Отслеживание и отмена доступа к документам

  • Статья

Отслеживание документов предоставляет администраторам сведения о том, когда был доступ к защищенному документу. При необходимости как администраторы, так и пользователи могут отозвать доступ к документам для отслеживаемых документов.

Документ должен быть зарегистрирован для отслеживания, прежде чем администратор сможет отслеживать сведения о доступе, включая успешные события доступа и попытки отказа, и при необходимости отозвать доступ. В следующем разделе приведены сведения о минимальных версиях приложений Office для встроенных меток, поддерживающих регистрацию файлов при следующем открытии.

Примечание.

Функции отслеживания и отзыва поддерживаются только для типов файлов Office.

Требования

Используйте таблицу возможностей и строку Отслеживание и отзыв документов , чтобы определить минимальные версии Word, Excel и PowerPoint, которые автоматически регистрируют защищенные метками локальные документы Office (если они еще не зарегистрированы) при следующем открытии.

Командлеты PowerShell в этой статье используют модуль PowerShell AIPService , который можно установить из коллекции PowerShell. Прежде чем выполнять любой из задокументированных командлетов, необходимо запустить Connect-AipService , чтобы подключиться к клиенту.

Ограничения

  • Защищенные паролем документы не поддерживаются функциями отслеживания и отзыва.

  • Если вложить несколько документов в сообщение электронной почты, а затем защитить его и отправить, каждое из вложений получит одно и то же значение ContentID. Это значение ContentID будет возвращено только с первым открытым файлом. Поиск других вложений не возвращает значение ContentID, необходимое для получения данных отслеживания.

    Кроме того, отзыв доступа для одного из вложений также отменяет доступ к другим вложениям в том же защищенном сообщении электронной почты.

  • Документы, защищенные с помощью определенных администратором разрешений, которые отправляются в SharePoint или OneDrive, теряют значение ContentID , и доступ не может быть отслечен или отменен.

  • Если пользователь скачивает файл, защищенный с разрешениями администратора, из SharePoint или OneDrive, к документу применяется новый ContentID . При использовании исходного значения ContentID для отслеживания данных не будет осуществляться доступ к скачанном файлу пользователя. Кроме того, отзыв доступа на основе исходного значения ContentID не приведет к отмене доступа к скачанным файлам.

    Если администраторы имеют доступ к скачанным файлам, они могут использовать PowerShell для определения ContentID документа для отслеживания и отзыва действий.

Отслеживание доступа к документу

Администраторы могут отслеживать доступ к защищенным документам с помощью PowerShell с помощью ContentID , созданного для защищенного документа во время регистрации.

Чтобы просмотреть сведения о доступе к документу, выполните следующие действия:

Используйте следующие командлеты, чтобы найти сведения о документе, который вы хотите отслеживать:

  1. Найдите значение ContentID для документа, который требуется отслеживать.

    Используйте Get-AipServiceDocumentLog для поиска документа с именем файла или адресом электронной почты пользователя, применявшего защиту.

    Например:

    Get-AipServiceDocumentLog -ContentName "test.docx" -Owner “alice@contoso.com” -FromTime "12/01/2020 00:00:00" -ToTime "12/31/2020 23:59:59"

    Эта команда возвращает ContentID для всех соответствующих защищенных документов, зарегистрированных для отслеживания.

    Примечание.

    Защищенные документы регистрируются для отслеживания, когда они впервые открываются в приложении Office, поддерживающем регистрацию файлов. Если эта команда не возвращает ContentID для защищенного файла, откройте его в приложении Office, поддерживающем регистрацию файлов.

  2. Используйте командлет Get-AipServiceTrackingLog с ContentID документа, чтобы вернуть данные отслеживания.

    Например:

    Get-AipServiceTrackingLog -ContentId c03bf90c-6e40-4f3f-9ba0-2bcd77524b87

    Возвращаются данные отслеживания, включая сообщения электронной почты пользователей, которые пытались получить доступ, был ли предоставлен или запрещен доступ, время и дату попытки, а также домен и расположение, в котором была предпринята попытка доступа.

Отмена доступа к документам из PowerShell

Администраторы могут отозвать доступ для любого защищенного документа, хранящегося в локальных общих папках содержимого, с помощью командлета Set-AIPServiceDocumentRevoked .

Примечание.

Если автономный доступ разрешен, пользователи будут по-прежнему иметь доступ к документам, которые были отозваны, пока не истечет период автономной политики.

  1. Найдите значение ContentID для документа, для которого требуется отозвать доступ.

    Используйте Get-AipServiceDocumentLog для поиска документа с именем файла или адресом электронной почты пользователя, применявшего защиту.

    Например:

    Get-AipServiceDocumentLog -ContentName "test.docx" -Owner “alice@contoso.com” -FromTime "12/01/2020 00:00:00" -ToTime "12/31/2020 23:59:59"

    Возвращаемые данные включают значение ContentID для документа.

    Совет

    Только документы, которые были защищены и зарегистрированы для отслеживания, имеют значение ContentID . Если у документа нет ContentID, откройте его в приложении Office, поддерживающем регистрацию файлов.

  2. Используйте Set-AIPServiceDocumentRevoked с contentID документа, чтобы отозвать доступ.

    Например:

    Set-AipServiceDocumentRevoked -ContentId 0e421e6d-ea17-4fdb-8f01-93a3e71333b8 -IssuerName testIssuer

С помощью меню Конфиденциальность в приложениях Office пользователи также могут отозвать доступ к любым защищенным документам.

Восстановление доступа

Если вы случайно отозвали доступ к определенному документу, используйте то же значение ContentID с командлетом Clear-AipServiceDocumentRevoked для восстановления доступа.

Например:

Clear-AipServiceDocumentRevoked -ContentId   0e421e6d-ea17-4fdb-8f01-93a3e71333b8 -IssuerName testIssuer

Доступ к документам предоставляется пользователю, определенному в параметре IssuerName .

Отключение отслеживания и отзыв функций для клиента

Если вам нужно отключить отслеживание и отозвать функции для клиента, например для требований конфиденциальности в организации или регионе, выполните командлет Disable-AipServiceDocumentTrackingFeature .

Отслеживание документов и параметры отзыва доступа отключены для клиента:

  • При открытии защищенных документов документы больше не регистрируются для отслеживания и отзыва.
  • Журналы доступа не сохраняются при открытии уже зарегистрированных защищенных документов. Журналы доступа, которые были сохранены до отключения этих функций, по-прежнему доступны.
  • Администраторы не смогут отслеживать или отзывать доступ с помощью PowerShell, и хотя конечные пользователи по-прежнему видят пункт меню Отозвать в своих приложениях Office, на сайте отображается сообщение о том, что отслеживание и отзыв отключены администратором.

Если необходимо включить функцию отслеживания и отменить ее, выполните командлет Enable-AipServiceDocumentTrackingFeature .

Удаление параметров отслеживания и отзыва из меню конфиденциальности

Если вам нужно удалить кнопку Отслеживание & отозвать из меню конфиденциальности на клиентах Office, используйте дополнительные параметры PowerShell с помощью командлета Set-LabelPolicy .

Пример команды PowerShell:

Set-LabelPolicy -Identity Global -AdvancedSettings @{EnableRevokeGuiSupport="False"}