handleiding voor Beheer istrator: Documenttoegang bijhouden en intrekken met Azure Information Protection
Notitie
Zoekt u Microsoft Purview Informatiebeveiliging, voorheen Microsoft Information Protection (MIP)?
De Azure Information Protection-invoegtoepassing voor Office bevindt zich nu in de onderhoudsmodus en wordt in april 2024 buiten gebruik gesteld. In plaats daarvan raden we u aan labels te gebruiken die zijn ingebouwd in uw Office 365-apps en -services, die ook ondersteuning bieden voor het bijhouden en intrekken van documenttoegang.
Documenttracking biedt beheerders informatie over wanneer een beveiligd document wordt geopend met de rol Azure Information Protection Beheer istrator of Azure Rights Management Global Beheer istrator. Indien nodig kunnen zowel beheerders als gebruikers de toegang tot documenten intrekken voor bijgehouden documenten.
In versie 2.9.111.0 of hoger worden beveiligde Office-documenten die nog niet zijn geregistreerd voor het bijhouden, automatisch geregistreerd wanneer ze de volgende keer worden geopend via de geïntegreerde AIP-labelclient. Beveiligde documenten worden ondersteund voor bijhouden en intrekken, zelfs als ze niet zijn gelabeld.
Als u een document registreert voor het bijhouden, kunnen beheerders toegangsgegevens bijhouden, waaronder geslaagde toegangsevenementen en geweigerde pogingen, en indien nodig de toegang intrekken.
Notitie
Functies bijhouden en intrekken worden alleen ondersteund voor Office-bestandstypen.
Beveiligde documenten worden ondersteund voor bijhouden en intrekken, zelfs als ze niet zijn gelabeld.
Documenttoegang bijhouden
Beheer s kunnen de toegang voor beveiligde documenten bijhouden via PowerShell met behulp van de ContentID gegenereerd voor het beveiligde document tijdens de registratie.
Ga als volgende te werk om details van documenttoegang weer te geven:
Gebruik de volgende cmdlets om details te vinden voor het document dat u wilt bijhouden:
Zoek de ContentID-waarde voor het document dat u wilt bijhouden.
Gebruik get-AipServiceDocumentLog om te zoeken naar een document met behulp van de bestandsnaam en/of het e-mailadres van de gebruiker die beveiliging heeft toegepast.
Bijvoorbeeld:
Get-AipServiceDocumentLog -ContentName "test.docx" -Owner “alice@contoso.com” -FromTime "12/01/2020 00:00:00" -ToTime "12/31/2020 23:59:59"Met deze opdracht wordt de ContentID geretourneerd voor alle overeenkomende, beveiligde documenten die zijn geregistreerd voor tracering.
Notitie
Beveiligde documenten worden geregistreerd voor het bijhouden wanneer ze voor het eerst worden geopend op een computer waarop de geïntegreerde labelclient is geïnstalleerd. Als met deze opdracht de ContentID voor uw beveiligde bestand niet wordt geretourneerd, opent u deze op een computer waarop de geïntegreerde labelclient is geïnstalleerd om het document te registreren voor het bijhouden.
Gebruik de Cmdlet Get-AipServiceTrackingLog met de ContentID van uw document om uw traceringsgegevens te retourneren.
Voorbeeld:
Get-AipServiceTrackingLog -ContentId c03bf90c-6e40-4f3f-9ba0-2bcd77524b87Traceringsgegevens worden geretourneerd, inclusief e-mailberichten van gebruikers die toegang hebben geprobeerd, of toegang is verleend of geweigerd, de tijd en datum van de poging, en het domein en de locatie waar de toegangspoging vandaan komt.
Documenttoegang intrekken vanuit PowerShell
Beheer s kunnen de toegang intrekken voor elk beveiligd document dat is opgeslagen in de lokale inhoudsshares, met behulp van de Set-AIPServiceDocumentRevoked-cmdlet.
Zoek de ContentID-waarde voor het document waarvoor u de toegang wilt intrekken.
Gebruik get-AipServiceDocumentLog om te zoeken naar een document met behulp van de bestandsnaam en/of het e-mailadres van de gebruiker die beveiliging heeft toegepast.
Voorbeeld:
Get-AipServiceDocumentLog -ContentName "test.docx" -Owner “alice@contoso.com” -FromTime "12/01/2020 00:00:00" -ToTime "12/31/2020 23:59:59"De geretourneerde gegevens bevatten de ContentID-waarde voor uw document.
Tip
Alleen documenten die zijn beveiligd en geregistreerd voor het bijhouden, hebben een ContentID-waarde .
Als uw document geen ContentID heeft, opent u het op een computer waarop de geïntegreerde labelclient is geïnstalleerd om het bestand te registreren voor het bijhouden.
Gebruik set-AIPServiceDocumentRevoked met de ContentID van uw document om de toegang in te trekken.
Bijvoorbeeld:
Set-AipServiceDocumentRevoked -ContentId 0e421e6d-ea17-4fdb-8f01-93a3e71333b8 -IssuerName testIssuer
Notitie
Als offlinetoegang is toegestaan, hebben gebruikers nog steeds toegang tot de documenten die zijn ingetrokken totdat de offlinebeleidsperiode verloopt.
Tip
Gebruikers kunnen ook de toegang intrekken voor documenten waarop ze beveiliging rechtstreeks vanuit het menu Gevoeligheid toepassen in hun Office-app s. Zie de gebruikershandleiding: Toegang tot documenten intrekken met Azure Information Protection voor meer informatie
Toegang intrekken ongedaan maken
Als u per ongeluk de toegang tot een specifiek document hebt ingetrokken, gebruikt u dezelfde ContentID-waarde met de cmdlet Clear-AipServiceDocumentRevoked om de toegang ongedaan te maken.
Als u de cmdlet Clear-AipServiceDocumentRevoked wilt gebruiken, moet u eerst de AipService.dll laden.
Voorbeeld:
Import-Module -Name "C:\Program Files\WindowsPowerShell\Modules\AIPService\1.0.0.4\AipService.dll"
Clear-AipServiceDocumentRevoked -ContentId 0e421e6d-ea17-4fdb-8f01-93a3e71333b8 -IssuerName testIssuer
Documenttoegang wordt verleend aan de gebruiker die u hebt gedefinieerd in de parameter IssuerName .
Functies voor uw tenant bijhouden en intrekken
Als u functies voor uw tenant wilt bijhouden en intrekken, zoals voor privacyvereisten in uw organisatie of regio, moet u beide van de volgende stappen uitvoeren:
Voer de cmdlet Disable-AipServiceDocumentTrackingFeature uit.
Stel de geavanceerde clientinstelling EnableTrackAndRevoke in op False.
Documenttracking en opties voor het intrekken van toegang zijn uitgeschakeld voor uw tenant:
- Als u beveiligde documenten opent met de geïntegreerde AIP-labelclient, worden de documenten niet meer geregistreerd voor bijhouden en intrekken.
- Access-logboeken worden niet opgeslagen wanneer beveiligde documenten die al zijn geregistreerd, worden geopend. Toegangslogboeken die zijn opgeslagen voordat u deze functies uitschakelt, zijn nog steeds beschikbaar.
- Beheer s kunnen de toegang niet bijhouden of intrekken via PowerShell, en eindgebruikers zien de Menuoptie Intrekken in hun Office-app s.
Tip
Als u het bijhouden en intrekken weer wilt inschakelen, stelt u EnableTrackAndRevoke in op True en voert u ook de cmdlet Enable-AipServiceDocumentTrackingFeature uit.
De mogelijkheid uitschakelen voor eindgebruikers om de toegang in te trekken
Als u niet wilt dat eindgebruikers de toegang tot beveiligde documenten uit hun Office-app s intrekken, kunt u de optie Toegang intrekken uit uw Office-app s verwijderen.
Notitie
Als u de optie Toegang intrekken verwijdert, blijven uw beveiligde documenten op de achtergrond bijgehouden en blijft de beheerder de toegang tot documenten intrekken via PowerShell.
Als u de optie Toegang intrekken wilt verwijderen uit Office-app s, stelt u de geavanceerde clientinstelling EnableRevokeGuiSupport in op False.
Zie de gebruikershandleiding: Toegang tot documenten intrekken met Azure Information Protection voor meer informatie.
Volgende stappen
Zie voor meer informatie:
Feedback
Binnenkort beschikbaar: In de loop van 2024 zullen we GitHub-problemen geleidelijk uitfaseren als het feedbackmechanisme voor inhoud en deze vervangen door een nieuw feedbacksysteem. Zie voor meer informatie: https://aka.ms/ContentUserFeedback.
Feedback verzenden en weergeven voor