руководство по Администратор istrator. Отслеживание и отзыв доступа к документам с помощью Azure Information Protection
Примечание.
Ищете информацию о Microsoft Purview Information Protection (прежнее название — Microsoft Information Protection, MIP)?
Надстройка Azure Information Protection для Office сейчас находится в режиме обслуживания и будет прекращена в апреле 2024 года. Вместо этого мы рекомендуем использовать метки, встроенные в приложения и службы Office 365, которые также поддерживают отслеживание и отзыв доступа к документам.
Отслеживание документов предоставляет сведения для администраторов с ролью Администратор istrator Azure Information Protection или ролью глобального Администратор istrator Azure Rights Management, о том, когда был доступ к защищенному документу. При необходимости администраторы и пользователи могут отозвать доступ к документам для отслеживаемых документов.
В версиях 2.9.111.0 или более поздней версии все защищенные документы Office, которые еще не зарегистрированы для отслеживания, автоматически регистрируются при следующем открытии с помощью клиента унифицированных меток AIP. Защищенные документы поддерживаются для отслеживания и отзыва, даже если они не помечены.
Регистрация документа для отслеживания позволяет администраторам отслеживать сведения о доступе, включая события успешного доступа и попытки отказа, а также отменять доступ при необходимости.
Примечание.
Функции отслеживания и отзыва поддерживаются только для типов файлов Office.
Защищенные документы поддерживаются для отслеживания и отзыва, даже если они не помечены.
Отслеживание доступа к документам
Администратор могут отслеживать доступ к защищенным документам с помощью PowerShellContentID, созданный для защищенного документа во время регистрации.
Чтобы просмотреть сведения о доступе к документам, выполните следующие действия.
Используйте следующие командлеты для поиска сведений о документе, который требуется отслеживать:
Найдите значение ContentID для документа, который требуется отслеживать.
Используйте Get-AipServiceDocumentLog для поиска документа с помощью имени файла и (или) адреса электронной почты пользователя, применяющего защиту.
Например;
Get-AipServiceDocumentLog -ContentName "test.docx" -Owner “alice@contoso.com” -FromTime "12/01/2020 00:00:00" -ToTime "12/31/2020 23:59:59"
Эта команда возвращает ContentID для всех соответствующих защищенных документов, зарегистрированных для отслеживания.
Примечание.
Защищенные документы регистрируются для отслеживания при первом открытии на компьютере с установленным клиентом унифицированных меток. Если эта команда не возвращает ContentID для защищенного файла, откройте его на компьютере с установленным клиентом унифицированных меток, чтобы зарегистрировать документ для отслеживания.
Используйте командлет Get-AipServiceTrackingLog с идентификатором ContentID документа, чтобы вернуть данные отслеживания.
Например:
Get-AipServiceTrackingLog -ContentId c03bf90c-6e40-4f3f-9ba0-2bcd77524b87
Данные отслеживания возвращаются, включая сообщения электронной почты пользователей, которые пытались получить доступ, были ли предоставлены или запрещены, время и дата попытки, а также домен и расположение, в котором возникла попытка доступа.
Отзыв доступа к документам из PowerShell
Администратор могут отозвать доступ для любого защищенного документа, хранящегося в локальных общих папках содержимого, с помощью Командлет Set-AIPServiceDocumentRevoked.
Найдите значение ContentID для документа, для которого требуется отозвать доступ.
Используйте Get-AipServiceDocumentLog для поиска документа с помощью имени файла и (или) адреса электронной почты пользователя, применяющего защиту.
Например:
Get-AipServiceDocumentLog -ContentName "test.docx" -Owner “alice@contoso.com” -FromTime "12/01/2020 00:00:00" -ToTime "12/31/2020 23:59:59"
Возвращаемые данные включают значение ContentID для документа.
Совет
Только документы, защищенные и зарегистрированные для отслеживания, имеют значение ContentID .
Если у документа нет ContentID, откройте его на компьютере с установленным клиентом унифицированных меток, чтобы зарегистрировать файл для отслеживания.
Используйте Set-AIPServiceDocumentRevoked с contentID документа, чтобы отозвать доступ.
Рассмотрим пример.
Set-AipServiceDocumentRevoked -ContentId 0e421e6d-ea17-4fdb-8f01-93a3e71333b8 -IssuerName testIssuer
Примечание.
Если доступ в автономном режиме разрешен, пользователи будут продолжать получать доступ к документам, которые были отозваны до истечения срока автономной политики.
Совет
Пользователи также могут отозвать доступ для любых документов, где они применили защиту непосредственно из меню конфиденциальности в своих Приложение Office. Дополнительные сведения см . в руководстве пользователя. Отзыв доступа к документам с помощью Azure Information Protection
Отмена доступа
Если вы случайно отозвали доступ к конкретному документу, используйте то же значение ContentID с командлетом Clear-AipServiceDocumentRevoked , чтобы отменить доступ.
Чтобы использовать командлет Clear-AipServiceDocumentRevoked , необходимо сначала загрузить AipService.dll.
Например:
Import-Module -Name "C:\Program Files\WindowsPowerShell\Modules\AIPService\1.0.0.4\AipService.dll"
Clear-AipServiceDocumentRevoked -ContentId 0e421e6d-ea17-4fdb-8f01-93a3e71333b8 -IssuerName testIssuer
Доступ к документам предоставляется пользователю, определенному в параметре IssuerName .
Отключение отслеживания и отмены функций для клиента
Если необходимо отключить функции отслеживания и отзыва для клиента, например требования к конфиденциальности в вашей организации или регионе, выполните оба следующих действия:
Выполните командлет Disable-AipServiceDocumentTrackingFeature.
Задайте для параметра расширенного клиента EnableTrackAndRevoke значение False.
Отслеживание документов и параметры отзыва доступа отключены для вашего клиента:
- Открытие защищенных документов с помощью клиента унифицированных меток AIP больше не регистрирует документы для отслеживания и отзыва.
- Журналы доступа не хранятся при открытии защищенных документов, которые уже зарегистрированы. Журналы доступа, которые были сохранены перед отключением этих функций, по-прежнему доступны.
- Администратор не смогут отслеживать или отменять доступ через PowerShell, а конечные пользователи больше не увидят Отмена параметра меню в своих Приложение Office.
Совет
Чтобы включить и отменить обратное отслеживание, задайте для enableTrackAndRevoke значение True, а также выполните командлет Enable-AipServiceDocumentTrackingFeature.
Отключение возможности отзыва доступа конечным пользователям
Если вы не хотите, чтобы конечные пользователи могли отозвать доступ к защищенным документам из своих Приложение Office, можно удалить параметр "Отозвать доступ" из Приложение Office.
Примечание.
Удаление параметра "Отозвать доступ" продолжает отслеживать защищенные документы в фоновом режиме и сохраняет возможность администратора отменять доступ к документам с помощью PowerShell.
Чтобы удалить параметр "Отменить доступ" из Приложение Office, задайте для расширенного параметра клиента EnableRevokeGuiSupport значение False.
Дополнительные сведения см . в руководстве пользователя. Отмена доступа к документам с помощью Azure Information Protection.
Дальнейшие действия
Дополнительные сведения см. в разделе:
Обратная связь
https://aka.ms/ContentUserFeedback.
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделеОтправить и просмотреть отзыв по