [管理者モードを終了する] の横にある [X] をクリックします。To leave the Administrator mode, click X next to Exit administrator mode:

ドキュメント追跡サイトで管理者モードを終了する

ドキュメント追跡サイトを使用する手順については、ユーザー ガイドの「RMS 共有アプリケーションを使用してドキュメントを追跡および取り消す」を参照してください。For instructions how to use the document tracking site, see Track and revoke your documents from the user guide.

PowerShell を使ってドキュメント追跡サイトにラベル付きのドキュメントを登録するUsing PowerShell to register labeled documents with the document tracking site

ドキュメントを追跡および取り消しできるようにするためには、まずこれをドキュメント追跡サイトに登録する必要があります。To be able to track and revoke a document, it must first be registered with the document tracking site. ユーザーが Azure Information Protection クライアントを使っている場合、このアクションは、エクスプローラーまたは各 Office アプリの [追跡と取り消し] オプションを選択すると発生します。This action occurs when users select the Track and revoke option from File Explorer or their Office apps when they use the Azure Information Protection client.

Set-AIPFileLabel コマンドレットを使ってユーザーのファイルにラベルを付けて保護する場合、EnableTracking パラメーターを使ってドキュメント追跡サイトにファイルを登録できます。If you label and protect files for users by using the Set-AIPFileLabel cmdlet, you can use the EnableTracking parameter to register the file with the document tracking site. たとえば、次のようになります。For example:

Set-AIPFileLabel -Path C:\Projects\ -LabelId ade72bf1-4714-4714-4714-a325f824c55a -EnableTracking

ドキュメント追跡サイトの使用状況のログ記録Usage logging for the document tracking site

使用状況ログ ファイルの 2 つのフィールド AdminActionActingAsUser は、ドキュメント追跡に適用できます。Two fields in the usage log files are applicable to document tracking: AdminAction and ActingAsUser.

AdminAction - このフィールドは、管理者が管理者モードでドキュメント追跡サイトを使用した場合 (たとえば、ユーザーの代理でドキュメントを取り消した場合や、ドキュメントが共有された時間を確認した場合) に true になります。AdminAction - This field has a value of true when an administrator uses the document tracking site in Administrator mode, for example, to revoke a document on a user's behalf or to see when it was shared. ユーザーがドキュメント追跡サイトにサインインすると、このフィールドは空になります。This field is empty when a user signs in to the document tracking site.

ActingAsUser - AdminAction フィールドが true の場合、このフィールドには、検索したユーザーまたはドキュメント所有者の代理で管理者が操作しているユーザー名が含まれます。ActingAsUser - When the AdminAction field is true, this field contains the user name that the administrator is acting on behalf of as the searched for user or document owner. ユーザーがドキュメント追跡サイトにサインインすると、このフィールドは空になります。This field is empty when a user signs in to the document tracking site.

また、ユーザーと管理者がドキュメント追跡サイトを使用する方法をログに記録する要求の種類もあります。There are also request types that log how users and administrators are using the document tracking site. たとえば、RevokeAccess は、ユーザーまたはユーザーの代理の管理者が、ドキュメント追跡サイトでドキュメントを取り消した場合の要求の種類です。For example, RevokeAccess is the request type when a user or an administrator on behalf of a user has revoked a document in the document tracking site. この要求の種類と AdminAction フィールドを組み合わせて、ユーザーが自分のドキュメントを取り消したか (AdminAction フィールドが空)、管理者がユーザーの代理でドキュメントを取り消したか (AdminAction が true) を判断できます。Use this request type in combination with the AdminAction field to determine whether the user revoked their own document (the AdminAction field is empty) or an administrator revoked a document on behalf of a user (the AdminAction is true).

使用状況ログの詳細については、「 Azure Information Protection からの保護の使用状況のログと分析」を参照してください。For more information about usage logging, see Logging and analyzing the protection usage from Azure Information Protection

次のステップNext steps

Azure Information Protection クライアント用にドキュメント追跡サイトを構成した後は、このクライアントのサポートに必要な追加情報を以下の記事でご覧ください。Now that you've configured the document tracking site for the Azure Information Protection client, see the following for additional information that you might need to support this client: