Hantera personliga data för Azure Information Protection

Gäller för:Azure Information Protection

Relevant för:AIP unified labeling client and classic client

Obs!

För att ge en enhetlig och smidig kundupplevelse är den klassiska Azure Information Protection-klienten och Etiketthantering i Azure-portalen inaktuella sedan den 31 mars 2021. Inget ytterligare stöd tillhandahålls för den klassiska klienten och underhållsversioner kommer inte längre att släppas.

Den klassiska klienten upphör officiellt och slutar fungera den 31 mars 2022.

Alla aktuella kunder med Azure Information Protection för klassiska klienter måste migrera till Microsoft Information Protection unified labeling-plattformen och uppgradera till den enhetliga etikettklienten. Läs mer i vår migreringsblogg.

När du konfigurerar och använder Azure Information Protection lagras och används e-postadresser och IP-adresser av Azure Information Protection-tjänsten. Dessa personliga data finns i följande objekt:

  • Superanvändare och delegerade administratörer för skyddstjänsten

  • Administrationsloggar för skyddstjänsten

  • Användningsloggar för skyddstjänsten

  • Användningsloggar för Azure Information Protection-klienterna och RMS-klienten

Endast den klassiska AIP-klienten:

  • Azure Information Protection-policyn

  • Mallar för skyddstjänsten

  • Dokumentspårningsloggar

Obs!

Den här artikeln innehåller steg för hur du tar bort personliga data från enheten eller tjänsten och kan användas för att uppfylla dina skyldigheter under GDPR. Om du letar efter allmän information om GDPR, se avsnittet GDPR i Service Trust portal.

Visa personliga data som används i Azure Information Protection

  • Unified labeling client:

    För den enhetliga etikettklienten är känslighetsetiketter och etikettprinciper konfigurerade i Microsoft 365 Efterlevnadscenter. Mer information finns i dokumentationen Microsoft 365 .

  • Klassisk klient:

    För den klassiska klienten använder du Azure-portalen för att ange e-postadresser för omfattningsprinciper och för skyddsinställningar inom en etikettkonfiguration. Mer information finns i Konfigurera Azure Information Protection-principen för specifika användare genom att använda omfattningsprinciper och Konfigurera en etikett för Rights Management Protection.

    För etiketter som är konfigurerade för att tillämpa skydd från Tjänsten Azure Rights Management hittar du e-postadresser i skyddsmallar med hjälp av PowerShell-cmdlets från AIPService-modulen. Med den här PowerShell-modulen kan en administratör även ange att användare via e-postadress ska vara superanvändareeller administratör för tjänsten Azure Rights Management.

Obs!

När Azure Information Protection används för att klassificera och skydda dokument och e-postmeddelanden kan e-postadresser och användarnas IP-adresser sparas i loggfiler.

Superanvändare och delegerade administratörer för skyddstjänsten

Kör cmdleten Get-AipServiceSuperUser och cmdleten get-aipservicerolebasedadministrator för att se vilka användare som har tilldelats rollen som superanvändare eller global administratörsroll för skyddstjänsten (Azure Rights Management) från Azure Information Protection. För användare som har tilldelats någon av dessa roller visas deras e-postadresser.

Administrationsloggar för skyddstjänsten

Kör cmdleten Get-AipServiceAdminLog för att få en logg med administrativa åtgärder för skyddstjänsten (Azure Rights Management) från Azure Information Protection. Den här loggen innehåller personuppgifter i form av e-postadresser och IP-adresser. Loggen är i oformaterad text och när den har laddats ned kan du söka efter information om en viss administratör offline.

Till exempel:

PS C:\Users> Get-AipServiceAdminLog -Path '.\Desktop\admin.log' -FromTime 4/1/2018 -ToTime 4/30/2018 -Verbose
The Rights Management administration log was successfully generated and can be found at .\Desktop\admin.log.

Användningsloggar för skyddstjänsten

Kör cmdleten Get-AipServiceUserLog för att hämta en logg med slutanvändaråtgärder som använder skyddstjänsten från Azure Information Protection. Loggen kan innehålla personuppgifter i form av e-postadresser och IP-adresser. Loggen är i oformaterad text och när den har laddats ned kan du söka efter information om en viss administratör offline.

Till exempel:

PS C:\Users> Get-AipServiceUserLog -Path '.\Desktop\' -FromDate 4/1/2018 -ToDate 4/30/2018 -NumberOfThreads 10
Acquiring access to your user log…
Downloading the log for 2018-04-01.
Downloading the log for 2018-04-03.
Downloading the log for 2018-04-06.
Downloading the log for 2018-04-09.
Downloading the log for 2018-04-10.
Downloaded the log for 2018-04-01. The log is available at .\Desktop\rmslog-2018-04-01.log.
Downloaded the log for 2018-04-03. The log is available at .\Desktop\rmslog-2018-04-03.log.
Downloaded the log for 2018-04-06. The log is available at .\Desktop\rmslog-2018-04-06.log.
Downloaded the log for 2018-04-09. The log is available at .\Desktop\rmslog-2018-04-09.log.
Downloaded the log for 2018-04-10. The log is available at .\Desktop\rmslog-2018-04-10.log.
Downloading the log for 2018-04-12.
Downloading the log for 2018-04-13.
Downloading the log for 2018-04-14.
Downloading the log for 2018-04-16.
Downloading the log for 2018-04-18.
Downloaded the log for 2018-04-12. The log is available at .\Desktop\rmslog-2018-04-12.log.
Downloaded the log for 2018-04-13. The log is available at .\Desktop\rmslog-2018-04-13.log.
Downloaded the log for 2018-04-14. The log is available at .\Desktop\rmslog-2018-04-14.log.
Downloaded the log for 2018-04-16. The log is available at .\Desktop\rmslog-2018-04-16.log.
Downloaded the log for 2018-04-18. The log is available at .\Desktop\rmslog-2018-04-18.log.
Downloading the log for 2018-04-24.
Downloaded the log for 2018-04-24. The log is available at .\Desktop\rmslog-2018-04-24.log.

Användningsloggar för Azure Information Protection-klienterna och RMS-klienten

När etiketter och skydd tillämpas på dokument och e-postmeddelanden kan e-postadresser och IP-adresser lagras i loggfiler på en användares dator på följande platser:

  • För enhetlig märkning och klassiska klienter med Azure Information Protection: %localappdata%\Microsoft\MSIP\Logs

  • För RMS-klienten: %localappdata%\Microsoft\MSIPC\msip\Logs

Dessutom loggar Azure Information Protection-klientklienten dessa personliga data till den lokala Windows-händelseloggen Program och tjänstloggarAzure Information Protection.

När Azure Information Protection-klienten kör skannern sparas personliga data i %localappdata%\Microsoft\MSIP\Scanner\Reports på den Windows Server-dator där skannern körs.

Du kan inaktivera loggningsinformation för Azure Information Protection-klienten och skannern genom att använda följande konfigurationer:

Obs!

Om du är intresserad av att visa eller ta bort personliga data kan du läsa Microsofts vägledning i Microsofts efterlevnadshanteraren och i GDPR på webbplatsen för Microsoft 365 Enterprise efterlevnad. Om du letar efter allmän information om GDPR, se avsnittet GDPR i Service Trust portal.

Skyddsmallar

Relevant för:Endast AIP klassisk klient

Kör cmdleten Get-AipServiceTemplate för att få en lista med skyddsmallar. Du kan använda mall-ID för att få information om en specifik mall. Objektet RightsDefinitions visar eventuella personliga data.

Exempel:

PS C:\Users> Get-AipServiceTemplate -TemplateId fcdbbc36-1f48-48ca-887f-265ee1268f51 | select *


TemplateId              : fcdbbc36-1f48-48ca-887f-265ee1268f51
Names                   : {1033 -> Confidential}
Descriptions            : {1033 -> This data includes sensitive business information. Exposing this data to
                          unauthorized users may cause damage to the business. Examples for Confidential information
                          are employee information, individual customer projects or contracts and sales account data.}
Status                  : Archived
RightsDefinitions       : {admin@aip500.onmicrosoft.com -> VIEW, VIEWRIGHTSDATA, EDIT, DOCEDIT, PRINT, EXTRACT,
                          REPLY, REPLYALL, FORWARD, EXPORT, EDITRIGHTSDATA, OBJMODEL, OWNER,
                          AllStaff-7184AB3F-CCD1-46F3-8233-3E09E9CF0E66@aip500.onmicrosoft.com -> VIEW,
                          VIEWRIGHTSDATA, EDIT, DOCEDIT, PRINT, EXTRACT, REPLY, REPLYALL, FORWARD, EXPORT,
                          EDITRIGHTSDATA, OBJMODEL, OWNER, admin2@aip500.onmicrosoft.com -> VIEW, VIEWRIGHTSDATA, EDIT,
                          DOCEDIT, PRINT, EXTRACT, REPLY, REPLYALL, FORWARD, EXPORT, EDITRIGHTSDATA, OBJMODEL, OWNER}
ContentExpirationDate   : 1/1/0001 12:00:00 AM
ContentValidityDuration : 0
ContentExpirationOption : Never
LicenseValidityDuration : 7
ReadOnly                : False
LastModifiedTimeStamp   : 1/26/2018 6:17:00 PM
ScopedIdentities        : {}
EnableInLegacyApps      : False
LabelId                 :

Dokumentspårningsloggar

Relevant för:Endast AIP klassisk klient

Kör cmdleten Get-AipServiceDocumentLog för att hämta information om en viss användare från dokumentuppföljningswebbplatsen. Om du vill ha spårningsinformation kopplad till dokumentloggarna använder du cmdleten Get-AipServiceTrackingLog.

Till exempel:

PS C:\Users> Get-AipServiceDocumentLog -UserEmail "admin@aip500.onmicrosoft.com"


ContentId             : 6326fcb2-c465-4c24-a7f6-1cace7a9cb6f
Issuer                : admin@aip500.onmicrosoft.com
Owner                 : admin@aip500.onmicrosoft.com
ContentName           :
CreatedTime           : 3/6/2018 10:24:00 PM
Recipients            : {
                        PrimaryEmail: johndoe@contoso.com
                        DisplayName: JOHNDOE@CONTOSO.COM
                        UserType: External,
                        PrimaryEmail: alice@contoso0110.onmicrosoft.com
                        DisplayName: ALICE@CONTOSO0110.ONMICROSOFT.COM
                        UserType: External
                        }
TemplateId            :
PolicyExpires         :
EULDuration           :
SendRegistrationEmail : True
NotificationInfo      : Enabled: False
                        DeniedOnly: False
                        Culture:
                        TimeZoneId:
                        TimeZoneOffset: 0
                        TimeZoneDaylightName:
                        TimeZoneStandardName:

RevocationInfo        : Revoked: False
                        RevokedTime:
                        RevokedBy:


PS C:\Users> Get-AipServiceTrackingLog -UserEmail "admin@aip500.onmicrosoft.com"

ContentId            : 6326fcb2-c465-4c24-a7f6-1cace7a9cb6f
Issuer               : admin@aip500.onmicrosoft.com
RequestTime          : 3/6/2018 10:45:57 PM
RequesterType        : External
RequesterEmail       : johndoe@contoso.com
RequesterDisplayName : johndoe@contoso.com
RequesterLocation    : IP: 167.220.1.54
                       Country: US
                       City: redmond
                       Position: 47.6812453974602,-122.120736471666

Rights               : {VIEW,OBJMODEL}
Successful           : False
IsHiddenInfo         : False

Det finns ingen sökning med ObjectID. Men du är inte begränsad av parametern och e-postadressen som du anger -UserEmail behöver inte vara en del av klientorganisationen. Om den angivna e-postadressen lagras var som helst i dokumentets spårningsloggar returneras dokumentspårningsposten i cmdlet-utdata.

Skydda och kontrollera åtkomst till personlig information

Personliga data som du visar och anger i Azure Portal är endast tillgängliga för användare som har tilldelats en av följande administratörsroller från Azure Active Directory:

  • Azure Information Protection-administratör

  • Efterlevnadsadministratör

  • Efterlevnadsdataadministratör

  • Säkerhetsadministratör

  • Säkerhetsläsare

  • Global administratör

  • Global läsare

Personliga data som du visar och anger med AIPService-modulen (eller den äldre modulen AADRM) är endast tillgängliga för användare som har tilldelats Azure Information Protection-administratören,efterlevnadsadministratören, efterlevnadsdataadministratöreneller globala administratörsroller från Azure Active Directory, eller den globala administratörsrollen för skyddstjänsten.

Uppdatera personliga data

Unified labeling client:

För den enhetliga etikettklienten är känslighetsetiketter och etikettprinciper konfigurerade i Microsoft 365 Efterlevnadscenter. Mer information finns i dokumentationen Microsoft 365 .

Klassisk klient:

För den klassiska klienten kan du uppdatera e-postadresser för omfattningsprinciper och skyddsinställningar i Azure Information Protection-principen. Mer information finns i Konfigurera Azure Information Protection-principen för specifika användare genom att använda omfattningsprinciper och Konfigurera en etikett för Rights Management Protection.

För skyddsinställningarna kan du uppdatera samma information med hjälp av PowerShell-cmdlets från AIPService-modulen.

Du kan inte uppdatera e-postadresser för superanvändare och delegerade administratörer. Ta istället bort det angivna användarkontot och lägg till användarkontot med den uppdaterade e-postadressen.

Superanvändare och delegerade administratörer för skyddstjänsten

När du behöver uppdatera en e-postadress för en superanvändare:

  1. Använd Remove-AipServiceSuperUser för att ta bort användaren och den gamla e-postadressen.

  2. Använd Add-AipServiceSuperUser för att lägga till användaren och en ny e-postadress.

När du behöver uppdatera en e-postadress för en delegerad administratör:

  1. Använd Remove-AipServiceRoleBasedAdministrator för att ta bort användaren och den gamla e-postadressen.

  2. Använd Add-AipServiceRoleBasedAdministrator för att lägga till användaren och ny e-postadress.

Skyddsmallar

Relevant för:Endast klassisk klient

Kör cmdleten Set-AipServiceTemplateProperty för att uppdatera skyddsmallen. Eftersom personliga data ligger inom egenskapen måste du också använda RightsDefinitions cmdleten RightsDefinitions för att skapa ett behörighetsdefinitionsobjekt med den uppdaterade informationen och använda behörighetsdefinitionsobjektet med Set-AipServiceTemplateProperty cmdleten.

Ta bort personliga data

  • Unified labeling client:

    För den enhetliga etikettklienten är känslighetsetiketter och etikettprinciper konfigurerade i Microsoft 365 Efterlevnadscenter. Mer information finns i Microsoft 365 dokumentation.

  • Klassisk klient:

    För den klassiska klienten kan du ta bort e-postadresser för omfattningsprinciper och skyddsinställningar i Azure Information Protection-principen. Mer information finns i Konfigurera Azure Information Protection-principen för specifika användare genom att använda omfattningsprinciper och Konfigurera en etikett för Rights Management Protection.

För skyddsinställningarna kan du ta bort samma information med hjälp av PowerShell-cmdlets från AIPService-modulen.

Om du vill ta bort e-postadresser för superanvändare och delegerade administratörer tar du bort dessa användare med cmdleten Remove-AipServiceSuperUser och Remove-AipServiceRoleBasedAdministrator.

Om du vill ta bort personliga data i dokumentspårningsloggar, administrationsloggar eller användningsloggar för skyddstjänsten använder du följande avsnitt för att ta upp en begäran till Microsoft Support.

Om du vill ta bort personlig information i klientloggfiler och skannerloggar som lagras på datorer använder du standardverktygen för Windows att ta bort filer eller personuppgifter i filerna.

Så här tar du bort personlig information med Microsoft Support

Använd följande tre steg för att begära att Microsoft tar bort personliga data i dokumentspårningsloggar, administrationsloggar eller användningsloggar för skyddstjänsten.

Steg 1: Påbörja borttagningen KontaktaMicrosoft Support för att öppna ett Support-ärende för Azure Information Protection med en begäran om att ta bort data från klientorganisationen. Du måste bevisa att du är administratör för Azure Information Protection-klienten och förstå att processen tar flera dagar att bekräfta. När du skickar din begäran måste du ange ytterligare information, beroende på vilka data som måste tas bort.

  • Ange slutdatumet för att ta bort administrationsloggen. Alla administratörsloggar fram till det slutdatumet tas bort.
  • Ange slutdatumet om du vill ta bort användningsloggarna. Alla användningsloggar fram till det slutdatumet tas bort.
  • Ange slutdatum och UserEmail om du vill ta bortdokumentspårningsloggarna. All dokumentspårningsinformation som relaterar till UserEmail tills slutdatumet tas bort. Reguljärt uttryck (Perl-format) för UserEmail stöds.

Att ta bort dessa data är en permanent åtgärd. Det finns inget sätt att återskapa data när en borttagningsbegäran har bearbetats. Vi rekommenderar att administratörer exporterar de data som krävs innan de skickar en borttagningsbegäran.

Steg 2: Vänta med verifiering Microsoft kontrollerar att din begäran om att ta bort en eller flera loggar är legitim. Den här processen kan ta upp till fem arbetsdagar.

Steg 3: Få en bekräftelse på att borttagningen är borttagen Microsoft Support Services (CSS) skickar ett bekräftelsemeddelande via e-post om att data har tagits bort.

Exportera personliga data

När du använder AIPService- eller AADRM PowerShell-cmdlets blir personliga data tillgängliga för sökning och export som ett PowerShell-objekt. PowerShell-objektet kan konverteras till JSON och sparas med hjälp av ConvertTo-Json cmdleten.

Azure Information Protection följer Microsofts sekretessvillkor för profilprofilering eller marknadsföring baserat på personuppgifter.

Granskning och rapportering

Endast användare som har tilldelats administratörsbehörighet kan använda AIPService- eller ADDRM-modulen för sökning och export av personuppgifter. Dessa åtgärder registreras i administrationsloggen som kan laddas ned.

För borttagningsåtgärder fungerar supportbegäran som gransknings- och rapporteringsslingan för de åtgärder som utförs av Microsoft. Efter borttagningen är borttagna data inte tillgängliga för sökning och export, och administratören kan kontrollera detta med cmdlet:arna Hämta från AIPService-modulen.