Guia do administrador: Configurando e usando o rastreamento de documentos para proteção do Rights Management Service com o portal de rastreamento herdado

  • Artigo

Nota

O site de acompanhamento de documentos herdado da Proteção de Informações do Azure tem suporte apenas para o cliente clássico e não para o cliente de rotulagem unificado. Para obter mais informações, consulte Serviços removidos e desativados.

Para obter as orientações mais recentes, consulte Controlar e revogar o acesso a documentos.

Se você tiver uma assinatura que ofereça suporte ao rastreamento de documentos, o site de rastreamento de documentos será habilitado por padrão para todos os usuários em sua organização. O rastreamento de documentos fornece informações para usuários e administradores sobre quando um documento protegido foi acessado e, se necessário, um documento rastreado pode ser revogado.

Usando o PowerShell para gerenciar o site de rastreamento de documentos

As seções a seguir contêm informações sobre como você pode gerenciar o site de controle de documentos usando o PowerShell. Para obter instruções de instalação para o módulo PowerShell, consulte Instalando o módulo AIPService PowerShell.

Para obter mais informações sobre cada um dos cmdlets, use os links fornecidos.

Controlos de privacidade para o seu site de acompanhamento de documentos

Se a exibição de todas as informações de rastreamento de documentos for proibida em sua organização devido a requisitos de privacidade, você poderá desabilitar o rastreamento de documentos usando o cmdlet Disable-AipServiceDocumentTrackingFeature .

Esse cmdlet desabilita o acesso ao site de controle de documentos para que todos os usuários em sua organização não possam rastrear ou revogar o acesso a documentos protegidos. Você pode reativar o rastreamento de documentos a qualquer momento, usando Enable-AipServiceDocumentTrackingFeature, e pode verificar se o rastreamento de documentos está atualmente habilitado ou desabilitado usando Get-AipServiceDocumentTrackingFeature.

Quando o site de rastreamento de documentos está habilitado, por padrão, ele mostra informações como os endereços de e-mail das pessoas que tentaram acessar os documentos protegidos, quando essas pessoas tentaram acessá-los e sua localização. Esse nível de informações pode ser útil para determinar como os documentos compartilhados são usados e se eles devem ser revogados se atividades suspeitas forem vistas. No entanto, por motivos de privacidade, talvez seja necessário desativar essas informações de usuário para alguns ou todos os usuários.

Se você tiver usuários que não devem ter essa atividade rastreada por outros usuários, adicione-os a um grupo armazenado na ID do Microsoft Entra e especifique esse grupo com o cmdlet Set-AipServiceDoNotTrackUserGroup . Ao executar esse cmdlet, você deve especificar um único grupo. No entanto, o grupo pode conter grupos aninhados.

Para esses membros do grupo, os usuários não podem ver nenhuma atividade no site de rastreamento de documentos quando essa atividade está relacionada a documentos que eles compartilharam com eles. Além disso, nenhuma notificação por e-mail é enviada ao usuário que compartilhou o documento.

Quando você usa essa configuração, todos os usuários ainda podem usar o site de rastreamento de documentos e revogar o acesso aos documentos que eles protegeram. No entanto, eles não veem atividade para os usuários que você especificou usando o cmdlet Set-AipServiceDoNotTrackUserGroup.

Esta definição afeta apenas os utilizadores finais. Os administradores da Proteção de Informações do Azure sempre podem rastrear atividades de todos os usuários, mesmo quando esses usuários são especificados usando Set-AipServiceDoNotTrackUserGroup. Para obter mais informações sobre como os administradores podem controlar documentos para usuários, consulte a seção Rastreando e revogando documentos para usuários .

Registrando informações do site de rastreamento de documentos

Você pode usar os seguintes cmdlets para baixar informações de log do site de rastreamento de documentos:

  • Get-AipServiceTrackingLog

    Esse cmdlet retorna informações de controle sobre documentos protegidos para um usuário especificado que protegeu documentos (o emissor do Rights Management) ou que acessou documentos protegidos. Use este cmdlet para ajudar a responder à pergunta "Quais documentos protegidos um usuário especificado rastreou ou acessou?"

  • Get-AipServiceDocumentLog

    Este cmdlet retorna informações de proteção sobre os documentos rastreados para um usuário especificado se esse usuário protegeu documentos (o emissor do Rights Management) ou foi o proprietário do Rights Management para documentos, ou documentos protegidos foram configurados para conceder acesso diretamente ao usuário. Use este cmdlet para ajudar a responder à pergunta "Como os documentos são protegidos para um usuário especificado?"

URLs de destino usadas pelo site de rastreamento de documentos

As URLs a seguir são usadas para controle de documentos e devem ser permitidas em todos os dispositivos e serviços entre os clientes que executam o cliente do Azure Information Protection e a Internet. Por exemplo, adicione estes URLs a firewalls ou aos seus Sites Fidedignos se estiver a utilizar o Internet Explorer com Segurança Reforçada.

  • https://*.azurerms.com

  • https://*.microsoftonline.com

  • https://*.microsoftonline-p.com

  • https://ecn.dev.virtualearth.net

Essas URLs são padrão para o serviço Azure Rights Management, com exceção da URL de virtualearth.net usada para mapas do Bing para exibir o local do usuário.

Rastreando e revogando documentos para usuários

Quando os usuários entram no site de controle de documentos, eles podem rastrear e revogar documentos protegidos usando o cliente da Proteção de Informações do Azure. Quando inicia sessão como Administrador Global do Microsoft Entra para o seu inquilino, pode clicar no ícone Administrador, que muda para o modo Administrador. Outras funções de administrador não oferecem suporte a esse modo para o site de rastreamento de documentos.

Admin icon in the document tracking site

O modo Administrador permite que você veja os documentos que os usuários em sua organização selecionaram para rastrear usando o cliente da Proteção de Informações do Azure.

Nota

Se não vir este ícone, apesar de ser um administrador global, é porque ainda não partilhou nenhum documento. Nesse caso, use a seguinte URL para acessar o site de rastreamento de documentos: https://portal.azurerms.com/#/admin

As ações executadas no modo Administrador são auditadas e registradas nos arquivos de log de uso, e você deve confirmar para continuar. Para obter mais informações sobre esse registro, consulte a próxima seção.

Quando estiver no modo de administrador, você poderá pesquisar por usuário ou documento. Se você pesquisar por usuário, verá todos os documentos que o usuário especificado selecionou para rastrear usando o cliente do Azure Information Protection.

Se você pesquisar por documento, verá todos os usuários em sua organização que rastrearam esse documento usando o cliente da Proteção de Informações do Azure. Em seguida, você pode detalhar os resultados da pesquisa para rastrear os documentos que os usuários protegeram e revogar esses documentos, se necessário.

Para sair do modo Administrador, clique em X ao lado de Sair do modo de administrador:

Exit administrator mode in the document tracking site

Para obter instruções sobre como usar o site de rastreamento de documentos, consulte Rastrear e revogar seus documentos no guia do usuário.

Usando o PowerShell para registrar documentos rotulados com o site de controle de documentos

Para poder rastrear e revogar um documento, ele deve primeiro ser registrado no site de rastreamento de documentos. Essa ação ocorre quando os usuários selecionam a opção Rastrear e revogar do Explorador de Arquivos ou de seus aplicativos do Office quando usam o cliente da Proteção de Informações do Azure.

Se você rotular e proteger arquivos para usuários usando o cmdlet Set-AIPFileLabel, poderá usar o parâmetro EnableTracking para registrar o arquivo no site de controle de documentos. Por exemplo:

Set-AIPFileLabel -Path C:\Projects\ -LabelId ade72bf1-4714-4714-4714-a325f824c55a -EnableTracking

Registro de uso do site de rastreamento de documentos

Dois campos nos arquivos de log de uso são aplicáveis ao rastreamento de documentos: AdminAction e ActingAsUser.

AdminAction - Este campo tem um valor true quando um administrador usa o site de rastreamento de documentos no modo Administrador, por exemplo, para revogar um documento em nome de um usuário ou para ver quando ele foi compartilhado. Este campo fica vazio quando um utilizador inicia sessão no site de controlo de documentos.

ActingAsUser - Quando o campo AdminAction é true, este campo contém o nome de usuário que o administrador está agindo em nome do usuário ou proprietário do documento pesquisado. Este campo fica vazio quando um utilizador inicia sessão no site de controlo de documentos.

Também há tipos de solicitação que registram como os usuários e administradores estão usando o site de controle de documentos. Por exemplo, RevokeAccess é o tipo de solicitação quando um usuário ou um administrador em nome de um usuário revogou um documento no site de rastreamento de documentos. Use esse tipo de solicitação em combinação com o campo AdminAction para determinar se o usuário revogou seu próprio documento (o campo AdminAction está vazio) ou se um administrador revogou um documento em nome de um usuário (o AdminAction é true).

Para obter mais informações sobre o log de uso, consulte Registrando e analisando o uso de proteção da Proteção de Informações do Azure

Próximos passos

Agora que você configurou o site de controle de documentos para o cliente da Proteção de Informações do Azure, consulte o seguinte para obter informações adicionais que talvez sejam necessárias para dar suporte a esse cliente: