Administratörs guide: Konfigurera och använda dokument spårning för Azure Information ProtectionAdmin Guide: Configuring and using document tracking for Azure Information Protection

Gäller för: Azure information Protection, Windows 10, Windows 8,1, Windows 8, windows Server 2019, windows Server 2016, windows Server 2012 R2, windows Server 2012Applies to: Azure Information Protection, Windows 10, Windows 8.1, Windows 8, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012

Instruktioner för: Azure information Protection-klient för WindowsInstructions for: Azure Information Protection client for Windows

Anteckning

För att tillhandahålla en enhetlig och strömlinjeformad kund upplevelse är Azure information Protection-klienten (klassisk) och etikett hantering i Azure-portalen föråldrad den 31 mars 2021.To provide a unified and streamlined customer experience, Azure Information Protection client (classic) and Label Management in the Azure Portal are being deprecated as of March 31, 2021. Med den här tids ramen kan alla nuvarande Azure Information Protection-kunder övergå till vår enhetliga etikett lösning med hjälp av Microsoft Information Protection Unified Labeling-plattformen.This time-frame allows all current Azure Information Protection customers to transition to our unified labeling solution using the Microsoft Information Protection Unified Labeling platform. Läs mer i det officiella utfasnings meddelandet.Learn more in the official deprecation notice.

Om du har en prenumeration med stöd för spårning av dokument är webbplats för dokumentspårning aktiverad som standard för alla användare inom organisationen.If you have a subscription that supports document tracking, the document tracking site is enabled by default for all users in your organization. Dokumentspårningen innehåller information för användare och administratörer om när ett skyddat dokument öppnades och om ett spårat dokument kan återkallas.Document tracking provides information for users and administrators about when a protected document was accessed and if necessary, a tracked document can be revoked.

Använda PowerShell för att hantera webbplatsen för dokument spårningUsing PowerShell to manage the document tracking site

Följande avsnitt innehåller information om hur du kan hantera webbplatsen för dokument spårning med hjälp av PowerShell.The following sections contain information about how you can manage the document tracking site by using PowerShell. Installations anvisningar för PowerShell-modulen finns i Installera PowerShell-modulen AIPService.For installation instructions for the PowerShell module, see Installing the AIPService PowerShell module.

Använd de länkar som finns om du vill ha mer information om varje cmdlet.For more information about each of the cmdlets, use the links provided.

Sekretesskontroller på webbplatsen för dokumentspårningPrivacy controls for your document tracking site

Om du inte kan visa all dokument spårnings information i din organisation på grund av sekretess krav kan du inaktivera dokument spårning genom att använda cmdleten disable-AipServiceDocumentTrackingFeature .If displaying all document tracking information is prohibited in your organization because of privacy requirements, you can disable document tracking by using the Disable-AipServiceDocumentTrackingFeature cmdlet.

Denna cmdlet inaktiverar åtkomst till webbplatsen för dokumentspårning. Inga användare i organisationen kan därmed spåra eller återkalla åtkomst till dokument som de har skyddat.This cmdlet disables access to the document tracking site so that all users in your organization cannot track or revoke access to documents that they have protected. Du kan återaktivera dokument spårning när som helst genom att använda funktionen Enable-AipServiceDocumentTrackingFeature, och du kan kontrol lera om dokument spårning är aktiverat eller inaktiverat med hjälp av Get-AipServiceDocumentTrackingFeature.You can re-enable document tracking any time, by using the Enable-AipServiceDocumentTrackingFeature, and you can check whether document tracking is currently enabled or disabled by using Get-AipServiceDocumentTrackingFeature.

När webbplatsen för dokumentspårning är aktiverad visas som standard information som till exempel e-postadresser till de personer som försökt öppna skyddade dokument, vid vilken tidpunkt det skedde samt var de befinner sig.When the document tracking site is enabled, by default, it shows information such as the email addresses of the people who attempted to access the protected documents, when these people tried to access them, and their location. Den här nivån av information kan vara användbar för att se hur delade dokument används och om de bör återkallas ifall misstänkt aktivitet upptäcks.This level of information can be helpful to determine how the shared documents are used and whether they should be revoked if suspicious activity is seen. Du kan dock behöva inaktivera den här användarinformationen för vissa eller alla användare av sekretesskäl.However, for privacy reasons, you might need to disable this user information for some or all users.

Om du har användare som inte ska ha den här aktiviteten som spåras av andra användare, lägger du till dem i en grupp som är lagrad i Azure AD och anger den här gruppen med cmdleten set-AipServiceDoNotTrackUserGroup .If you have users who should not have this activity tracked by other users, add them to a group that is stored in Azure AD, and specify this group with the Set-AipServiceDoNotTrackUserGroup cmdlet. När du kör denna cmdlet kan du bara ange en enda grupp.When you run this cmdlet, you must specify a single group. Gruppen kan dock innehålla kapslade grupper.However, the group can contain nested groups.

För dessa grupp medlemmar kan användarna inte se någon aktivitet på webbplatsen för dokument spårning när aktiviteten är relaterad till dokument som de har delat med dem.For these group members, users cannot see any activity on the document tracking site when that activity is related to documents that they shared with them. Dessutom skickas inga e-postmeddelanden till den användare som delade dokumentet.In addition, no email notifications are sent to the user who shared the document.

När du använder den här konfigurationen kan alla användare fortfarande använda webbplatsen för dokumentspårning och återkalla åtkomst till dokument som de har skyddat.When you use this configuration, all users can still use the document tracking site and revoke access to documents that they have protected. De ser dock inte aktivitet för de användare som du har angett med cmdleten Set-AipServiceDoNotTrackUserGroup.However, they do not see activity for the users who you have specified by using the Set-AipServiceDoNotTrackUserGroup cmdlet.

Den här inställningen påverkar endast slutanvändare.This setting affects end users only. Administratörer för Azure Information Protection kan alltid spåra aktiviteter för alla användare, även när dessa användare anges med hjälp av Set-AipServiceDoNotTrackUserGroup.Administrators for Azure Information Protection can always track activities of all users, even when those users are specified by using Set-AipServiceDoNotTrackUserGroup. Mer information om hur administratörer kan spåra dokument för användare finns i avsnittet spåra och återkalla dokument för användare .For more information about how administrators can track documents for users, see the Tracking and revoking documents for users section.

Logga information från webbplatsen för dokument spårningLogging information from the document tracking site

Du kan använda följande cmdletar för att hämta loggnings information från webbplatsen för dokument spårning:You can use the following cmdlets to download logging information from the document tracking site:

  • Get-AipServiceTrackingLogGet-AipServiceTrackingLog

    Den här cmdleten returnerar spårnings information om skyddade dokument för en viss användare som har skyddat dokument (Rights Management utfärdare) eller som har åtkomst till skyddade dokument.This cmdlet returns tracking information about protected documents for a specified user who protected documents (the Rights Management issuer) or who accessed protected documents. Använd den här cmdleten för att besvara frågan "vilka skyddade dokument har ett angivet användar spår eller åtkomst?"Use this cmdlet to help answer the question "Which protected documents did a specified user track or access?"

  • Get-AipServiceDocumentLogGet-AipServiceDocumentLog

    Den här cmdleten returnerar skydds information om de spårade dokumenten för en viss användare, om de skyddade dokumenten (Rights Management utfärdare) eller var Rights Management ägare för dokument, eller om skyddade dokument har kon figurer ATS för att bevilja åtkomst direkt till användaren.This cmdlet returns protection information about the tracked documents for a specified user if that user protected documents (the Rights Management issuer) or was the Rights Management owner for documents, or protected documents were configured to grant access directly to the user. Använd den här cmdleten för att besvara frågan "hur är dokument som skyddas för en viss användare?"Use this cmdlet to help answer the question "How are documents protected for a specified user?"

Mål-URL:er som används av webbplatsen för dokumentspårningDestination URLs used by the document tracking site

Följande URL: er används för dokument spårning och måste tillåtas på alla enheter och tjänster mellan klienter som kör Azure Information Protection-klienten och Internet.The following URLs are used for document tracking and must be allowed on all devices and services between the clients that run the Azure Information Protection client and the internet. Lägg till exempel till dessa URL:er i brandväggar, eller i Tillförlitliga platser om du använder Internet Explorer med förbättrad säkerhet.For example, add these URLs to firewalls, or to your Trusted Sites if you're using Internet Explorer with Enhanced Security.

  • https://*.azurerms.com

  • https://*.microsoftonline.com

  • https://*.microsoftonline-p.com

  • https://ecn.dev.virtualearth.net

Dessa URL:er är standard för Azure Rights Management-tjänsten, med undantag av URL:en virtualearth.net som används för att Bing-kartor ska kunna visa användarens plats.These URLs are standard for the Azure Rights Management service, with the exception of the virtualearth.net URL that is used for Bing maps to display the user location.

Spåra och återkalla dokument för användareTracking and revoking documents for users

När användarna loggar in på webbplatsen för dokument spårning kan de spåra och återkalla dokument som de har skyddat med hjälp av Azure Information Protection-klienten.When users sign in to the document tracking site, they can track and revoke documents that they have protected by using the Azure Information Protection client. När du loggar in som global administratör för Azure AD för din klient, kan du klicka på administratörs ikonen, som växlar till administratörs läge.When you sign in as an Azure AD global administrator for your tenant, you can click the Admin icon, which switches to Administrator mode. Andra administratörs roller stöder inte det här läget för webbplatsen för dokument spårning.Other administrator roles do not support this mode for the document tracking site.

Administratörsikon på webbplatsen för dokumentspårning

I administratörs läget kan du se de dokument som användarna i din organisation har valt att spåra med hjälp av Azure Information Protection-klienten.The Administrator mode lets you see the documents that users in your organization have selected to track by using the Azure Information Protection client.

Anteckning

Om du inte ser den här ikonen, trots att det är en global administratör, beror det på att du ännu inte har delat några dokument själv.If you do not see this icon, despite being a global administrator, it's because you haven't yet shared any documents yourself. I det här fallet använder du följande URL för att komma åt webbplatsen för dokument spårning: https://portal.azurerms.com/#/adminIn this case, use the following URL to access the document tracking site: https://portal.azurerms.com/#/admin

Åtgärderna du vidtar i administratörsläget granskas och loggas i användningsloggfiler, och du måste bekräfta för att fortsätta.Actions that you take in Administrator mode are audited and logged in the usage log files, and you must confirm to continue. Mer information om loggningen finns i nästa avsnitt.For more information about this logging, see the next section.

I administratörsläget kan du söka efter användare eller dokument.When you are in Administrator mode, you can then search by user or document. Om du söker efter användare visas alla dokument som den angivna användaren har valt att spåra med hjälp av Azure Information Protection-klienten.If you search by user, you see all the documents that the specified user has selected to track by using the Azure Information Protection client.

Om du söker efter dokument visas alla användare i din organisation som spårar dokumentet med hjälp av Azure Information Protection-klienten.If you search by document, you see all the users in your organization who tracked that document by using the Azure Information Protection client. Du kan visa mer detaljerad information i sökresultaten om du vill hitta dokument som användare har skyddat och återkalla dessa dokument om det behövs.You can then drill into the search results to track the documents that users have protected and revoke these documents, if necessary.

Om du vill lämna administratörs läget klickar du på X bredvid gå ur administratörs läge:To leave the Administrator mode, click X next to Exit administrator mode:

Avsluta administratörsläge på webbplatsen för dokumentspårning

Mer information hur du använder webbplatsen för dokumentspårning finns i Spåra och återkalla dokument i användarhandboken.For instructions how to use the document tracking site, see Track and revoke your documents from the user guide.

Använda PowerShell för att registrera etiketterade dokument med webbplatsen för dokument spårningUsing PowerShell to register labeled documents with the document tracking site

För att kunna spåra och återkalla ett dokument måste det först registreras på webbplatsen för dokument spårning.To be able to track and revoke a document, it must first be registered with the document tracking site. Den här åtgärden inträffar när användarna väljer alternativet spåra och återkalla från Utforskaren eller deras Office-appar när de använder Azure information Protection-klienten.This action occurs when users select the Track and revoke option from File Explorer or their Office apps when they use the Azure Information Protection client.

Om du etiketterar och skyddar filer för användare med hjälp av cmdleten set-AIPFileLabel kan du använda parametern EnableTracking för att registrera filen med webbplatsen för dokument spårning.If you label and protect files for users by using the Set-AIPFileLabel cmdlet, you can use the EnableTracking parameter to register the file with the document tracking site. Exempel:For example:

Set-AIPFileLabel -Path C:\Projects\ -LabelId ade72bf1-4714-4714-4714-a325f824c55a -EnableTracking

Användningsloggning för webbplatsen för dokumentspårningUsage logging for the document tracking site

Två fält i användningsloggfilerna gäller för spårning av dokument: AdminAction och ActingAsUser.Two fields in the usage log files are applicable to document tracking: AdminAction and ActingAsUser.

AdminAction – Det här fältet har värdet sant när en administratör använder webbplatsen för dokumentspårning i administratörsläget, till exempel för att återkalla ett dokument åt en användare eller kontrollera när dokumentet delades.AdminAction - This field has a value of true when an administrator uses the document tracking site in Administrator mode, for example, to revoke a document on a user's behalf or to see when it was shared. Det här fältet är tomt när en användare loggar in på webbplatsen för dokumentspårning.This field is empty when a user signs in to the document tracking site.

ActingAsUser – När fältet AdminAction är sant innehåller det här fältet namnet på den användare som administratören agerar ombud för (som eftersökt användare eller dokumentägare).ActingAsUser - When the AdminAction field is true, this field contains the user name that the administrator is acting on behalf of as the searched for user or document owner. Det här fältet är tomt när en användare loggar in på webbplatsen för dokumentspårning.This field is empty when a user signs in to the document tracking site.

Det finns även begärandetyper som loggar hur användare och administratörer använder webbplatsen för dokumentspårning.There are also request types that log how users and administrators are using the document tracking site. RevokeAccess är till exempel begärandetyp när en användare eller administratör återkallar ett dokument för en användares räkning på webbplatsen för dokumentspårning.For example, RevokeAccess is the request type when a user or an administrator on behalf of a user has revoked a document in the document tracking site. Med den här begärandetypen i kombination med fältet AdminAction kan du avgöra om användaren har återkallat sitt eget dokument (AdminAction-fältet är tomt) eller om en administratör har återkallat ett dokument för en användares räkning (AdminAction är sant).Use this request type in combination with the AdminAction field to determine whether the user revoked their own document (the AdminAction field is empty) or an administrator revoked a document on behalf of a user (the AdminAction is true).

Mer information om användnings loggning finns i Logga och analysera skydds användningen från Azure information ProtectionFor more information about usage logging, see Logging and analyzing the protection usage from Azure Information Protection

Nästa stegNext steps

När du nu har konfigurerat webbplatsen för dokumentspårning för Azure Information Protection-klienten kan du läsa följande ytterligare information som du kan behöva för att stödja denna klient:Now that you've configured the document tracking site for the Azure Information Protection client, see the following for additional information that you might need to support this client: