管理 Azure 信息保护的个人数据

适用于:Azure信息保护

相关:AIP 统一标签客户端和经典客户端

注意

为了提供统一且简化的客户体验,Azure 门户中的Azure信息保护经典客户端和标签管理在2021年 3 月 31 日已弃用。 不再提供对经典客户端的进一步支持,并且将不再发布维护版本。

经典客户端将于 2022 年 3 月 31 日正式停用并停止运行。

所有当前的 Azure 信息保护经典客户端客户必须迁移到统一Microsoft 信息保护平台,并升级到统一标签客户端。 在迁移博客 中了解更多信息

配置和使用 Azure 信息保护时,Azure 信息保护服务会存储和使用电子邮件地址和 IP 地址。 可在以下项中找到此个人数据:

  • 保护服务的超级用户和委派管理员

  • 保护服务的管理日志

  • 保护服务的使用情况日志

  • Azure 信息保护客户端和 RMS 客户端的使用情况日志

仅 AIP 经典客户端

  • Azure 信息保护策略

  • 保护服务的模板

  • 文档跟踪日志

注意

本文提供从设备或服务中删除个人数据的步骤,可用于支持 GDPR 下的责任。 如果要查找有关 GDPR 的常规信息,请参阅服务信任门户 的 GDPR 部分

查看 Azure 信息保护使用的个人数据

  • 统一标签客户端

    对于统一标签客户端,敏感度标签和标签策略在Microsoft 365 合规中心。 有关详细信息,请参阅 Microsoft 365文档

  • 经典客户端

    对于经典客户端,请使用 Azure 门户为范围策略和标签配置中的保护设置指定电子邮件地址。 有关详细信息,请参阅如何使用范围策略为特定用户配置 Azure 信息保护策略和 如何为权限管理保护配置标签

    对于配置为从 Azure Rights Management 服务应用保护的标签,还可使用 AIPService模块中的 PowerShell cmdlet 在保护模板中找到电子邮件地址。 此 PowerShell 模块还允许管理员按电子邮件地址将用户指定为超级用户 ,或Azure Rights Management 服务的管理员。

注意

使用 Azure 信息保护对文档和电子邮件进行分类和保护时,电子邮件地址和用户的 IP 地址可能会保存在日志文件中。

保护服务的超级用户和委派管理员

运行 Get-AipServiceSuperUser cmdlet 和 get-aipservicerolebasedadministrator cmdlet,查看从 Azure 信息保护为保护服务 (Azure Rights Management) 分配了超级用户角色或 全局管理员角色 的用户。 对于已分配这些角色之一的用户,将显示其电子邮件地址。

保护服务的管理日志

运行 Get-AipServiceAdminLog cmdlet,从 Azure 信息保护获取 Azure Rights Management (保护服务的管理员) 日志。 此日志包括电子邮件地址和 IP 地址形式的个人数据。 日志是纯文本的,下载后,可以脱机搜索特定管理员的详细信息。

例如:

PS C:\Users> Get-AipServiceAdminLog -Path '.\Desktop\admin.log' -FromTime 4/1/2018 -ToTime 4/30/2018 -Verbose
The Rights Management administration log was successfully generated and can be found at .\Desktop\admin.log.

保护服务的使用情况日志

运行 Get-AipServiceUserLog cmdlet,从 Azure 信息保护检索使用保护服务的最终用户操作日志。 日志可能包含电子邮件地址和 IP 地址形式的个人数据。 日志是纯文本的,下载后,可以脱机搜索特定管理员的详细信息。

例如:

PS C:\Users> Get-AipServiceUserLog -Path '.\Desktop\' -FromDate 4/1/2018 -ToDate 4/30/2018 -NumberOfThreads 10
Acquiring access to your user log…
Downloading the log for 2018-04-01.
Downloading the log for 2018-04-03.
Downloading the log for 2018-04-06.
Downloading the log for 2018-04-09.
Downloading the log for 2018-04-10.
Downloaded the log for 2018-04-01. The log is available at .\Desktop\rmslog-2018-04-01.log.
Downloaded the log for 2018-04-03. The log is available at .\Desktop\rmslog-2018-04-03.log.
Downloaded the log for 2018-04-06. The log is available at .\Desktop\rmslog-2018-04-06.log.
Downloaded the log for 2018-04-09. The log is available at .\Desktop\rmslog-2018-04-09.log.
Downloaded the log for 2018-04-10. The log is available at .\Desktop\rmslog-2018-04-10.log.
Downloading the log for 2018-04-12.
Downloading the log for 2018-04-13.
Downloading the log for 2018-04-14.
Downloading the log for 2018-04-16.
Downloading the log for 2018-04-18.
Downloaded the log for 2018-04-12. The log is available at .\Desktop\rmslog-2018-04-12.log.
Downloaded the log for 2018-04-13. The log is available at .\Desktop\rmslog-2018-04-13.log.
Downloaded the log for 2018-04-14. The log is available at .\Desktop\rmslog-2018-04-14.log.
Downloaded the log for 2018-04-16. The log is available at .\Desktop\rmslog-2018-04-16.log.
Downloaded the log for 2018-04-18. The log is available at .\Desktop\rmslog-2018-04-18.log.
Downloading the log for 2018-04-24.
Downloaded the log for 2018-04-24. The log is available at .\Desktop\rmslog-2018-04-24.log.

Azure 信息保护客户端和 RMS 客户端的使用情况日志

将标签和保护应用于文档和电子邮件时,电子邮件地址和 IP 地址可以存储在用户计算机的日志文件中,位于以下位置:

  • 对于 Azure 信息保护统一标签和经典客户端 :%localappdata%\Microsoft\MSIP\Logs

  • 对于 RMS 客户端 :%localappdata%\Microsoft\MSIPC\msip\Logs

此外,Azure 信息保护客户端将此个人数据记录到本地 Windows事件日志 应用程序和服务日志Azure 信息保护

当 Azure 信息保护客户端运行扫描仪时,个人数据将保存到运行扫描仪的 Windows Server 计算机上%localappdata%\Microsoft\MSIP\Scanner\Reports。

可以使用以下配置关闭 Azure 信息保护客户端和扫描程序日志记录信息:

  • 对于 Azure 信息保护客户端:创建高级客户端设置,将LogLevel配置为Off。

  • 对于 Azure 信息保护扫描程序:使用Set-AIPScannerConfiguration cmdlet 将ReportLevel参数设置为Off。

注意

如果有兴趣查看或删除个人数据,请查看 Microsoft 合规性管理器和 Microsoft 合规性网站的GDPR部分中的Microsoft Microsoft 365 企业版指南。 如果要查找有关 GDPR 的一般信息,请参阅服务信任门户 的 GDPR 部分

保护模板

相关:仅 AIP 经典客户端

运行 Get-AipServiceTemplate cmdlet 获取保护模板列表。 可以使用模板 ID 获取特定模板的详细信息。 RightsDefinitions对象显示个人数据(如果有)。

示例:

PS C:\Users> Get-AipServiceTemplate -TemplateId fcdbbc36-1f48-48ca-887f-265ee1268f51 | select *


TemplateId              : fcdbbc36-1f48-48ca-887f-265ee1268f51
Names                   : {1033 -> Confidential}
Descriptions            : {1033 -> This data includes sensitive business information. Exposing this data to
                          unauthorized users may cause damage to the business. Examples for Confidential information
                          are employee information, individual customer projects or contracts and sales account data.}
Status                  : Archived
RightsDefinitions       : {admin@aip500.onmicrosoft.com -> VIEW, VIEWRIGHTSDATA, EDIT, DOCEDIT, PRINT, EXTRACT,
                          REPLY, REPLYALL, FORWARD, EXPORT, EDITRIGHTSDATA, OBJMODEL, OWNER,
                          AllStaff-7184AB3F-CCD1-46F3-8233-3E09E9CF0E66@aip500.onmicrosoft.com -> VIEW,
                          VIEWRIGHTSDATA, EDIT, DOCEDIT, PRINT, EXTRACT, REPLY, REPLYALL, FORWARD, EXPORT,
                          EDITRIGHTSDATA, OBJMODEL, OWNER, admin2@aip500.onmicrosoft.com -> VIEW, VIEWRIGHTSDATA, EDIT,
                          DOCEDIT, PRINT, EXTRACT, REPLY, REPLYALL, FORWARD, EXPORT, EDITRIGHTSDATA, OBJMODEL, OWNER}
ContentExpirationDate   : 1/1/0001 12:00:00 AM
ContentValidityDuration : 0
ContentExpirationOption : Never
LicenseValidityDuration : 7
ReadOnly                : False
LastModifiedTimeStamp   : 1/26/2018 6:17:00 PM
ScopedIdentities        : {}
EnableInLegacyApps      : False
LabelId                 :

文档跟踪日志

相关:仅 AIP 经典客户端

运行 Get-AipServiceDocumentLog cmdlet,从文档跟踪站点检索有关特定用户的信息。 若要获取与文档日志关联的跟踪信息,请使用 Get-AipServiceTrackingLog cmdlet。

例如:

PS C:\Users> Get-AipServiceDocumentLog -UserEmail "admin@aip500.onmicrosoft.com"


ContentId             : 6326fcb2-c465-4c24-a7f6-1cace7a9cb6f
Issuer                : admin@aip500.onmicrosoft.com
Owner                 : admin@aip500.onmicrosoft.com
ContentName           :
CreatedTime           : 3/6/2018 10:24:00 PM
Recipients            : {
                        PrimaryEmail: johndoe@contoso.com
                        DisplayName: JOHNDOE@CONTOSO.COM
                        UserType: External,
                        PrimaryEmail: alice@contoso0110.onmicrosoft.com
                        DisplayName: ALICE@CONTOSO0110.ONMICROSOFT.COM
                        UserType: External
                        }
TemplateId            :
PolicyExpires         :
EULDuration           :
SendRegistrationEmail : True
NotificationInfo      : Enabled: False
                        DeniedOnly: False
                        Culture:
                        TimeZoneId:
                        TimeZoneOffset: 0
                        TimeZoneDaylightName:
                        TimeZoneStandardName:

RevocationInfo        : Revoked: False
                        RevokedTime:
                        RevokedBy:


PS C:\Users> Get-AipServiceTrackingLog -UserEmail "admin@aip500.onmicrosoft.com"

ContentId            : 6326fcb2-c465-4c24-a7f6-1cace7a9cb6f
Issuer               : admin@aip500.onmicrosoft.com
RequestTime          : 3/6/2018 10:45:57 PM
RequesterType        : External
RequesterEmail       : johndoe@contoso.com
RequesterDisplayName : johndoe@contoso.com
RequesterLocation    : IP: 167.220.1.54
                       Country: US
                       City: redmond
                       Position: 47.6812453974602,-122.120736471666

Rights               : {VIEW,OBJMODEL}
Successful           : False
IsHiddenInfo         : False

ObjectID 没有搜索。 但是,不受 参数的限制,你提供的电子邮件地址不需要是 -UserEmail 租户的一部分。 如果提供的电子邮件地址存储在文档跟踪日志中的任意位置,则文档跟踪条目将返回在 cmdlet 输出中。

保护和控制对个人信息的访问

只能在 Azure 门户中查看和指定的个人数据,只有从 Azure 门户中分配了以下管理员角色之一Azure Active Directory:

  • Azure 信息保护管理员

  • 合规性管理员

  • 符合性数据管理员

  • 安全管理员

  • 安全读取者

  • 全局管理员

  • 全局读者

使用 AIPService 模块 (或旧模块 AADRM) 查看和指定的个人数据仅可供从 Azure Active Directory 或 全局管理员角色 为保护服务分配了 Azure信息保护管理员、合规性管理员、合规性数据管理员或全局管理员角色的用户访问。

更新个人数据

统一标签客户端

对于统一标签客户端,敏感度标签和标签策略在Microsoft 365 合规中心。 有关详细信息,请参阅 Microsoft 365文档

经典客户端

对于经典客户端,可以在 Azure 信息保护策略中更新作用域策略和保护设置的电子邮件地址。 有关详细信息,请参阅如何使用范围策略为特定用户配置 Azure 信息保护策略和 如何为权限管理保护配置标签

对于保护设置,可以使用 AIPService 模块 中的 PowerShell cmdlet 更新相同的信息

不能更新超级用户和委派管理员的电子邮件地址。 请改为删除指定的用户帐户,并添加具有更新电子邮件地址的用户帐户。

保护服务的超级用户和委派管理员

当需要更新超级用户的电子邮件地址时:

  1. 使用 Remove-AipServiceSuperUser 删除用户和旧电子邮件地址。

  2. 使用 Add-AipServiceSuperUser 添加用户和新电子邮件地址。

需要更新委派管理员的电子邮件地址时:

  1. 使用 Remove-AipServiceRoleBasedAdministrator 删除用户和旧电子邮件地址。

  2. 使用 Add-AipServiceRoleBasedAdministrator 添加用户和新电子邮件地址。

保护模板

相关:仅经典客户端

运行 Set-AipServiceTemplateProperty cmdlet 以更新保护模板。 由于个人数据位于 属性内,因此还需要使用 RightsDefinitionsRightsDefinitions cmdlet 创建包含更新信息的权利定义对象,并使用权限定义对象和 Set-AipServiceTemplateProperty cmdlet。

删除个人数据

  • 统一标签客户端

    对于统一标签客户端,敏感度标签和标签策略在Microsoft 365 合规中心。 有关详细信息,请参阅 Microsoft 365文档

  • 经典客户端

    对于经典客户端,可以在 Azure 信息保护策略中删除作用域策略和保护设置的电子邮件地址。 有关详细信息,请参阅如何使用范围策略为特定用户配置 Azure 信息保护策略和 如何为权限管理保护配置标签

对于保护设置,可以使用 AIPService 模块 中的 PowerShell cmdlet 删除相同的信息

若要删除超级用户和委派管理员的电子邮件地址,请通过使用 Remove-AipServiceSuperUser cmdlet 和 Remove-AipServiceRoleBasedAdministrator删除这些用户。

若要删除保护服务的文档跟踪日志、管理日志或使用情况日志中的个人数据,请使用以下部分向 Microsoft 支持部门提出请求。

若要删除存储在计算机上的客户端日志文件和扫描程序日志中的个人数据,请使用任何标准 Windows 工具删除文件中的文件或个人数据。

使用 Microsoft 支持删除个人数据

使用以下三个步骤请求 Microsoft 删除保护服务的文档跟踪日志、管理日志或使用情况日志中的个人数据。

步骤 1:启动删除请求请联系 Microsoft 支持部门,提出从租户中删除数据的请求,以打开 Azure 信息保护支持案例。 必须证明你是 Azure 信息保护租户的管理员,并了解此过程需要几天来确认。 提交请求时,需要提供其他信息,具体取决于需要删除的数据。

  • 若要删除管理日志,请提供 结束日期。 将删除该结束日期之前的所有管理员日志。
  • 若要删除使用情况日志,请提供 结束日期。 将删除该结束日期之前的所有使用情况日志。
  • 若要删除文档跟踪日志,请提供 结束日期和UserEmail。 将删除该结束日期之前与 UserEmail 相关的所有文档跟踪信息。 支持 (UserEmail) Perl 格式的正则表达式。

删除此数据是一项永久性操作。 处理删除请求后,无法恢复数据。 建议管理员在提交删除请求之前导出所需的数据。

步骤 2:等待验证 Microsoft 将验证删除一个或多个日志的请求是否合法。 此过程最多可能需要 5 个工作日。

步骤 3:获取删除确认 Microsoft 客户支持服务 (CSS) 将向您发送一封确认电子邮件,指出数据已删除。

导出个人数据

使用 AIPService 或 AADRM PowerShell cmdlet 时,个人数据可供搜索并导出为 PowerShell 对象。 可以使用 cmdlet 将 PowerShell 对象转换为 JSON 并 ConvertTo-Json 保存。

Azure 信息保护遵循 Microsoft 针对 基于个人数据的分析或市场营销的隐私条款。

审核和报告

只有获得管理员 权限的用户才能 使用 AIPService 或 ADDRM 模块来搜索和导出个人数据。 这些操作记录在可下载的管理日志中。

对于删除操作,支持请求充当 Microsoft 执行的操作的审核和报告线索。 删除后,已删除的数据将不能用于搜索和导出,管理员可以使用从 AIPService 模块获取 cmdlet 进行验证。