管理 ガイド: レガシー追跡ポータルを使用した Rights Management Service 保護のドキュメント追跡を構成して使用します

  • [アーティクル]

Note

従来の Azure Information Protection ドキュメント追跡サイトは、クラシック クライアントでのみサポートされており、統合ラベル付けクライアントではサポートされません。 詳細については、「削除されたサービスと廃止されたサービス」を参照してください。

最新のガイダンスについては、「ドキュメント アクセスを追跡して取り消す」を参照してください

ドキュメント追跡をサポートするサブスクリプションがある場合、既定では組織内のすべてのユーザーを対象にドキュメント追跡サイトが有効になります。 ドキュメント追跡では、保護されたドキュメントがアクセスされた日時についてユーザーおよび管理者に情報を提供します。ドキュメント追跡は必要に応じて取り消すこともできます。

PowerShell を使用してドキュメント追跡サイトを管理する 

次のセクションには、PowerShell を使用してドキュメント追跡サイトを管理する方法に関する情報が含まれます。 PowerShell モジュールのインストール手順については、「AIPService PowerShell モジュールのインストール」を参照してください。

これらのコマンドレットに関する詳細については、提供されたリンクを使用します。

ドキュメント追跡サイトのプライバシー管理

プライバシーに関する要件により、ドキュメント追跡情報の表示が組織内で禁止されている場合は、Disable-AipServiceDocumentTrackingFeature コマンドレットを使用すると、ドキュメント追跡を無効にすることができます。

このコマンドレットは、組織内のすべてのユーザーが保護されたドキュメントへのアクセスを追跡したり取り消ししたりできないように、ドキュメント追跡サイトへのアクセスを無効にします。 ドキュメント追跡は、Enable-AipServiceDocumentTrackingFeature を実行することで、いつでも再度有効にすることができます。また、Get-AipServiceDocumentTrackingFeature を実行すると、現在ドキュメント追跡が有効または無効のどちらになっているかを確認することができます。

ドキュメント追跡サイトを有効にすると、既定では、保護されたドキュメントにアクセスしようとしている人の電子メール アドレス、アクセスを試みた日時、その人がいる位置などの情報が表示されます。 このレベルの情報は、共有ドキュメントの使用方法を決めたり、不審なアクティビティが確認された際にアクセス権を取り消すべきかどうかを判断したりするのに役立ちます。 ただし、このユーザー情報へのアクセス権は、プライバシー保護の観点から一部またはすべてのユーザーに対して無効にする必要がある場合もあります。

他のユーザーにアクティビティの追跡を許可するべきでないユーザーがいる場合、Azure AD に保存されているグループにそのようなユーザーを追加し、Set-AipServiceDoNotTrackUserGroup コマンドレットでこのグループを指定します。 このコマンドレットを実行するとき、指定できるグループは 1 つだけです。 ただし、グループは入れ子構造にすることができます。

これらのグループ メンバーについて、ユーザーは、ドキュメント追跡サイトに対するアクティビティが共有ドキュメントに関連している場合、そのアクティビティを表示できません。 さらに、ドキュメントを共有するユーザーに電子メール通知は送信されません。

この構成を使用する場合、引き続きすべてのユーザーがドキュメント追跡サイトを使用でき、保護されたドキュメントへのアクセスを取り消すことができます。 ただし、Set-AipServiceDoNotTrackUserGroup コマンドレットを使用して指定したユーザーのアクティビティは、確認することができません。

この設定では、エンド ユーザーのみに影響します。 Azure Information Protection の管理者は、Set-AipServiceDoNotTrackUserGroup を実行してそのようなユーザーを指定している場合にも、すべてのユーザーのアクティビティを常に追跡することができます。 管理者がユーザーのドキュメントを追跡する方法の詳細については、「ユーザーのドキュメントの追跡と取り消し」のセクションをご覧ください。

ドキュメント追跡サイトからの情報を記録する

次のコマンドレットを使用して、ドキュメント追跡サイトからログ情報をダウンロードできます。

  • Get-AipServiceTrackingLog

    このコマンドレットは、保護されたドキュメント (Rights Management 発行者) または保護されたドキュメントにアクセスした特定のユーザーの保護されたドキュメントに関する追跡情報を返します。  このコマンドレットを使用して、"指定したユーザーが追跡またはアクセスした保護されたドキュメントはどれですか?" という質問に答えるのに役立ちます。

  • Get-AipServiceDocumentLog

    このコマンドレットは、そのユーザーがドキュメントを保護したり(Rights Management 発行者)、ドキュメントの Rights Management 所有者であったり、または保護されたドキュメントがユーザーに直接アクセスを許可するように設定されたりする場合に、指定したユーザーの追跡対象ドキュメントに関する保護情報を返します。 このコマンドレットを使用して、"指定したユーザーにドキュメントはどのように保護されるか" という質問に答えるのに役立ちます。

ドキュメント追跡サイトで使用される追跡先 URL

次の URL は、ドキュメント追跡で使用されます。また、Azure Information Protection クライアントを実行するクライアントとインターネットとの間にあるすべてのデバイスとサービスで、許可される必要があります。 たとえば、これらの URL をファイアウォールに追加します。あるいは、Internet Explorer でセキュリティ強化を使用している場合は信頼済みサイトに追加します。

  • https://*.azurerms.com

  • https://*.microsoftonline.com

  • https://*.microsoftonline-p.com

  • https://ecn.dev.virtualearth.net

これらの URL は、Bing マップでユーザーの位置情報を表示するために使用される virtualearth.net の URL を除き、Azure Rights Management サービスでは標準です。

ユーザーのドキュメントの追跡と取り消し

ユーザーは、ドキュメント追跡サイトにサインインすると、Azure Information Protection クライアントを使って保護されたドキュメントを追跡したり取り消したりすることができます。 テナントの Microsoft Entra 全体管理者 としてサインインすると、[管理者] アイコンをクリックし、管理者モードに切り替えることができます。 他の管理者ロールは、ドキュメント追跡サイトでこのモードをサポートしていません。

Admin icon in the document tracking site

管理者モードでは、組織内のユーザーが Azure Information Protection クライアントを使用して追跡することを選択したドキュメントを表示できます。

Note

全体管理者であるに関わらずこのアイコンが表示されない場合は、自分自身がまだドキュメントを共有していないためです。 この場合、次の URL を使用してドキュメント追跡サイトにアクセスします: https://portal.azurerms.com/#/admin

管理者モードで実行したアクションは監査され、使用状況ログ ファイルに記録されます。これを確認してから次に進む必要があります。 このログ記録の詳細については、次のセクションを参照してください。

管理者モードの場合、ユーザーまたはドキュメントを指定して検索できます。 ユーザーで検索すると、指定したユーザーが Azure Information Protection クライアントを使用して追跡することを選択したすべてのドキュメントを表示できます。

ドキュメントで検索すると、Azure Information Protection クライアントを使用してそのドキュメントを追跡した組織内のすべてのユーザーを表示できます。 検索結果を調べて、ユーザーが保護したドキュメントを追跡し、必要に応じてそれらのドキュメントを取り消すことができます。

管理者モードを終了するには、[管理者モードを終了する] の横にある [X] をクリックします。

Exit administrator mode in the document tracking site

ドキュメント追跡サイトを使用する手順については、ユーザー ガイドの「ドキュメントを追跡して取り消す」を参照してください。

PowerShell を使用してラベル付きドキュメントをドキュメント追跡サイトに登録する 

ドキュメントを追跡したり取り消したりすることができるようにするには、まずドキュメント追跡サイトに登録する必要があります。 このアクションは、ユーザーが Azure Information Protection クライアントを使用するときに、エクスプローラーまたはOffice アプリからの[追跡と取り消し] オプションを選択した場合に発生します。

Set-AIPFileLabel コマンドレットを使用してユーザーのファイルにラベルを付けて保護する場合は、EnableTracking パラメーターを使用して、ドキュメント追跡サイトにファイルを登録できます。  次に例を示します。

Set-AIPFileLabel -Path C:\Projects\ -LabelId ade72bf1-4714-4714-4714-a325f824c55a -EnableTracking

ドキュメント追跡サイトの使用状況のログ記録

使用状況ログ ファイルの 2 つのフィールド AdminActionActingAsUser は、ドキュメント追跡に適用できます。

AdminAction - このフィールドは、管理者が管理者モードでドキュメント追跡サイトを使用した場合 (たとえば、ユーザーの代理でドキュメントを取り消したりドキュメントが共有された日時を確認したりする目的で) に true になります。 ユーザーがドキュメント追跡サイトにサインインすると、このフィールドは空になります。

ActingAsUser - AdminAction フィールドが true の場合、このフィールドには、検索したユーザーまたはドキュメント所有者の代理で管理者が操作しているユーザー名が含まれます。 ユーザーがドキュメント追跡サイトにサインインすると、このフィールドは空になります。

また、ユーザーと管理者がドキュメント追跡サイトを使用する方法をログに記録する要求の種類もあります。 たとえば、RevokeAccess は、ユーザーまたはユーザーの代理の管理者が、ドキュメント追跡サイトでドキュメントを取り消した場合の要求の種類です。 この要求の種類と AdminAction フィールドを組み合わせて、ユーザーが自分のドキュメントを取り消したか (AdminAction フィールドが空)、管理者がユーザーの代理でドキュメントを取り消したか (AdminAction が true) を判断できます。

使用状況のログ記録に関する詳細については、「Azure Information Protection からの保護の使用状況のログ記録と分析」を参照してください

次のステップ

Azure Information Protection クライアント用にドキュメント追跡サイトを構成した後は、このクライアントのサポートに必要な追加情報を以下の記事でご覧ください。