Руководство администратора: отслеживание и отзыв доступа к документу с помощью Azure Information Protection

*Применимо к: Azure Information Protection, Windows 10, Windows 8.1, Windows 8 *

*Относится только к: административно единой метки для клиента. *

Отслеживание документов предоставляет администраторам сведения о том, когда осуществлялся доступ к защищенному документу. При необходимости администраторы и пользователи могут отозвать доступ к документу для отслеживания документов. Защищенные документы поддерживаются для отслеживаний и отзыва, даже если они не помечены.

Если вы обновили версию до версии 2.9.111.0 или более поздней, все защищенные документы Office, которые еще не зарегистрированы для отслеживания, автоматически регистрируются при следующем открытии через унифицированный клиент с меткой административной установки. Защищенные документы поддерживаются для отслеживаний и отзыва, даже если они не помечены.

Регистрация документа для отслеживания позволяет Microsoft 365 глобальным администраторам отслеживать сведения о доступе, включая события успешного доступа и отклоненные попытки, а также отзывать доступ при необходимости.

Примечание

Функции контроля и отзыва поддерживаются только для типов файлов Office.

Отслеживание доступа к документам

Глобальные администраторы могут контролировать доступ к защищенным документам с помощью PowerShell, используя идентификатор ContentID , созданный для защищенного документа во время регистрации.

Чтобы просмотреть сведения о доступе к документу:

Используйте следующие командлеты для поиска сведений о документе, который необходимо отыскать:

  1. Найдите значение ContentID для документа, который вы хотите отслеживанию.

    Используйте Get-аипсервицедокументлог для поиска документа с использованием имени файла и/или адреса электронной почты пользователя, который применил защиту.

    Например:

    Get-AipServiceDocumentLog -ContentName "test.docx" -Owner “alice@contoso.com” -FromTime "12/01/2020 00:00:00" -ToTime "12/31/2020 23:59:59"
    

    Эта команда возвращает идентификатор ContentID для всех соответствующих защищенных документов, зарегистрированных для отслеживания.

    Примечание

    Защищенные документы регистрируются для отслеживания при первом открытии на компьютере с установленным клиентской единой меткой. Если эта команда не возвращает идентификатор ContentID для защищенного файла, откройте его на компьютере с установленным клиентом единой метки, чтобы зарегистрировать документ для отслеживания.

  2. Используйте командлет Get-аипсервицетраккинглог со идентификатором ContentID документа, чтобы получить данные отслеживания.

    Пример.

    Get-AipServiceTrackingLog -ContentId c03bf90c-6e40-4f3f-9ba0-2bcd77524b87
    

    Возвращаются данные отслеживания, включая сообщения электронной почты пользователей, которые пытались получить доступ, о том, был ли доступ предоставлен или запрещен, время и Дата попытки, а также домен и расположение, откуда поступила попытка доступа.

Отмена доступа к документу из PowerShell

Глобальные администраторы могут отозвать доступ для любого защищенного документа, хранящегося в локальных общих папках содержимого, с помощью командлета Set-аипсервицедокументревокед .

  1. Найдите значение ContentID для документа, доступ к которому требуется отозвать.

    Используйте Get-аипсервицедокументлог для поиска документа с использованием имени файла и/или адреса электронной почты пользователя, который применил защиту.

    Пример.

    Get-AipServiceDocumentLog -ContentName "test.docx" -Owner “alice@contoso.com” -FromTime "12/01/2020 00:00:00" -ToTime "12/31/2020 23:59:59"
    

    Возвращаемые данные включают значение ContentID для вашего документа.

    Совет

    Только документы, защищенные и зарегистрированные для отслеживания, имеют значение ContentID .

    Если документ не содержит идентификатор ContentID, откройте его на компьютере с установленным клиентской единой меткой, чтобы зарегистрировать файл для отслеживания.

  2. Используйте Set-аипсервицедокументревокед с идентификатором ContentID документа, чтобы отозвать доступ.

    Пример.

    Set-AipServiceDocumentRevoked -ContentId 0e421e6d-ea17-4fdb-8f01-93a3e71333b8 -IssuerName testIssuer
    

Примечание

Если разрешен автономный доступ , пользователи будут по-прежнему иметь доступ к документам, которые были отозваны до истечения срока действия политики вне сети.

Совет

Пользователи также могут отозвать доступ для любых документов, в которых они применяют защиту, непосредственно из меню чувствительность в приложениях Office. Дополнительные сведения см . в разделе Руководство пользователя: отзыв доступа к документу с помощью Azure Information Protection

Отмена доступа

Если вы случайно отменили доступ к определенному документу, используйте то же значение ContentID с командлетом clear-аипсервицедокументревокед , чтобы отменить доступ.

Чтобы использовать командлет clear-аипсервицедокументревокед , необходимо сначала загрузить AipService.dll.

Пример.

Import-Module -Name "C:\Program Files\WindowsPowerShell\Modules\AIPService\1.0.0.4\AipService.dll"
Clear-AipServiceDocumentRevoked -ContentId   0e421e6d-ea17-4fdb-8f01-93a3e71333b8 -IssuerName testIssuer

Доступ к документу предоставляется пользователю, определенному в параметре IssuerName .

Отключение функции "Отслеживание и отзыв" для вашего клиента

Если необходимо отключить функции отслеживания и отзыва для клиента, например для требований к конфиденциальности в организации или регионе, выполните оба следующих действия.

  1. Выполните командлет Disable-аипсервицедокументтраккингфеатуре .

  2. Задайте для параметра Advanced Client енаблетраккандревоке значение false.

Отслеживание документов и параметры для отмены доступа для клиента отключены.

  • Открытие защищенных документов с помощью унифицированного клиента с меткой АДМИНИСТРАТИВной установки больше не регистрирует документы для отслеживания и отзыва.
  • Журналы доступа не сохраняются при открытии уже зарегистрированных защищенных документов. Журналы доступа, которые были сохранены до отключения этих функций, по-прежнему доступны.
  • Администраторы не смогут отключать или отменять доступ через PowerShell, и конечные пользователи больше не увидят пункт меню " отозвать " в своих приложениях Office.

Совет

Чтобы включить трассировку и отменить ее, установите для параметра Енаблетраккандревоке значение true, а также выполните командлет Enable-аипсервицедокументтраккингфеатуре .

Отключить возможность отмены доступа конечными пользователями

Если вы не хотите, чтобы конечные пользователи могли отменять доступ к защищенным документам из приложений Office, можно удалить параметр отозвать доступ из приложений Office.

Примечание

Удаление параметра отменить доступ позволяет защитить защищенные документы в фоновом режиме и сохраняет права администратора для отмены доступа к документам с помощью PowerShell.

Чтобы удалить параметр отменить доступ из приложений Office, установите для параметра Advanced Client ( Енаблеревокегуисуппорт ) значение false.

Дополнительные сведения см. в разделе Руководство пользователя: отзыв доступа к документу с помощью Azure Information Protection.

Дальнейшие действия

Дополнительные сведения см. в разделе: