Yönetici Kılavuzu: Azure Information Protection için belge izlemeyi yapılandırma ve kullanmaAdmin Guide: Configuring and using document tracking for Azure Information Protection

Uygulama hedefi: Azure Information Protection, Windows 10, Windows 8.1, Windows 8, Windows 7 SP1, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012, Windows Server 2008 R2Applies to: Azure Information Protection, Windows 10, Windows 8.1, Windows 8, Windows 7 with SP1, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012, Windows Server 2008 R2

Belge izlemeyi destekleyen bir aboneliğiniz varsa, kuruluşunuzdaki tüm kullanıcılar için belge izleme sitesi varsayılan olarak etkindir.If you have a subscription that supports document tracking, the document tracking site is enabled by default for all users in your organization. Belge izleme, kullanıcılara ve yöneticilere korumalı belgelere ne zaman erişildiği hakkında bilgi sağlar ve gerekirse izlenen bir belge iptal edilebilir.Document tracking provides information for users and administrators about when a protected document was accessed and if necessary, a tracked document can be revoked.

Belge izleme sitesini yönetmek için PowerShell kullanmaUsing PowerShell to manage the document tracking site

Aşağıdaki bölümler, belge izleme sitesine PowerShell kullanarak nasıl yönetebileceğiniz hakkında bilgi içerir.The following sections contain information about how you can manage the document tracking site by using PowerShell. PowerShell modülünün yükleme yönergeleri için bkz. AADRM PowerShell modülünü yükleme.For installation instructions for the PowerShell module, see Installing the AADRM PowerShell module. Modülü daha önce indirip yüklediyseniz aşağıdaki komutu çalıştırarak sürüm numarasını kontrol edin: (Get-Module aadrm –ListAvailable).VersionIf you have previously downloaded and installed the module, check the version number by running: (Get-Module aadrm –ListAvailable).Version

Cmdlet'lerin her birine hakkında daha fazla bilgi için sağlanan bağlantıları kullanın.For more information about each of the cmdlets, use the links provided.

Belge izleme siteniz için gizlilik denetimleriPrivacy controls for your document tracking site

Gizlilik gereksinimleri nedeniyle, kuruluşunuzda tüm belge izleme bilgilerinin görüntülenmesi yasaklanmışsa, Disable-AadrmDocumentTrackingFeature cmdlet'ini kullanarak belge izlemeyi devre dışı bırakabilirsiniz.If displaying all document tracking information is prohibited in your organization because of privacy requirements, you can disable document tracking by using the Disable-AadrmDocumentTrackingFeature cmdlet.

Bu cmdlet belge izleme sitesine erişimi devre dışı bırakır ve bu durumda kuruluşunuzdaki kullanıcıların hiçbiri koruma altına aldıkları belgeleri izleyemez veya bu belgelere erişimi iptal edemez.This cmdlet disables access to the document tracking site so that all users in your organization cannot track or revoke access to documents that they have protected. Enable-AadrmDocumentTrackingFeature cmdlet’ini kullanarak istediğiniz zaman belge izlemeyi yeniden etkinleştirebilir ve belge izlemenin şu anda etkin mi yoksa devre dışı mı olduğunu kontrol etmek için Get-AadrmDocumentTrackingFeature cmdlet’ini kullanabilirsiniz.You can re-enable document tracking any time, by using the Enable-AadrmDocumentTrackingFeature, and you can check whether document tracking is currently enabled or disabled by using Get-AadrmDocumentTrackingFeature. Bu cmdlet'leri çalıştırmak için en az olmalıdır sürüm 2.3.0.0 AADRM PowerShell modülü.To run these cmdlets, you must have at least version 2.3.0.0 of the AADRM module for PowerShell.

Belge izleme sitesi etkinleştirildiğinde, varsayılan olarak korumalı belgelere erişmeye çalışan kişilerin e-posta adresleri, bu kişilerin ne zaman erişmeye çalıştıkları ve bulundukları konumlar gibi bilgileri gösterir.When the document tracking site is enabled, by default, it shows information such as the email addresses of the people who attempted to access the protected documents, when these people tried to access them, and their location. Bu bilgi düzeyi, paylaşılan belgelerin nasıl kullanıldığını ve şüpheli bir etkinlik görüldüğünde iptal edilip edilmeyeceğini saptama açısından yararlı olabilir.This level of information can be helpful to determine how the shared documents are used and whether they should be revoked if suspicious activity is seen. Öte yandan, gizlilik nedeniyle kullanıcıların bir bölümü veya tümü için bu kullanıcı bilgilerini devre dışı bırakmanız gerekebilir.However, for privacy reasons, you might need to disable this user information for some or all users.

Diğer kullanıcılar tarafından izlenen bu etkinliğinin izlenmemesi gereken kullanıcılarınız varsa, bunları Azure AD'de depolanan bir gruba eklemek ve bu gruba belirtin Set-AadrmDoNotTrackUserGroup cmdlet'i.If you have users who should not have this activity tracked by other users, add them to a group that is stored in Azure AD, and specify this group with the Set-AadrmDoNotTrackUserGroup cmdlet. Bu cmdlet’i çalıştırırken tek bir grup belirtmelisiniz.When you run this cmdlet, you must specify a single group. Bununla birlikte, grup iç içe gruplar içerebilir.However, the group can contain nested groups.

Bu grup üyeleri için kullanıcılar, belge izleme sitesini bu etkinlik, kendileriyle paylaşılan belgelere ilgiliyse üzerinde herhangi bir etkinliği göremez.For these group members, users cannot see any activity on the document tracking site when that activity is related to documents that they shared with them. Buna ek olarak, .belgeyi paylaşan kullanıcıya e-posta bildirimleri gönderilmez.In addition, no email notifications are sent to the user who shared the document.

Bu yapılandırmayı kullandığınızda, tüm kullanıcılar yine belge izleme sitesini kullanabilir ve koruma altına aldıkları belgelere erişimi iptal edebilir.When you use this configuration, all users can still use the document tracking site and revoke access to documents that they have protected. Ancak, Set-AadrmDoNotTrackUserGroup cmdlet’ini kullanarak belirtmiş olduğunuz kullanıcıların etkinliklerini göremezler.However, they do not see activity for the users who you have specified by using the Set-AadrmDoNotTrackUserGroup cmdlet.

Bu ayar, son kullanıcıların yalnızca etkiler.This setting affects end users only. Azure Information Protection yöneticileri bile bu kullanıcılar, Set-AadrmDoNotTrackUserGroup kullanarak belirtildiğinde her zaman tüm kullanıcı etkinliklerini takip edebilirsiniz.Administrators for Azure Information Protection can always track activities of all users, even when those users are specified by using Set-AadrmDoNotTrackUserGroup. Nasıl yöneticileri kullanıcılar için belge izleyebilir hakkında daha fazla bilgi için bkz. izleme ve kullanıcıların belgeleri iptal etme bölümü.For more information about how administrators can track documents for users, see the Tracking and revoking documents for users section.

Belge İzleme sitesinden bilgi günlük kaydıLogging information from the document tracking site

En düşük sürümü olduğunda 2.13.0.0 AADRM modülü için belge izleme sitesinden günlüğe bilgi indirmek için aşağıdaki cmdlet'leri kullanabilirsiniz:When you have a minimum version of 2.13.0.0 for the AADRM module, you can use the following cmdlets to download logging information from the document tracking site:

  • Get-AadrmTrackingLogGet-AadrmTrackingLog

    Bu cmdlet, ilgili kim korunan belgeleri (Rights Management veren) veya kimin eriştiği korumalı belgeleri belirli bir kullanıcı için korumalı belgeleri izleme bilgilerini döndürür.This cmdlet returns tracking information about protected documents for a specified user who protected documents (the Rights Management issuer) or who accessed protected documents. Sorunun yanıtlanmasına yardımcı olmak için bu cmdlet'i kullanın "hangi korumalı belgeleri belirli bir kullanıcıya mı izlemek veya erişim?"Use this cmdlet to help answer the question "Which protected documents did a specified user track or access?"

  • Get-AadrmDocumentLogGet-AadrmDocumentLog

    Bu cmdlet kullanıcının korunan belgeleri (Rights Management veren) ya da belgeler için Rights Management sahibi ya da korumalı belgeleri erişim vermek için yapılandırılmış olan belirli bir kullanıcı için izlenen belgeler hakkında bilgi koruma döndürür doğrudan kullanıcı.This cmdlet returns protection information about the tracked documents for a specified user if that user protected documents (the Rights Management issuer) or was the Rights Management owner for documents, or protected documents were configured to grant access directly to the user. "Nasıl belgeler için belirli bir kullanıcı korunuyor?" sorusunu yardımcı olması için bu cmdlet'i kullanınUse this cmdlet to help answer the question "How are documents protected for a specified user?"

Belge izleme sitesi tarafından kullanılan hedef URL’lerDestination URLs used by the document tracking site

Belge izleme için aşağıdaki URL’ler kullanılır ve Azure Information Protection istemcisini çalıştıran istemcilerle İnternet arasında tüm cihazlarda ve hizmetlerde bunlara izin verilmelidir.The following URLs are used for document tracking and must be allowed on all devices and services between the clients that run the Azure Information Protection client and the Internet. Örneğin, bu URL’leri güvenlik duvarlarına veya Internet Explorer’ı Artırılmış Güvenlikle kullanıyorsanız Güvenilen Siteler’e ekleyin.For example, add these URLs to firewalls, or to your Trusted Sites if you're using Internet Explorer with Enhanced Security.

  • https://*.azurerms.com

  • https://*.microsoftonline.com

  • https://*.microsoftonline-p.com

  • https://ecn.dev.virtualearth.net

Kullanıcının konumunu görüntülemek üzere Bing haritalar tarafından kullanılan virtualearth.net URL’si dışında, bu URL’ler Azure Rights Management hizmeti için standarttır.These URLs are standard for the Azure Rights Management service, with the exception of the virtualearth.net URL that is used for Bing maps to display the user location.

Kullanıcılar için belge izleme ve iptal etmeTracking and revoking documents for users

Kullanıcılar belge izleme sitesinde oturum açtıklarında, Azure Information Protection istemcisini kullanarak korudukları veya Rights Management özellikli paylaşım uygulamasıyla paylaştıkları belgeleri izleyebilir ve iptal edebilir.When users sign in to the document tracking site, they can track and revoke documents that they have protected by using the Azure Information Protection client or shared by using the Rights Management sharing application. Kiracınız için Azure AD genel yönetici olarak oturum açtığınızda, yönetici moduna geçmek yönetici simgesine tıklayabilirsiniz.When you sign in as an Azure AD global administrator for your tenant, you can click the Admin icon, which switches to Administrator mode. Diğer yönetici rollerini, belge izleme sitesi için bu modu desteklemez.Other administrator roles do not support this mode for the document tracking site.

Belge izleme sitesindeki yönetici simgesi

Yönetici modundan kuruluşunuzdaki kullanıcıların Azure Information Protection istemcisini kullanarak izlemeyi seçtiği veya Rights Management özellikli paylaşım uygulamasını kullanarak paylaştığı belgeleri görmenize olanak tanır.The Administrator mode lets you see the documents that users in your organization have selected to track by using the Azure Information Protection client, or shared by using the Rights Management sharing application.

Not

Bir genel yönetici olan rağmen bu simgeyi görmüyorsanız, henüz hiçbir belge kendiniz paylaşmadınız olmasıdır.If you do not see this icon, despite being a global administrator, it's because you haven't yet shared any documents yourself. Bu durumda, belge izleme sitesine erişmek için şu URL'yi kullanın: https://portal.azurerms.com/#/adminIn this case, use the following URL to access the document tracking site: https://portal.azurerms.com/#/admin

Yönetici modunda gerçekleştirebileceğiniz eylemler denetlenir ve kullanım günlük dosyalarına kaydedilir ve devam etmek için onaylamanız gerekir.Actions that you take in Administrator mode are audited and logged in the usage log files, and you must confirm to continue. Bu günlüğe kaydetme hakkında daha fazla bilgi için bir sonraki bölüme bakın.For more information about this logging, see the next section.

Yönetici modundayken daha sonra kullanıcıya veya belgeye göre arama yapabilirsiniz.When you are in Administrator mode, you can then search by user or document. Kullanıcıya göre arama yaparsanız, belirtilen kullanıcının Azure Information Protection istemcisini kullanarak izlemeyi seçtiği veya Rights Management özellikli paylaşım uygulamasını kullanarak paylaştığı tüm belgeleri görürsünüz.If you search by user, you see all the documents that the specified user has selected to track by using the Azure Information Protection client, or shared by using the Rights Management sharing application.

Belgeye göre arama yaparsanız, kuruluşunuzda Azure Information Protection istemcisini kullanarak belirtilen belgeyi izlemeyi seçen veya Rights Management özellikli paylaşım uygulamasını kullanarak paylaşan tüm kullanıcıları görürsünüz.If you search by document, you see all the users in your organization who tracked that document by using the Azure Information Protection client, or shared by using the Rights Management sharing application. Daha sonra, kullanıcıların korumaya aldığı belgeleri izlemek ve gerekirse bu belgeleri iptal etmek için arama sonuçlarının ayrıntısına inebilirsiniz.You can then drill into the search results to track the documents that users have protected and revoke these documents, if necessary.

Yönetici modundan ayrılmak için Yönetici modundan çık’ın yanındaki X simgesine tıklayın:To leave the Administrator mode, click X next to Exit administrator mode:

Belge izleme sitesinde yönetici modundan çıkma

Belge izleme sitesinin kullanımı hakkında yönergeler için kullanıcı kılavuzundan Belgelerinizi izleme ve iptal etme’ye bakın.For instructions how to use the document tracking site, see Track and revoke your documents from the user guide.

Belge İzleme sitesine etiketli belgeleri kaydetmek için PowerShell'i kullanmaUsing PowerShell to register labeled documents with the document tracking site

Bu seçenek, yalnızca Azure Information Protection istemcisinin mevcut Önizleme sürümü için kullanılabilir.This option is only available for the current preview version of the Azure Information Protection client.

İzleme ve bir belgeyi iptal edebilmek için önce belge izleme sitesine kayıtlı olması gerekir.To be able to track and revoke a document, it must first be registered with the document tracking site. Kullanıcılar bu eylem gerçekleşir izleme ve iptal etme dosya Gezgini veya Office uygulamalarını Azure Information Protection istemcisini kullandığında seçeneği.This action occurs when users select the Track and revoke option from File Explorer or their Office apps when they use the Azure Information Protection client. Rights Management özellikli paylaşım uygulaması için kullanıcılar bu eylem otomatik olarak gerçekleşir. korumalı paylaş seçeneği.For the Rights Management sharing application, this action occurs automatically when users select the Share Protected option.

Etiket ve kullanarak kullanıcıların dosyaları korumalarına Set-Aıpfilelabel kullanabileceğiniz cmdlet'ini EnableTracking belge izleme sitesinden dosyayı kaydetmek için parametre.If you label and protect files for users by using the Set-AIPFileLabel cmdlet, you can use the EnableTracking parameter to register the file with the document tracking site. Örneğin:For example:

Set-AIPFileLabel -Path C:\Projects\ -LabelId ade72bf1-4714-4714-4714-a325f824c55a -EnableTracking

Belge izleme sitesi için kullanım günlüğü kaydetmeUsage logging for the document tracking site

Kullanım günlük dosyalarındaki iki alan belge izleme için geçerlidir: AdminAction ve ActingAsUser.Two fields in the usage log files are applicable to document tracking: AdminAction and ActingAsUser.

AdminAction - Bir yönetici belge izleme sitesini, örneğin bir kullanıcı adına bir belgeyi iptal etmek veya ne zaman paylaşıldığını görmek için Yönetici modunda kullanırken bu alanın değeri true’dur.AdminAction - This field has a value of true when an administrator uses the document tracking site in Administrator mode, for example, to revoke a document on a user's behalf or to see when it was shared. Kullanıcı belge izleme sitesinde oturum açtığında bu alan boştur.This field is empty when a user signs in to the document tracking site.

ActingAsUser - AdminAction alanı true olduğunda, bu alan, yöneticinin aranan kullanıcı veya belge sahibi olarak adına eylemde bulunduğu kullanıcı adını içerir.ActingAsUser - When the AdminAction field is true, this field contains the user name that the administrator is acting on behalf of as the searched for user or document owner. Kullanıcı belge izleme sitesinde oturum açtığında bu alan boştur.This field is empty when a user signs in to the document tracking site.

Ayrıca, kullanıcıların ve yöneticilerin belge izleme sitesini nasıl kullandığını günlüğe kaydeden istek türleri bulunur.There are also request types that log how users and administrators are using the document tracking site. Örneğin, bir kullanıcı adına bir yönetici veya bir kullanıcı belge izleme sitesinde bir belgeyi iptal ettiğinde, istek türü RevokeAccess’tir.For example, RevokeAccess is the request type when a user or an administrator on behalf of a user has revoked a document in the document tracking site. Kullanıcının kendi belgesini mi iptal ettiğini (AdminAction alanı boş) veya bir yöneticinin bir belgeyi bir kullanıcı adına mı iptal ettiğini (AdminAction true) belirlemek için, bu istek türünü AdminAction alanı ile birlikte kullanın.Use this request type in combination with the AdminAction field to determine whether the user revoked their own document (the AdminAction field is empty) or an administrator revoked a document on behalf of a user (the AdminAction is true).

Kullanım günlüğü hakkında daha fazla bilgi için bkz. Azure Rights Management hizmeti kullanımını günlüğe kaydetme ve çözümlemeFor more information about usage logging, see Logging and analyzing usage of the Azure Rights Management service

Sonraki adımlarNext steps

Artık Azure Information Protection istemcisine ait belge izleme sitesini yapılandırdığınıza göre, bu istemciye yönelik destek için gerek duyabileceğiniz aşağıdaki ek bilgilere göz atabilirsiniz:Now that you've configured the document tracking site for the Azure Information Protection client, see the following for additional information that you might need to support this client: