Controlar e revogar o acesso a documentos
O controlo de documentos fornece informações aos administradores sobre quando foi acedido um documento protegido. Se necessário, tanto os administradores como os utilizadores podem revogar o acesso ao documento para documentos controlados.
Um documento tem de ser registado para controlo antes de um administrador poder controlar os detalhes de acesso, incluindo eventos de acesso bem-sucedidos e tentativas negadas, e revogar o acesso, se necessário. Consulte a secção seguinte para obter as versões mínimas das aplicações do Office para etiquetagem incorporada que suporte o registo de ficheiros da próxima vez que forem abertas.
Observação
As funcionalidades de controlo e revogação são suportadas apenas para tipos de ficheiro do Office.
Requisitos
Utilize a tabela de capacidades e a linha Controlo e revogação de documentos para identificar as versões mínimas do Word, Excel e PowerPoint que registam automaticamente documentos locais protegidos por etiquetas do Office (se ainda não estiverem registados) da próxima vez que forem abertos.
Os cmdlets do PowerShell neste artigo utilizam o módulo AIPService PowerShell, que pode instalar a partir da Galeria do PowerShell. Tem de executar o Connect-AipService para ligar ao seu inquilino antes de executar qualquer um dos cmdlets documentados.
Limitações
Os documentos protegidos por palavra-passe não são suportados pelo controlo e revogação de funcionalidades.
Se anexar vários documentos a um e-mail e, em seguida, proteger o e-mail e enviá-lo, cada um dos anexos obtém o mesmo valor ContentID. Este valor ContentID será devolvido apenas com o primeiro ficheiro que foi aberto. Procurar outros anexos não devolverá o valor ContentID necessário para obter dados de controlo.
Além disso, revogar o acesso a um dos anexos também revoga o acesso dos outros anexos no mesmo e-mail protegido.
Os documentos protegidos com permissões definidas pelo administrador que são carregados para o SharePoint ou OneDrive perdem o respetivo valor ContentID e o acesso não pode ser controlado ou revogado.
Se um utilizador transferir um ficheiro protegido com permissões definidas pelo administrador do SharePoint ou do OneDrive, será aplicado um novo ContentID ao documento. A utilização do valor ContentID original para controlar os dados não incluirá qualquer acesso efetuado para o ficheiro transferido do utilizador. Além disso, revogar o acesso com base no valor ContentID original não revogará o acesso a nenhum dos ficheiros transferidos.
Se os administradores tiverem acesso aos ficheiros transferidos, podem utilizar o PowerShell para identificar o ContentID de um documento para controlar e revogar ações.
Controlar o acesso a documentos
Os administradores podem controlar o acesso a documentos protegidos através do PowerShell com o ContentID gerado para o documento protegido durante o registo.
Para ver os detalhes de acesso ao documento:
Utilize os seguintes cmdlets para encontrar detalhes do documento que pretende controlar:
Localize o valor ContentID do documento que pretende controlar.
Utilize o Get-AipServiceDocumentLog para procurar um documento com o nome de ficheiro ou o endereço de e-mail do utilizador que aplicou a proteção.
Por exemplo;
Get-AipServiceDocumentLog -ContentName "test.docx" -Owner “alice@contoso.com” -FromTime "12/01/2020 00:00:00" -ToTime "12/31/2020 23:59:59"
Este comando devolve o ContentID para todos os documentos protegidos correspondentes que estão registados para controlo.
Observação
Os documentos protegidos são registados para controlo quando são abertos pela primeira vez numa aplicação do Office que suporta o registo de ficheiros. Se este comando não devolver o ContentID do seu ficheiro protegido, abra-o numa aplicação do Office que suporte o registo de ficheiros.
Utilize o cmdlet Get-AipServiceTrackingLog com o ContentID do seu documento para devolver os seus dados de controlo.
Por exemplo:
Get-AipServiceTrackingLog -ContentId c03bf90c-6e40-4f3f-9ba0-2bcd77524b87
São devolvidos dados de controlo, incluindo e-mails de utilizadores que tentaram aceder, se o acesso foi concedido ou negado, a hora e a data da tentativa e o domínio e a localização onde a tentativa de acesso teve origem.
Revogar o acesso a documentos a partir do PowerShell
Os administradores podem revogar o acesso a qualquer documento protegido armazenado nas respetivas partilhas de conteúdo local, utilizando o cmdlet Set-AIPServiceDocumentRevoked .
Observação
Se o acesso offline for permitido, os utilizadores continuarão a poder aceder aos documentos que foram revogados até que o período de política offline expire.
Localize o valor ContentID do documento para o qual pretende revogar o acesso.
Utilize o Get-AipServiceDocumentLog para procurar um documento com o nome de ficheiro ou o endereço de e-mail do utilizador que aplicou a proteção.
Por exemplo:
Get-AipServiceDocumentLog -ContentName "test.docx" -Owner “alice@contoso.com” -FromTime "12/01/2020 00:00:00" -ToTime "12/31/2020 23:59:59"
Os dados devolvidos incluem o valor ContentID do seu documento.
Dica
Apenas os documentos que foram protegidos e registados para controlo têm um valor ContentID . Se o seu documento não tiver ContentID, abra-o numa aplicação do Office que suporte o registo de ficheiros.
Utilize Set-AIPServiceDocumentRevoked com o ContentID do seu documento para revogar o acesso.
Por exemplo:
Set-AipServiceDocumentRevoked -ContentId 0e421e6d-ea17-4fdb-8f01-93a3e71333b8 -IssuerName testIssuer
Ao utilizar o menu Confidencialidade nas respetivas aplicações do Office, os utilizadores também podem revogar o acesso a quaisquer documentos que tenham protegido.
Restaurar o acesso
Se tiver revogado acidentalmente o acesso a um documento específico, utilize o mesmo valor ContentID com o cmdlet Clear-AipServiceDocumentRevoked para restaurar o acesso.
Por exemplo:
Clear-AipServiceDocumentRevoked -ContentId 0e421e6d-ea17-4fdb-8f01-93a3e71333b8 -IssuerName testIssuer
O acesso ao documento é concedido ao utilizador que definiu no parâmetro IssuerName .
Desativar a monitorização e revogação de funcionalidades para o seu inquilino
Se precisar de desativar a monitorização e revogação de funcionalidades para o seu inquilino, como para requisitos de privacidade na sua organização ou região, execute o cmdlet Disable-AipServiceDocumentTrackingFeature .
O controlo de documentos e as opções para revogar o acesso estão desativados para o seu inquilino:
- Abrir documentos protegidos já não regista os documentos para controlar e revogar.
- Os registos de acesso não são armazenados quando os documentos protegidos que já estão registados são abertos. Os registos de acesso que foram armazenados antes de desativar estas funcionalidades ainda estão disponíveis.
- Os administradores não poderão controlar ou revogar o acesso através do PowerShell e, apesar de os utilizadores finais continuarem a ver a opção de menu Revogar nas respetivas aplicações do Office, o site apresenta uma mensagem a indicar que o controlo e a revogação foram desativados pelo respetivo administrador.
Se precisar de voltar a ativar o registo e a revogação, execute o cmdlet Enable-AipServiceDocumentTrackingFeature .
Remover as opções de monitorização e revogação do menu de confidencialidade
Se precisar de remover o botão Controlar & Revogar do menu de confidencialidade nos clientes do Office, utilize as definições avançadas do PowerShell com o cmdlet Set-LabelPolicy .
Comando do PowerShell de exemplo:
Set-LabelPolicy -Identity Global -AdvancedSettings @{EnableRevokeGuiSupport="False"}