Seguimiento y revocación del acceso a documentos

El seguimiento de documentos proporciona información a los administradores sobre cuándo se ha accedido a un documento protegido. Si es necesario, tanto los administradores como los usuarios pueden revocar el acceso a documentos para los documentos de seguimiento.

Un documento debe registrarse para realizar el seguimiento antes de que un administrador pueda realizar un seguimiento de los detalles de acceso, incluidos los eventos de acceso correctos y los intentos denegados, y revocar el acceso si es necesario. Consulte la siguiente sección para ver las versiones mínimas de las aplicaciones de Office para el etiquetado integrado que admiten el registro de archivos la próxima vez que se abran.

Nota:

Las características de seguimiento y revocación solo se admiten para los tipos de archivo de Office.

Requisitos

Use la tabla de funcionalidades y la fila Seguimiento y revocación de documentos para identificar las versiones mínimas de Word, Excel y PowerPoint que registran automáticamente documentos de Office locales protegidos por etiquetas (si aún no están registrados) la próxima vez que se abran.

Los cmdlets de PowerShell de este artículo usan el módulo de PowerShell AIPService , que puede instalar desde la Galería de PowerShell. Debe ejecutar Connect-AipService para conectarse al inquilino antes de ejecutar cualquiera de los cmdlets documentados.

Limitaciones

  • Los documentos protegidos con contraseña no son compatibles con las características de seguimiento y revocación.

  • Si adjunta varios documentos a un correo electrónico y, a continuación, protege el correo electrónico y lo envía, cada uno de los datos adjuntos obtiene el mismo valor de ContentID. Este valor ContentID solo se devolverá con el primer archivo que se abrió. La búsqueda de los demás datos adjuntos no devolverá el valor de ContentID necesario para obtener datos de seguimiento.

    Además, revocar el acceso a uno de los datos adjuntos también revoca el acceso para los demás datos adjuntos en el mismo correo electrónico protegido.

  • Los documentos protegidos con permisos definidos por el administrador que se cargan en SharePoint o OneDrive pierden su valor de ContentID y no se puede realizar un seguimiento ni revocar el acceso.

  • Si un usuario descarga un archivo protegido con permisos definidos por el administrador de SharePoint o OneDrive, se aplica un nuevo ContentID al documento. El uso del valor de ContentID original para realizar un seguimiento de los datos no incluirá ningún acceso realizado para el archivo descargado del usuario. Además, revocar el acceso en función del valor de ContentID original no revocará el acceso para ninguno de los archivos descargados.

    Si los administradores tienen acceso a los archivos descargados, pueden usar PowerShell para identificar el ContentID de un documento para realizar acciones de seguimiento y revocación.

Seguimiento del acceso a documentos

Los administradores pueden realizar un seguimiento del acceso a documentos protegidos a través de PowerShell mediante el ContentID generado para el documento protegido durante el registro.

Para ver los detalles de acceso al documento:

Use los siguientes cmdlets para encontrar los detalles del documento del que desea realizar un seguimiento:

  1. Busque el valor de ContentID para el documento del que desea realizar el seguimiento.

    Use Get-AipServiceDocumentLog para buscar un documento con el nombre de archivo o la dirección de correo electrónico del usuario que aplicó la protección.

    Por ejemplo:

    Get-AipServiceDocumentLog -ContentName "test.docx" -Owner “alice@contoso.com” -FromTime "12/01/2020 00:00:00" -ToTime "12/31/2020 23:59:59"
    

    Este comando devuelve contentID para todos los documentos coincidentes y protegidos registrados para el seguimiento.

    Nota:

    Los documentos protegidos se registran para realizar el seguimiento cuando se abren por primera vez en una aplicación de Office que admite el registro de archivos. Si este comando no devuelve el ContentID del archivo protegido, ábralo en una aplicación de Office que admita el registro de archivos.

  2. Use el cmdlet Get-AipServiceTrackingLog con contentID del documento para devolver los datos de seguimiento.

    Por ejemplo:

    Get-AipServiceTrackingLog -ContentId c03bf90c-6e40-4f3f-9ba0-2bcd77524b87
    

    Se devuelven datos de seguimiento, incluidos los correos electrónicos de los usuarios que intentaron acceder, si se concedió o denegó el acceso, la hora y la fecha del intento, y el dominio y la ubicación donde se originó el intento de acceso.

Revocación del acceso a documentos desde PowerShell

Los administradores pueden revocar el acceso a cualquier documento protegido almacenado en sus recursos compartidos de contenido local mediante el cmdlet Set-AIPServiceDocumentRevoked .

Nota:

Si se permite el acceso sin conexión , los usuarios seguirán pudiendo acceder a los documentos que se han revocado hasta que expire el período de directiva sin conexión.

  1. Busque el valor de ContentID para el documento para el que desea revocar el acceso.

    Use Get-AipServiceDocumentLog para buscar un documento con el nombre de archivo o la dirección de correo electrónico del usuario que aplicó la protección.

    Por ejemplo:

    Get-AipServiceDocumentLog -ContentName "test.docx" -Owner “alice@contoso.com” -FromTime "12/01/2020 00:00:00" -ToTime "12/31/2020 23:59:59"
    

    Los datos devueltos incluyen el valor ContentID del documento.

    Sugerencia

    Solo los documentos protegidos y registrados para el seguimiento tienen un valor ContentID . Si el documento no tiene ContentID, ábralo en una aplicación de Office que admita el registro de archivos.

  2. Use Set-AIPServiceDocumentRevoked con contentID del documento para revocar el acceso.

    Por ejemplo:

    Set-AipServiceDocumentRevoked -ContentId 0e421e6d-ea17-4fdb-8f01-93a3e71333b8 -IssuerName testIssuer
    

Al usar el menú Confidencialidad en sus aplicaciones de Office, los usuarios también pueden revocar el acceso a los documentos que hayan protegido.

Restauración del acceso

Si ha revocado accidentalmente el acceso a un documento específico, use el mismo valor de ContentID con el cmdlet Clear-AipServiceDocumentRevoked para restaurar el acceso.

Por ejemplo:

Clear-AipServiceDocumentRevoked -ContentId   0e421e6d-ea17-4fdb-8f01-93a3e71333b8 -IssuerName testIssuer

El acceso al documento se concede al usuario que definió en el parámetro IssuerName .

Desactivar las características de seguimiento y revocación del inquilino

Si necesita desactivar las características de seguimiento y revocación del inquilino, como los requisitos de privacidad de su organización o región, ejecute el cmdlet Disable-AipServiceDocumentTrackingFeature .

El seguimiento de documentos y las opciones para revocar el acceso están desactivadas para el inquilino:

  • Al abrir documentos protegidos, ya no se registran los documentos para realizar un seguimiento y revocarlos.
  • Los registros de acceso no se almacenan cuando se abren los documentos protegidos que ya están registrados. Los registros de acceso almacenados antes de desactivar estas características siguen estando disponibles.
  • Los administradores no podrán realizar un seguimiento o revocar el acceso a través de PowerShell y, aunque los usuarios finales siguen viendo la opción de menú Revocar en sus aplicaciones de Office, el sitio muestra un mensaje que indica que su administrador ha deshabilitado el seguimiento y la revocación.

Si necesita activar el seguimiento y revocar, ejecute el cmdlet Enable-AipServiceDocumentTrackingFeature .

Quitar las opciones de seguimiento y revocación del menú de confidencialidad

Si necesita quitar el botón Track & Revoke del menú de confidencialidad de los clientes de Office, use la configuración avanzada de PowerShell con el cmdlet Set-LabelPolicy .

Comando de PowerShell de ejemplo:

Set-LabelPolicy -Identity Global -AdvancedSettings @{EnableRevokeGuiSupport="False"}