Azure Information Protection – Do not Track Funktion

Seit einiger Zeit kann man mit AIP tracken wer, wann und wo (IP-Adresse) das Dokument geöffnet hat oder es versucht hat. Dadurch lässt sich erkennen, wer Zugang zum Dokument hatte oder versucht hat Zugang zu bekommen. Es geht bei dieser Funktion rein um das nachverfolgen und analysieren, aber nicht um das Lösen eines Dokumentes auf einem fremden Device. 

Diese Funktion stand auch im Preview Programm von AIP zur Verfügung und wurde erst nach einigen Monaten auch in Europa eingeführt, da wir und dazu zähle auch ich deutliche Kritik geäußert haben. Diese bestand in meinem Fall darin, dass das Nachverfolgen von Personen hiermit erlaubt ist und dies aus datenschutzrechtlicher Sicht und aus der Sicht der Compliance schwierig bis verboten ist. Diese Funktion wurde später dennoch auch in Deutschland/Europa verfügbar. Man benötigt hierfür jedoch ein Azure AD Premium Lizenz, die jedoch beispielsweise bei EMS dabei ist.

Nun hat sich das AIP Team unter Dan Plastina entschieden diese Funktion nicht zu entfernen, sondern die Möglichkeit zu schaffen Dokumente aus der Nachverfolgung zu entfernen. Dies war und ist ohne Änderung für alle Dokumente, die mit Regeln der AIP klassifiziert wurden, möglich gewesen.

Nun ist die Ausnahme der Nachverfolgung möglich:

Neues cmlet = “Set-AadrmDoNotTrachUserGroup”  (Link: https://docs.microsoft.com/en-us/powershell/module/aadrm/Set-AadrmDoNotTrackUserGroup?view=azureipps)

Diese Ausnahme funktioniert so, dass alle Mitglieder einer mit diesem Tag markierten Gruppe “DoNotTrack” Dokumente klassifizieren können, ohne das diese Dokumente nachverfolgt werden. Es wird also auch keine Email versandt, wenn ein Nutzer ein Dokument klassifiziert und/oder teilt.

Was muss ich tun?
Ihr müsst das Cmlet auf eine bestehende Gruppe anwenden:

Screenshot mit DoNotTrack cmlet

Microsoft Screenshot

 

Admins und DoNotTrack
Administratoren können dennoch die Dokumente nachverfolgen, auch wenn Personen aus der speziellen Gruppe Dokumente schützen und teilen. Diese Funktion kommt später in diesem Jahr dazu.

Do not Track Website für Nutzer
Alle Nutzer auch die Nutzer in der speziellen Gruppe können die Dokumentenverfolgungsseite nutzen und hier Zugriffe auf Dokumente, die sie geschützt haben, widerrufen. Sollte dies nicht möglich sein, ergebe sich eine Sicherheitslücke.

alte User neu in die DoNotTrack Gruppe aufnehmen
Ihr könnt bereits bestehende User in diese neue Gruppe aufnehmen, wenn ihr AIP beispielsweise aktuell schon in der unternehmensweiten Nutzung habt. Dabei können jedoch alle Dokumente verfolgt werden, die zuvor von den Usern klassifiziert wurden. Sollte dies verhindert werden, müssen die Dokumente nochmal klassifiziert werden.

Blogpost: https://blogs.technet.microsoft.com/enterprisemobility/2017/06/21/azure-information-protection-do-not-track-feature-now-in-preview