Guia de administração: Configurar e utilizar o rastreio de documentos para a Proteção de Informações do AzureAdmin Guide: Configuring and using document tracking for Azure Information Protection

Aplica-se a: Azure Information Protection, Windows 10, Windows 8.1, Windows 8, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012Applies to: Azure Information Protection, Windows 10, Windows 8.1, Windows 8, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012

Instruções para: Azure Information Protection cliente para windowsInstructions for: Azure Information Protection client for Windows

Nota

Para proporcionar uma experiência unificada e simplificada ao cliente, o cliente Azure Information Protection (clássico) e a Label Management no Portal Azure estão a ser depreciados a partir de 31 de março de 2021.To provide a unified and streamlined customer experience, Azure Information Protection client (classic) and Label Management in the Azure Portal are being deprecated as of March 31, 2021. Este prazo permite que todos os clientes atuais da Azure Information Protection transitem para a nossa solução de rotulagem unificada utilizando a plataforma de rotulagem unificada da Microsoft Information Protection.This time-frame allows all current Azure Information Protection customers to transition to our unified labeling solution using the Microsoft Information Protection Unified Labeling platform. Saiba mais no aviso oficial de depreciação.Learn more in the official deprecation notice.

Se tiver uma subscrição que suporta o controlo de documentos, o site de controlo de documentos é ativado por predefinição para todos os utilizadores da sua organização.If you have a subscription that supports document tracking, the document tracking site is enabled by default for all users in your organization. O controlo de documentos dispõe de informações para utilizadores e administradores sobre quando um documento protegido foi acedido e, se necessário, um documento controlado pode ser revogado.Document tracking provides information for users and administrators about when a protected document was accessed and if necessary, a tracked document can be revoked.

Utilização do PowerShell para gerir o site de rastreio de documentosUsing PowerShell to manage the document tracking site

As seguintes secções contêm informações sobre como pode gerir o site de rastreio de documentos utilizando o PowerShell.The following sections contain information about how you can manage the document tracking site by using PowerShell. Para obter instruções de instalação do módulo PowerShell, consulte a instalação do módulo AIPService PowerShell.For installation instructions for the PowerShell module, see Installing the AIPService PowerShell module.

Para obter mais informações sobre cada um dos cmdlets, utilize os links fornecidos.For more information about each of the cmdlets, use the links provided.

Controlos de privacidade para o site de controlo de documentosPrivacy controls for your document tracking site

Se exibir todas as informações de rastreio de documentos é proibida na sua organização devido a requisitos de privacidade, pode desativar o rastreio de documentos utilizando a cmdlet Disable-AipServiceDocumentTrackingFeature.If displaying all document tracking information is prohibited in your organization because of privacy requirements, you can disable document tracking by using the Disable-AipServiceDocumentTrackingFeature cmdlet.

Este cmdlet desativa o acesso ao site de controlo de documentos, para que todos os utilizadores na sua organização não possam controlar ou revogar o acesso a documentos que tenham protegido.This cmdlet disables access to the document tracking site so that all users in your organization cannot track or revoke access to documents that they have protected. Pode voltar a ativar o rastreio de documentos a qualquer momento, utilizando a Enable-AipServiceDocumentTrackingFeature, e pode verificar se o rastreio de documentos está ativado ou desativado utilizando a Get-AipServiceDocumentTrackingFeature.You can re-enable document tracking any time, by using the Enable-AipServiceDocumentTrackingFeature, and you can check whether document tracking is currently enabled or disabled by using Get-AipServiceDocumentTrackingFeature.

Quando o site de controlo de documentos está ativado, por predefinição, apresenta informações como os endereços de e-mail das pessoas que tentaram aceder a documentos protegidos, quando essas pessoas tentaram aceder aos mesmos e a sua localização.When the document tracking site is enabled, by default, it shows information such as the email addresses of the people who attempted to access the protected documents, when these people tried to access them, and their location. Este nível de informações pode ser útil para determinar como os documentos partilhados são utilizados e se devem ser revogados quando for detetada uma atividade suspeita.This level of information can be helpful to determine how the shared documents are used and whether they should be revoked if suspicious activity is seen. No entanto, por motivos de privacidade, talvez seja necessário desativar estas informações de utilizador para alguns ou para todos os utilizadores.However, for privacy reasons, you might need to disable this user information for some or all users.

Se tiver utilizadores que não devam ter esta atividade rastreada por outros utilizadores, adicione-os a um grupo que está armazenado em Azure AD e especifique este grupo com o Cmdlet Set-AipServiceDoNotTrackUserGroup.If you have users who should not have this activity tracked by other users, add them to a group that is stored in Azure AD, and specify this group with the Set-AipServiceDoNotTrackUserGroup cmdlet. Ao executar este cmdlet, deve especificar um único grupo.When you run this cmdlet, you must specify a single group. No entanto, o grupo pode conter grupos aninhados.However, the group can contain nested groups.

Para estes membros do grupo, os utilizadores não podem ver qualquer atividade no site de rastreio de documentos quando essa atividade está relacionada com documentos que partilharam com eles.For these group members, users cannot see any activity on the document tracking site when that activity is related to documents that they shared with them. Além disso, não são enviadas notificações de e-mail para o utilizador que partilhou o documento.In addition, no email notifications are sent to the user who shared the document.

Ao utilizar esta configuração, todos os utilizadores ainda podem utilizar o site de controlo de documentos e revogar o acesso a documentos que tenham protegido.When you use this configuration, all users can still use the document tracking site and revoke access to documents that they have protected. No entanto, não vêem atividade para os utilizadores que especificou utilizando o cmdlet Set-AipServiceDoNotTrackUserGroup.However, they do not see activity for the users who you have specified by using the Set-AipServiceDoNotTrackUserGroup cmdlet.

Esta definição afeta apenas os utilizadores finais.This setting affects end users only. Os administradores para a Proteção de Informações Azure podem sempre acompanhar as atividades de todos os utilizadores, mesmo quando esses utilizadores são especificados utilizando o Set-AipServiceDoNotTrackUserGroup.Administrators for Azure Information Protection can always track activities of all users, even when those users are specified by using Set-AipServiceDoNotTrackUserGroup. Para obter mais informações sobre como os administradores podem rastrear documentos para os utilizadores, consulte o Tracking e revogando documentos para a secção de utilizadores.For more information about how administrators can track documents for users, see the Tracking and revoking documents for users section.

Registar informações do site de rastreio de documentosLogging information from the document tracking site

Pode utilizar os seguintes cmdlets para descarregar informações de registo a partir do site de rastreio de documentos:You can use the following cmdlets to download logging information from the document tracking site:

  • Get-AipServiceTrackingLogGet-AipServiceTrackingLog

    Este cmdlet devolve informações de rastreio sobre documentos protegidos para um utilizador especificado que protegeu documentos (o emitente de Gestão de Direitos) ou que acedeu a documentos protegidos.This cmdlet returns tracking information about protected documents for a specified user who protected documents (the Rights Management issuer) or who accessed protected documents. Utilize este cmdlet para ajudar a responder à pergunta "Que documentos protegidos fizeram uma faixa ou acesso especificados do utilizador?"Use this cmdlet to help answer the question "Which protected documents did a specified user track or access?"

  • Get-AipServiceDocumentLogGet-AipServiceDocumentLog

    Este cmdlet devolve informações de proteção sobre os documentos rastreados para um utilizador especificado se esses documentos protegidos pelo utilizador (o emitente de Gestão de Direitos) ou se foi o proprietário da Gestão de Direitos para documentos, ou documentos protegidos foram configurados para conceder acesso diretamente ao utilizador.This cmdlet returns protection information about the tracked documents for a specified user if that user protected documents (the Rights Management issuer) or was the Rights Management owner for documents, or protected documents were configured to grant access directly to the user. Utilize este cmdlet para ajudar a responder à pergunta "Como os documentos são protegidos para um utilizador especificado?"Use this cmdlet to help answer the question "How are documents protected for a specified user?"

URLs de destino utilizados pelo site de controlo de documentosDestination URLs used by the document tracking site

Os urLs que se seguem são utilizados para rastreio de documentos e devem ser permitidos em todos os dispositivos e serviços entre os clientes que gerem o cliente Azure Information Protection e a internet.The following URLs are used for document tracking and must be allowed on all devices and services between the clients that run the Azure Information Protection client and the internet. Por exemplo, adicione estes URLs a firewalls ou aos seus Sites Fiáveis se estiver a utilizar o Internet Explorer com Segurança Avançada.For example, add these URLs to firewalls, or to your Trusted Sites if you're using Internet Explorer with Enhanced Security.

  • https://*.azurerms.com

  • https://*.microsoftonline.com

  • https://*.microsoftonline-p.com

  • https://ecn.dev.virtualearth.net

Estes URLs são standard para o serviço Azure Rights Management, com a exceção do URL virtualearth.net, que é utilizado para os mapas do Bing, para apresentar a localização do utilizador.These URLs are standard for the Azure Rights Management service, with the exception of the virtualearth.net URL that is used for Bing maps to display the user location.

Controlar e revogar documentos para utilizadoresTracking and revoking documents for users

Quando os utilizadores iniciarem seduca no site de rastreio de documentos, podem rastrear e revogar documentos que tenham protegido utilizando o cliente Azure Information Protection.When users sign in to the document tracking site, they can track and revoke documents that they have protected by using the Azure Information Protection client. Quando iniciar seduca como administrador global Azure AD para o seu inquilino, pode clicar no ícone Admin, que muda para o modo Administrador.When you sign in as an Azure AD global administrator for your tenant, you can click the Admin icon, which switches to Administrator mode. Outras funções de administrador não suportam este modo para o site de rastreio de documentos.Other administrator roles do not support this mode for the document tracking site.

Ícone Administrador no site de controlo de documentos

O modo Administrador permite-lhe ver os documentos que os utilizadores da sua organização selecionaram para rastrear utilizando o cliente Azure Information Protection.The Administrator mode lets you see the documents that users in your organization have selected to track by using the Azure Information Protection client.

Nota

Se você não vê este ícone, apesar de ser um administrador global, é porque você ainda não partilhou nenhum documento por si mesmo.If you do not see this icon, despite being a global administrator, it's because you haven't yet shared any documents yourself. Neste caso, utilize o seguinte URL para aceder ao site de rastreio de documentos: https://portal.azurerms.com/#/adminIn this case, use the following URL to access the document tracking site: https://portal.azurerms.com/#/admin

As ações que executar no modo de Administrador são auditadas e registadas nos ficheiros de registo de utilização e tem de confirmar para continuar.Actions that you take in Administrator mode are audited and logged in the usage log files, and you must confirm to continue. Para obter mais informações sobre este registo, veja a secção seguinte.For more information about this logging, see the next section.

Quando estiver no modo de Administrador, pode procurar por utilizador ou documento.When you are in Administrator mode, you can then search by user or document. Se pesquisar por utilizador, vê todos os documentos que o utilizador especificado selecionou para rastrear utilizando o cliente Azure Information Protection.If you search by user, you see all the documents that the specified user has selected to track by using the Azure Information Protection client.

Se pesquisar por documento, consulte todos os utilizadores da sua organização que rastrearam esse documento utilizando o cliente Azure Information Protection.If you search by document, you see all the users in your organization who tracked that document by using the Azure Information Protection client. Em seguida, pode explorar os resultados da pesquisa para controlar os documentos que os utilizadores protegeram e revogar esses documentos, se necessário.You can then drill into the search results to track the documents that users have protected and revoke these documents, if necessary.

Para sair do modo de Administrador, clique no X junto a Sair do modo de administrador:To leave the Administrator mode, click X next to Exit administrator mode:

Sair do modo de administrador no site de controlo de documentos

Para obter instruções sobre como utilizar o site de controlo de documentos, veja Controlar e revogar documentos no guia de utilizador.For instructions how to use the document tracking site, see Track and revoke your documents from the user guide.

Utilizar o PowerShell para registar documentos rotulados com o site de rastreio de documentosUsing PowerShell to register labeled documents with the document tracking site

Para poder rastrear e revogar um documento, deve primeiro ser registado no site de rastreio de documentos.To be able to track and revoke a document, it must first be registered with the document tracking site. Esta ação ocorre quando os utilizadores selecionam a Faixa e revogam a opção do File Explorer ou das suas aplicações office quando utilizam o cliente Azure Information Protection.This action occurs when users select the Track and revoke option from File Explorer or their Office apps when they use the Azure Information Protection client.

Se rotular e proteger ficheiros para utilizadores utilizando o cmdlet Set-AIPFileLabel, pode utilizar o parâmetro EnableTracking para registar o ficheiro no site de rastreio de documentos.If you label and protect files for users by using the Set-AIPFileLabel cmdlet, you can use the EnableTracking parameter to register the file with the document tracking site. Por exemplo:For example:

Set-AIPFileLabel -Path C:\Projects\ -LabelId ade72bf1-4714-4714-4714-a325f824c55a -EnableTracking

Registo de utilização para o site de controlo de documentosUsage logging for the document tracking site

São aplicáveis dois campos nos ficheiros de registo de utilização ao controlo de documentos: AdminAction e ActingAsUser.Two fields in the usage log files are applicable to document tracking: AdminAction and ActingAsUser.

AdminAction - Este campo tem um valor de true quando um administrador utiliza o site de controlo de documentos no modo de Administrador, por exemplo, para revogar um documento em nome de um utilizador ou para ver quando foi partilhado.AdminAction - This field has a value of true when an administrator uses the document tracking site in Administrator mode, for example, to revoke a document on a user's behalf or to see when it was shared. Este campo está vazio quando um utilizador inicia sessão no site de controlo de documentos.This field is empty when a user signs in to the document tracking site.

ActingAsUser - Quando o campo AdminAction tiver o valor de true, este campo contém o nome do utilizador sobre o qual o administrador está a agir quando procurar por utilizador ou proprietário do documento.ActingAsUser - When the AdminAction field is true, this field contains the user name that the administrator is acting on behalf of as the searched for user or document owner. Este campo está vazio quando um utilizador inicia sessão no site de controlo de documentos.This field is empty when a user signs in to the document tracking site.

Também existem tipos de pedido que registam a forma como os utilizadores e os administradores estão a utilizar o site de controlo de documentos.There are also request types that log how users and administrators are using the document tracking site. Por exemplo, RevokeAccess é o tipo de pedido quando um utilizador ou um administrador em nome de um utilizador revogou um documento no site de controlo de documentos.For example, RevokeAccess is the request type when a user or an administrator on behalf of a user has revoked a document in the document tracking site. Utilize este tipo de pedido juntamente com o campo AdminAction para determinar se o utilizador revogou o seu próprio documento (o campo AdminAction está vazio) ou um administrador revogou um documento em nome de um utilizador (AdminAction é true).Use this request type in combination with the AdminAction field to determine whether the user revoked their own document (the AdminAction field is empty) or an administrator revoked a document on behalf of a user (the AdminAction is true).

Para obter mais informações sobre o registo de registos, consulte o Registo e analise a utilização da proteção da Azure Information ProtectionFor more information about usage logging, see Logging and analyzing the protection usage from Azure Information Protection

Passos seguintesNext steps

Agora que configurou o site de controlo de documentos do cliente do Azure Information Protection, veja o seguinte para obter informações adicionais que poderá precisar para suportar este cliente:Now that you've configured the document tracking site for the Azure Information Protection client, see the following for additional information that you might need to support this client: