管理员指南:使用 Azure 信息保护跟踪和撤销文档访问权限

适用于:Azure信息保护、Windows 11、Windows 10、Windows 8.1、Windows 8

相关:仅 AIP 统一标签客户端

文档跟踪为具有 Azure 信息保护管理员或 Azure Rights Management 全局管理员角色的管理员提供有关何时访问受保护文档的信息。 如有必要,管理员和用户都可以撤销对跟踪的文档的文档访问权限。

在版本2.9.111.0或更高版本中,任何尚未注册跟踪的受保护 Office 文档会在下次通过 AIP 统一标签客户端打开时自动注册。 支持跟踪和撤销受保护的文档,即使它们未标记。

注册文档进行跟踪可让管理员跟踪访问详细信息,包括成功的访问事件和拒绝的尝试,以及根据需要撤销访问权限。

注意

仅支持对文件类型Office和撤销功能。

支持跟踪和撤销受保护的文档,即使它们未标记。

跟踪文档访问

管理员可以使用注册期间为受保护文档生成的 ContentID 通过 PowerShell 跟踪受保护文档的访问权限。

查看文档访问详细信息

使用以下 cmdlet 查找要跟踪的文档的详细信息:

  1. 查找要跟踪的文档的 ContentID 值。

    使用 Get-AipServiceDocumentLog 使用应用保护的用户的文件名和/或电子邮件地址搜索文档。

    例如;

    Get-AipServiceDocumentLog -ContentName "test.docx" -Owner “alice@contoso.com” -FromTime "12/01/2020 00:00:00" -ToTime "12/31/2020 23:59:59"
    

    此命令返回已注册用于跟踪的所有匹配受保护文档的ContentID。

    注意

    受保护文档注册为跟踪何时首次在安装了统一标签客户端的计算机上安装它们。 如果此命令未返回受保护文件的 ContentID,请在安装了统一标签客户端的计算机上安装它,以注册要跟踪的文档。

  2. Get-AipServiceTrackingLog cmdlet 与文档的 ContentID 一起用于返回跟踪数据。

    例如:

    Get-AipServiceTrackingLog -ContentId c03bf90c-6e40-4f3f-9ba0-2bcd77524b87
    

    将返回跟踪数据,包括尝试访问的用户的电子邮件、访问权限是授予还是被拒绝、尝试的时间和日期,以及发起访问尝试的域和位置。

从 PowerShell 撤销文档访问权限

管理员可以使用 Set-AIPServiceDocumentRevoked cmdlet 撤销存储在本地内容共享中的任何受保护文档的访问权限。

  1. 找到要撤消其访问权限的文档的 ContentID 值。

    使用 Get-AipServiceDocumentLog 使用应用保护的用户的文件名和/或电子邮件地址搜索文档。

    例如:

    Get-AipServiceDocumentLog -ContentName "test.docx" -Owner “alice@contoso.com” -FromTime "12/01/2020 00:00:00" -ToTime "12/31/2020 23:59:59"
    

    返回的数据包括文档的 ContentID 值。

    提示

    只有受保护并注册用于跟踪的文档才具有 ContentID 值。

    如果文档没有 ContentID,请在安装了统一标签客户端的计算机上安装它,以注册要跟踪的文件。

  2. Set-AIPServiceDocumentRevoked 与文档的 ContentID 一起用于撤销访问权限。

    例如:

    Set-AipServiceDocumentRevoked -ContentId 0e421e6d-ea17-4fdb-8f01-93a3e71333b8 -IssuerName testIssuer
    

注意

如果 允许 脱机访问,则用户将继续能够访问在脱机策略期限到期之前已吊销的文档。

提示

用户还可以从应用应用的"敏感度"菜单中直接对应用了保护的任何文档Office访问权限。 有关详细信息,请参阅用户 指南:使用 Azure 信息保护撤销文档访问权限

取消吊销访问权限

如果意外撤销了对特定文档的访问权限,请对Clear-AipServiceDocumentRevoked cmdlet 使用相同的ContentID值来取消撤消访问权限。

若要使用Clear-AipServiceDocumentRevoked cmdlet,必须先加载AipService.dll。

例如:

Import-Module -Name "C:\Program Files\WindowsPowerShell\Modules\AIPService\1.0.0.4\AipService.dll"
Clear-AipServiceDocumentRevoked -ContentId   0e421e6d-ea17-4fdb-8f01-93a3e71333b8 -IssuerName testIssuer

文档访问权限授予在 IssuerName 参数中定义的用户。

关闭租户的跟踪和撤销功能

如果需要关闭租户的跟踪和撤销功能,例如针对组织或区域的隐私要求,请执行以下两个步骤:

  1. 运行 Disable-AipServiceDocumentTrackingFeature cmdlet。

  2. EnableTrackAndRevoke高级客户端设置设置为False。

已关闭租户的文档跟踪和撤消访问权限的选项:

  • 使用 AIP 统一标签客户端打开受保护的文档不再注册文档进行跟踪和撤销。
  • 打开已注册的受保护文档时,不会存储访问日志。 在关闭这些功能之前存储的访问日志仍然可用。
  • 管理员将无法通过 PowerShell 跟踪或撤销访问权限,最终用户将不再看到其应用中的"撤消"Office选项。

提示

若要打开跟踪和撤销,将 EnableTrackAndRevoke 设置为 True,并运行 Enable-AipServiceDocumentTrackingFeature cmdlet。

关闭最终用户撤销访问权限的能力

如果不希望最终用户能够撤消其 Office 应用中对受保护文档的访问权限,可以从应用中删除"撤消访问权限"Office选项。

注意

删除" 撤消访问权限 "选项会继续在后台跟踪受保护的文档,并保留管理员通过 PowerShell 撤消对文档的访问权限

若要从应用中删除"撤销访问权限Office,将EnableRevokeGuiSupport高级客户端设置设置为False。

有关详细信息,请参阅用户 指南:使用 Azure 信息保护撤销文档访问权限

下一步

有关详细信息,请参阅: