Tenere traccia e revocare l'accesso ai documenti

Il rilevamento dei documenti fornisce agli amministratori informazioni su quando è stato eseguito l'accesso a un documento protetto. Se necessario, sia gli amministratori che gli utenti possono revocare l'accesso ai documenti per i documenti registrati.

Un documento deve essere registrato per il rilevamento prima che un amministratore possa tenere traccia dei dettagli di accesso, inclusi gli eventi di accesso riusciti e i tentativi negati, e revocare l'accesso, se necessario. Vedere la sezione successiva per le versioni minime delle app di Office per l'etichettatura predefinita che supporta la registrazione dei file alla successiva apertura.

Nota

Le funzionalità di rilevamento e revoca sono supportate solo per i tipi di file di Office.

Requisiti

Usare la tabella delle funzionalità e la riga Rilevamento e revoca dei documenti per identificare le versioni minime di Word, Excel e PowerPoint che registrano automaticamente i documenti di Office locali protetti da etichette (se non sono già registrati) alla successiva apertura.

I cmdlet di PowerShell in questo articolo usano il modulo PowerShell AIPService , che è possibile installare da PowerShell Gallery. È necessario eseguire Connect-AipService per connettersi al tenant prima di eseguire uno dei cmdlet documentati.

Limitazioni

  • I documenti protetti da password non sono supportati dalle funzionalità di rilevamento e revoca.

  • Se si collegano più documenti a un messaggio di posta elettronica e quindi si protegge il messaggio di posta elettronica e lo si invia, ognuno degli allegati ottiene lo stesso valore ContentID. Questo valore ContentID verrà restituito solo con il primo file aperto. La ricerca degli altri allegati non restituirà il valore ContentID necessario per ottenere i dati di rilevamento.

    Inoltre, revocare l'accesso per uno degli allegati revoca anche l'accesso per gli altri allegati nello stesso messaggio di posta elettronica protetto.

  • I documenti protetti con autorizzazioni definite dall'amministratore caricati in SharePoint o OneDrive perdono il valore ContentID e l'accesso non può essere rilevato o revocato.

  • Se un utente scarica un file protetto con autorizzazioni definite dall'amministratore da SharePoint o OneDrive, al documento viene applicato un nuovo ContentID . L'uso del valore ContentID originale per tenere traccia dei dati non includerà alcun accesso eseguito per il file scaricato dall'utente. Inoltre, revocare l'accesso in base al valore ContentID originale non revoca l'accesso per nessuno dei file scaricati.

    Se gli amministratori hanno accesso ai file scaricati, possono usare PowerShell per identificare l'ID contenuto di un documento per tenere traccia e revocare le azioni.

Tenere traccia dell'accesso ai documenti

Gli amministratori possono tenere traccia dell'accesso ai documenti protetti tramite PowerShell usando il ContentID generato per il documento protetto durante la registrazione.

Per visualizzare i dettagli di accesso ai documenti:

Usare i cmdlet seguenti per trovare i dettagli per il documento da tenere traccia:

  1. Trovare il valore ContentID per il documento da tenere traccia.

    Usare Get-AipServiceDocumentLog per cercare un documento usando il nome file o l'indirizzo di posta elettronica dell'utente che ha applicato la protezione.

    Ad esempio:

    Get-AipServiceDocumentLog -ContentName "test.docx" -Owner “alice@contoso.com” -FromTime "12/01/2020 00:00:00" -ToTime "12/31/2020 23:59:59"
    

    Questo comando restituisce contentID per tutti i documenti protetti corrispondenti registrati per il rilevamento.

    Nota

    I documenti protetti vengono registrati per il rilevamento quando vengono aperti per la prima volta in un'app di Office che supporta la registrazione dei file. Se questo comando non restituisce l'ID contenuto per il file protetto, aprirlo in un'app di Office che supporta la registrazione dei file.

  2. Usare il cmdlet Get-AipServiceTrackingLog con ContentID del documento per restituire i dati di rilevamento.

    Ad esempio:

    Get-AipServiceTrackingLog -ContentId c03bf90c-6e40-4f3f-9ba0-2bcd77524b87
    

    Vengono restituiti dati di rilevamento, inclusi i messaggi di posta elettronica degli utenti che hanno tentato l'accesso, se l'accesso è stato concesso o negato, l'ora e la data del tentativo e il dominio e la posizione in cui ha avuto origine il tentativo di accesso.

Revocare l'accesso ai documenti da PowerShell

Gli amministratori possono revocare l'accesso per qualsiasi documento protetto archiviato nelle condivisioni di contenuto locali, usando il cmdlet Set-AIPServiceDocumentRevoked .

Nota

Se l'accesso offline è consentito, gli utenti continueranno ad accedere ai documenti revocati fino alla scadenza del periodo di criteri offline.

  1. Trovare il valore ContentID per il documento per cui si vuole revocare l'accesso.

    Usare Get-AipServiceDocumentLog per cercare un documento usando il nome file o l'indirizzo di posta elettronica dell'utente che ha applicato la protezione.

    Ad esempio:

    Get-AipServiceDocumentLog -ContentName "test.docx" -Owner “alice@contoso.com” -FromTime "12/01/2020 00:00:00" -ToTime "12/31/2020 23:59:59"
    

    I dati restituiti includono il valore ContentID per il documento.

    Consiglio

    Solo i documenti protetti e registrati per il rilevamento hanno un valore ContentID . Se il documento non dispone di ContentID, aprirlo in un'app di Office che supporta la registrazione dei file.

  2. Usare Set-AIPServiceDocumentRevoked con ContentID del documento per revocare l'accesso.

    Ad esempio:

    Set-AipServiceDocumentRevoked -ContentId 0e421e6d-ea17-4fdb-8f01-93a3e71333b8 -IssuerName testIssuer
    

Usando il menu Riservatezza nelle app di Office, gli utenti possono anche revocare l'accesso per tutti i documenti protetti.

Ripristinare l'accesso

Se l'accesso a un documento specifico è stato revocato accidentalmente, usare lo stesso valore ContentID con il cmdlet Clear-AipServiceDocumentRevoked per ripristinare l'accesso.

Ad esempio:

Clear-AipServiceDocumentRevoked -ContentId   0e421e6d-ea17-4fdb-8f01-93a3e71333b8 -IssuerName testIssuer

L'accesso ai documenti viene concesso all'utente definito nel parametro IssuerName .

Disattivare le funzionalità di rilevamento e revoca per il tenant

Se è necessario disattivare le funzionalità di rilevamento e revoca per il tenant, ad esempio per i requisiti di privacy nell'organizzazione o nell'area geografica, eseguire il cmdlet Disable-AipServiceDocumentTrackingFeature .

Il rilevamento dei documenti e le opzioni per revocare l'accesso sono disattivati per il tenant:

  • L'apertura di documenti protetti non registra più i documenti per il rilevamento e la revoca.
  • I log di accesso non vengono archiviati quando vengono aperti i documenti protetti già registrati. I log di accesso archiviati prima di disattivare queste funzionalità sono ancora disponibili.
  • Gli amministratori non saranno in grado di tenere traccia o revocare l'accesso tramite PowerShell e, sebbene gli utenti finali vedano ancora l'opzione di menu Revoca nelle proprie app di Office, il sito visualizza un messaggio che indica che il rilevamento e la revoca sono stati disabilitati dall'amministratore.

Se è necessario attivare e revocare il rilevamento, eseguire il cmdlet Enable-AipServiceDocumentTrackingFeature .

Rimuovere le opzioni di rilevamento e revoca dal menu di riservatezza

Se è necessario rimuovere il pulsante Track & Revoke dal menu di riservatezza nei client di Office, usare le impostazioni avanzate di PowerShell con il cmdlet Set-LabelPolicy .

Comando di PowerShell di esempio:

Set-LabelPolicy -Identity Global -AdvancedSettings @{EnableRevokeGuiSupport="False"}