ドキュメント アクセスの追跡と取り消し

ドキュメント追跡は、保護されたドキュメントがいつアクセスされたかに関する情報を管理者に提供します。 必要に応じて、管理者とユーザーの両方が、追跡対象ドキュメントのドキュメント アクセスを取り消すことができます。

管理者がアクセスイベントの成功や拒否された試行など、アクセスの詳細を追跡し、必要に応じてアクセスを取り消す前に、追跡のためにドキュメントを登録する必要があります。 次のセクションでは、次に開いた時にファイル登録をサポートする組み込みのラベル付けについて、Office アプリの最小バージョンを参照してください。

注:

追跡および取り消し機能は、Office ファイルの種類でのみサポートされています。

要件

機能テーブルと行の [ドキュメントの追跡と失効] を使用して、ラベルで保護されたローカル Office ドキュメント (まだ登録されていない場合) を次回開くと自動的に登録される Word、Excel、PowerPointの最小バージョンを特定します。

この記事の PowerShell コマンドレットでは、PowerShell ギャラリーからインストールできる AIPServicePowerShell モジュールを使用します。 文書化されたコマンドレットのいずれかを実行する前に、 Connect-AipService を実行してテナントに接続する必要があります。

制限事項

  • パスワードで保護されたドキュメントは、追跡機能と取り消し機能ではサポートされていません。

  • 複数のドキュメントをメールに添付し、メールを保護して送信すると、各添付ファイルは同じ ContentID 値を取得します。 この ContentID 値は、開かれた最初のファイルでのみ返されます。 他の添付ファイルを検索しても、追跡データを取得するために必要な ContentID 値は返されません。

    さらに、いずれかの添付ファイルのアクセスを取り消すと、同じ保護された電子メール内の他の添付ファイルのアクセスも取り消されます。

  • SharePoint または OneDrive にアップロードされた管理者定義のアクセス許可で保護されたドキュメントは ContentID 値を失い、アクセスを追跡または取り消すことはできません。

  • ユーザーが SharePoint または OneDrive から管理者定義のアクセス許可で保護されたファイルをダウンロードすると、新しい ContentID がドキュメントに適用されます。 元の ContentID 値を使用してデータを追跡しても、ユーザーのダウンロードしたファイルに対して実行されたアクセスは含まれません。 また、元の ContentID 値に基づいてアクセスを取り消しても、ダウンロードしたファイルのアクセスは取り消されません。

    管理者がダウンロードしたファイルにアクセスできる場合は、PowerShell を使用して、ドキュメントの ContentID を特定して、操作を追跡および取り消すことができます。

ドキュメント へのアクセスを追跡する

管理者は、登録時に保護されたドキュメント用に生成された ContentID を使用して、PowerShell を使用して保護されたドキュメントのアクセスを追跡できます。

ドキュメント アクセスの詳細を表示するには:

追跡するドキュメントの詳細を検索するには、次のコマンドレットを使用します。

  1. 追跡するドキュメントの ContentID 値を見つけます。

    Get-AipServiceDocumentLog を使用して、保護を適用したユーザーのファイル名または電子メール アドレスを使用してドキュメントを検索します。

    たとえば、以下のような操作を行えます。

    Get-AipServiceDocumentLog -ContentName "test.docx" -Owner “alice@contoso.com” -FromTime "12/01/2020 00:00:00" -ToTime "12/31/2020 23:59:59"
    

    このコマンドは、追跡のために登録されているすべての一致する保護されたドキュメントの ContentID を返します。

    注:

    保護されたドキュメントは、ファイル登録をサポートする Office アプリで最初に開かれるときに追跡するために登録されます。 このコマンドが保護されたファイルの ContentID を返さない場合は、ファイル 登録をサポートする Office アプリで開きます。

  2. ドキュメントの ContentID と共に Get-AipServiceTrackingLog コマンドレットを使用して、追跡データを返します。

    例:

    Get-AipServiceTrackingLog -ContentId c03bf90c-6e40-4f3f-9ba0-2bcd77524b87
    

    アクセスを試みたユーザーのメール、アクセスが許可または拒否されたかどうか、試行の日時、アクセス試行が発生したドメインと場所など、追跡データが返されます。

PowerShell からのドキュメント アクセスを取り消す

管理者は 、Set-AIPServiceDocumentRevoked コマンドレットを使用して、ローカル コンテンツ共有に格納されている保護されたドキュメントのアクセスを取り消すことができます。

注:

オフライン アクセスが許可されている場合、ユーザーはオフライン ポリシー期間が切れるまで取り消されたドキュメントに引き続きアクセスできます。

  1. アクセス権を取り消すドキュメントの ContentID 値を見つけます。

    Get-AipServiceDocumentLog を使用して、保護を適用したユーザーのファイル名または電子メール アドレスを使用してドキュメントを検索します。

    例:

    Get-AipServiceDocumentLog -ContentName "test.docx" -Owner “alice@contoso.com” -FromTime "12/01/2020 00:00:00" -ToTime "12/31/2020 23:59:59"
    

    返されるデータには、ドキュメントの ContentID 値が含まれます。

    ヒント

    ContentID 値を持つのは、追跡用に保護および登録されたドキュメントのみです。 ドキュメントに ContentID がない場合は、 ファイル登録をサポートする Office アプリで開きます。

  2. ドキュメントの ContentID で Set-AIPServiceDocumentRevoked を使用して、アクセスを取り消します。

    例:

    Set-AipServiceDocumentRevoked -ContentId 0e421e6d-ea17-4fdb-8f01-93a3e71333b8 -IssuerName testIssuer
    

Office アプリで [秘密度 ] メニューを使用することで、ユーザーは保護されたドキュメントのアクセス権を取り消すこともできます。

アクセス権を復元する

特定のドキュメントへのアクセスを誤って取り消した場合は、Clear-AipServiceDocumentRevoked コマンドレットと同じ ContentID 値を使用してアクセスを復元します。

例:

Clear-AipServiceDocumentRevoked -ContentId   0e421e6d-ea17-4fdb-8f01-93a3e71333b8 -IssuerName testIssuer

ドキュメント アクセスは、 IssuerName パラメーターで定義したユーザーに付与されます。

テナントの機能の追跡と取り消しをオフにする

組織やリージョンのプライバシー要件など、テナントの機能の追跡と取り消しをオフにする必要がある場合は、 Disable-AipServiceDocumentTrackingFeature コマンドレットを 実行します。

ドキュメントの追跡とアクセスを取り消すためのオプションは、テナントでオフになっています。

  • 保護されたドキュメントを開くと、追跡および取り消しのためにドキュメントが登録されなくなります。
  • 既に登録されている保護されたドキュメントが開かれると、アクセス ログは保存されません。 これらの機能をオフにする前に保存されたアクセス ログは引き続き使用できます。
  • 管理者は PowerShell を使用してアクセスを追跡または取り消すことはできません。また、エンド ユーザーには Office アプリの [取り消し ] メニュー オプションが引き続き表示されますが、サイトには、追跡と失効が管理者によって無効になっているというメッセージが表示されます。

追跡を有効にして取り消す必要がある場合は、 Enable-AipServiceDocumentTrackingFeature コマンドレットを 実行します。

秘密度メニューからトラックと取り消しオプションを削除する

Office クライアントの秘密度メニューから [& 取り消しの追跡] ボタンを削除する必要がある場合は、 Set-LabelPolicy コマンドレットで PowerShell の詳細設定を使用します。

PowerShell コマンドの例:

Set-LabelPolicy -Identity Global -AdvancedSettings @{EnableRevokeGuiSupport="False"}