Journalisation et analyse de l’utilisation de la protection d’Azure Information Protection
Remarque
Recherchez-vous Microsoft Purview Information Protection, anciennement Microsoft Information Protection (MIP) ?
Le complément Azure Protection des données est supprimé et remplacé par des étiquettes intégrées à vos applications et services Microsoft 365. En savoir plus sur l’état de la prise en charge d’autres composants Azure Information Protection des données.
Le client Protection des données Microsoft Purview (sans complément) est généralement disponible.
Utilisez ces informations pour comprendre comment vous pouvez utiliser la journalisation de l’utilisation pour le service de protection (Azure Rights Management) d’Azure Information Protection. Ce service de protection assure la protection des données des documents et emails de votre organisation et peut journaliser chaque demande adressée à ce dernier. Ces demandes comprennent le moment où les utilisateurs protègent des documents et des emails, le moment où ils consomment ce contenu, les actions effectuées par vos administrateurs pour ce service et les actions effectuées par les opérateurs Microsoft pour prendre en charge votre déploiement Azure Information Protection.
Vous pouvez ensuite utiliser ces journaux d’utilisation de protection pour prendre en charge les scénarios métier suivants :
Analyser les perspectives
Les journaux générés par le service de protection peuvent être importés dans un référentiel de votre choix (par exemple, une base de données, un système OLAP (traitement analytique en ligne ou un système map-reduce)) pour analyser les informations et produire des rapports. Par exemple, vous pouvez identifier qui accède à vos données protégées. Vous pouvez déterminer les données protégées auxquelles les utilisateurs accèdent, et à partir des appareils et de l’endroit où. Vous pouvez déterminer si les utilisateurs peuvent lire avec succès du contenu protégé. Vous pouvez également identifier les personnes qui ont lu un document important protégé.
Surveiller les abus
La journalisation des informations sur l’utilisation de la protection est disponible en temps quasi réel, afin de pouvoir surveiller en permanence l’utilisation du service de protection de votre entreprise. 99,9 % des journaux d’activité sont disponibles dans les 15 minutes suivant une action initiée au service.
Par exemple, vous pouvez être alerté s’il existe une augmentation soudaine des personnes qui lisent des données protégées en dehors des heures de travail standard, ce qui peut indiquer qu’un utilisateur malveillant collecte des informations pour vendre à des concurrents. Ou, si le même utilisateur accède apparemment aux données à partir de deux adresses IP différentes dans un délai court, ce qui peut indiquer qu’un compte d’utilisateur a été compromis.
Effectuer une analyse légale
Si vous avez une fuite d’informations, vous êtes susceptible d’être invité à savoir qui a récemment accédé à des documents spécifiques et quelles informations ont récemment fait une personne soupçonnée d’accéder. Vous pouvez répondre à ces types de questions lorsque vous utilisez cette journalisation, car les personnes qui utilisent du contenu protégé doivent toujours obtenir une licence Rights Management pour ouvrir des documents et des images protégés par Azure Information Protection, même si ces fichiers sont déplacés par email ou copiés vers des lecteurs USB ou d’autres dispositifs de stockage. Cela signifie que vous pouvez utiliser ces journaux comme source définitive d’informations pour l’analyse légale lorsque vous protégez vos données à l’aide d’Azure Information Protection.
Outre cette journalisation de l’utilisation, vous disposez également des options de journalisation suivantes :
| Option du journal | Description |
|---|---|
| Journal d’administration | Enregistre les tâches administratives du service de protection. Par exemple, si le service est désactivé, lorsque la fonctionnalité super utilisateur est activée et lorsque les utilisateurs sont délégués des autorisations d’administrateur au service. Pour plus d’informations, consultez l’applet de commande PowerShell, Get-AipService Administration Log. |
| Suivi des documents | Permet aux utilisateurs de suivre et de révoquer les documents qu’ils ont suivis avec le client Azure Information Protection. Les administrateurs généraux peuvent également suivre ces documents pour le compte des utilisateurs. Pour plus d’informations, consultez Configuration et utilisation du suivi des documents pour Azure Information Protection. |
| Journaux des événements clients | Activité d'utilisation du client Azure Information Protection, consignée dans le journal des événements des applications et services Windows locaux, Azure Information Protection. Pour plus d’informations, consultez Configurer des droits d’utilisation pour le client Azure Information Protection. |
| Fichiers d’historique du client | Les journaux de résolution des problèmes pour le client Azure Information Protection client, situés dans %localappdata%\Microsoft\MSIP. Ces fichiers sont conçus pour Support Microsoft. |
En outre, des informations provenant des journaux d’utilisation du client Azure Information Protection et du scanneur Azure Information Protection sont collectées et agrégées pour créer des rapports dans le Portail Azure. Pour plus d’informations, consultez Rapport pour Azure Information Protection.
Utilisez les sections suivantes pour plus d’informations sur la journalisation de l’utilisation pour le service de protection.
Comment activer la journalisation pour l’utilisation de la protection
La journalisation de l’utilisation de la protection est activée par défaut pour tous les clients.
Il n’existe aucun coût supplémentaire pour le stockage des journaux ou pour la fonctionnalité de fonctionnalité de journalisation.
Comment accéder à vos journaux d’utilisation de protection et les utiliser
Azure Information Protection écrit des journaux sous la forme d’une série d’objets blob dans un compte de stockage Azure qu’il crée automatiquement pour votre client. Chaque objet blob contient un ou plusieurs enregistrements de journal, au format de journal étendu W3C. Les noms d’objets blob sont des nombres, dans l’ordre dans lequel ils ont été créés. La section Comment interpréter vos journaux d’utilisation Azure Rights Management plus loin dans ce document contient plus d’informations sur le contenu du journal et leur création.
L’affichage des journaux dans votre compte de stockage peut prendre un certain temps après une action de protection. La plupart des journaux d’activité apparaissent dans les 15 minutes. Les journaux d’utilisation sont disponibles uniquement lorsque le nom du champ « date » contient une valeur d’une date précédente (en heure UTC). Les journaux d’utilisation de la date actuelle ne sont pas disponibles. Nous vous recommandons de télécharger les journaux d’activité dans un stockage local, tel qu’un dossier local, une base de données ou un référentiel map-reduce.
Pour télécharger vos journaux d’utilisation, vous allez utiliser le module PowerShell AIPService pour Azure Information Protection. Pour des instructions d’installation, consultez Installation du module AIPService PowerShell.
Pour télécharger vos journaux d’utilisation à l’aide de PowerShell
Démarrez Windows PowerShell avec l’option Exécuter en tant qu’administrateur et utilisez l’applet de commande Connecter-AipService pour vous connecter à Azure Information Protection :
Connect-AipServiceExécutez la commande suivante pour télécharger les journaux d’activité pour une date spécifique :
Get-AipServiceUserLog -Path <location> -fordate <date>Par exemple, après avoir créé un dossier appelé Journaux d’activité sur votre lecteur E :
Pour télécharger les journaux d’activité pour une date spécifique (par exemple, 2/1/2016), exécutez la commande suivante :
Get-AipServiceUserLog -Path E:\Logs -fordate 2/1/2016Pour télécharger les journaux d’activité d’une plage de dates (par exemple, du 01/02/2016 au 14/02/2016), exécutez la commande suivante :
Get-AipServiceUserLog -Path E:\Logs -fromdate 2/1/2016 –todate 2/14/2016
Lorsque vous spécifiez le jour uniquement, comme dans nos exemples, l’heure est supposée être 00:00:00 dans votre heure locale, puis convertie en UTC. Lorsque vous spécifiez une heure avec vos paramètres -fromdate ou -todate (par exemple, -fordate « 2/1/2016 15:00:00 »), cette date et heure est convertie en UTC. La commande Get-AipServiceUserLog obtient ensuite les journaux pour cette période UTC.
Vous ne pouvez pas spécifier moins d’une journée entière à télécharger.
Par défaut, cette applet de commande utilise trois threads pour télécharger les journaux. Si vous disposez d’une bande passante réseau suffisante et souhaitez réduire le temps nécessaire pour télécharger les journaux, utilisez le paramètre -NumberOfThreads, qui prend en charge une valeur comprise entre 1 et 32. Par exemple, si vous exécutez la commande suivante, l’applet de commande génère 10 threads pour télécharger les journaux : Get-AipServiceUserLog -Path E:\Logs -fromdate 2/1/2016 –todate 2/14/2016 -numberofthreads 10
Conseil
Vous pouvez agréger tous vos fichiers journaux téléchargés dans un format CSV à l’aide de l’analyseur de journaux de Microsoft, qui est un outil à convertir entre différents formats de journaux connus. Vous pouvez également utiliser cet outil pour convertir des données au format SYSLOG ou les importer dans une base de données. Une fois que vous avez installé l’outil, exécutez LogParser.exe /? pour obtenir de l’aide et des informations sur l’utilisation de cet outil.
Par exemple, vous pouvez exécuter la commande suivante pour importer toutes les informations dans un format de fichier .log : logparser –i:w3c –o:csv "SELECT * INTO AllLogs.csv FROM *.log"
Comment interpréter vos journaux d’utilisation
Utilisez les informations suivantes pour vous aider à interpréter les journaux d’utilisation de la protection.
Séquence de journaux
Azure Information Protection écrit les journaux sous la forme d’une série d’objets blob.
Chaque entrée dans le journal a un horodatage UTC. Étant donné que le service de protection s’exécute sur plusieurs serveurs sur plusieurs centres de données, les journaux peuvent parfois sembler hors séquence, même lorsqu’ils sont triés par leur horodateur. Toutefois, la différence est faible et généralement dans une minute. Dans la plupart des cas, ce n’est pas un problème qui serait un problème pour l’analyse des journaux.
Format de l’objet blob
Chaque objet blob est au format de journal étendu W3C. Il commence par les deux lignes suivantes :
#Software : RMS
#Version : 1.1
La première ligne identifie qu’il s’agit de journaux de protection d’Azure Information Protection. La deuxième ligne identifie que le reste de l’objet blob suit la spécification 1.1. Nous vous recommandons d’analyser les applications qui analysent ces deux lignes avant de continuer à analyser le reste de l’objet blob.
La troisième ligne énumère les noms de champs séparés par les onglets :
#Fields : date time row-id request-type user-id result correlation-id content-id owner-email issuer template-id file-name date-published c-info c-ip admin-action acting-as-user
Chacune des lignes suivantes est un enregistrement de journal. Les valeurs des champs sont dans le même ordre que la ligne précédente et sont séparées par des onglets. Utilisez le tableau suivant pour interpréter les champs.
| Nom du champ | Type de données W3C | Description | Valeur d'exemple |
|---|---|---|---|
| date | Date | Date UTC à laquelle la demande a été traitée. La source est l’horloge locale sur le serveur qui a servi la requête. |
25-06-2013 |
| time | Temps | Heure UTC au format 24 heures lorsque la requête a été traitée. La source est l’horloge locale sur le serveur qui a servi la requête. |
21:59:28 |
| row-id | Détails | GUID unique pour cet enregistrement de journal. Si une valeur n’est pas présente, utilisez la valeur de corrélation-id pour identifier l’entrée. Cette valeur est utile lorsque vous agrégez les journaux ou copiez les journaux dans un autre format. |
1c3fe7a9-d9e0-4654-97b7-14fafa72ea63 |
| request-type | Nom | Nom de l’API RMS demandée. | AcquireLicense |
| user-id | Chaîne | Utilisateur qui a formulé la demande. La valeur est placée entre des guillemets droits. Les appels d’une clé client gérée par vous (BYOK) ont la valeur " qui s’applique également lorsque les types de requêtes sont anonymes. |
'joe@contoso.com' |
| result | Chaîne | « Succès » si la requête a été traitée avec succès. Type d’erreur entre guillemets simples si la requête a échoué. |
« Succès » |
| correlation-id | Détails | GUID courant entre le journal client RMS et le journal du serveur pour une demande donnée. Cette valeur peut être utile pour résoudre les problèmes du client. |
cab52088-8925-4371-be34-4b71a3112356 |
| content-id | Détails | GUID, placé entre accolades qui identifie le contenu protégé (par exemple, un document). Ce champ a une valeur uniquement si le type de requête est AcquireLicense et est vide pour tous les autres types de requêtes. |
{bb4af47b-cfed-4719-831d-71b98191a4f2} |
| owner-email | Chaîne | Adresse email du propriétaire du document. Ce champ est vide si le type de requête est RevokeAccess. |
alice@contoso.com |
| issuer | Chaîne | Adresse email de l’émetteur du document. Ce champ est vide si le type de requête est RevokeAccess. |
alice@contoso.com (ou) FederatedEmail.4c1f4d-93bf-00a95fa1e042@contoso.onmicrosoft.com' |
| template-id | Chaîne | ID du modèle utilisé pour protéger le document. Ce champ est vide si le type de requête est RevokeAccess. |
{6d9371a6-4e2d-4e97-9a38-202233fed26e} |
| file-name | Chaîne | Nom de fichier d’un document protégé suivi à l’aide du client Azure Information Protection client pour Windows. Actuellement, certains fichiers (tels que Office documents) s’affichent sous forme de GUID plutôt que le nom de fichier réel. Ce champ est vide si le type de requête est RevokeAccess. |
TopSecretDocument.docx |
| date-published | Date | Date à laquelle le document a été protégé. Ce champ est vide si le type de requête est RevokeAccess. |
2015-10-15T21:37:00 |
| c-info | Chaîne | Informations sur la plateforme cliente qui effectue la requête. La chaîne spécifique varie en fonction de l’application (par exemple, du système d’exploitation ou du navigateur). |
« MSIPC;version=1.0.623.47;AppName=WINWORD.EXE;AppVersion=15.0.4753.1000;AppArch=x86;OSName=Windows;OSVersion=6.1.7601;OSArch=amd64 » |
| c-ip | Adresse | Adresse IP du client qui a effectué la requête. | 64.51.202.144 |
| admin-action | Bool | Indique si un administrateur a accédé au site de suivi des documents en mode administrateur. | True |
| acting-as-user | Chaîne | Adresse email de l’utilisateur pour lequel un administrateur accède au site de suivi des documents. | 'joe@contoso.com' |
Exceptions pour le champ user-id
Bien que le champ id d’utilisateur indique généralement l’utilisateur qui a effectué la requête, il existe deux exceptions où la valeur ne correspond pas à un utilisateur réel :
Valeur « microsoftrmsonline@<YourTenantID>.rms.<region>.aadrm.com ».
Cela indique qu’un service Office 365, tel qu’Exchange Online ou Microsoft SharePoint, effectue la demande. Dans la chaîne, <YourTenantID> est le GUID de votre client et <de votre région> est la région où votre client est inscrit. Par exemple, na représente Amérique du Nord, eu représente l’Europe et ap représente l’Asie.
Si vous utilisez le connecteur RMS.
Les demandes de ce connecteur sont enregistrées avec le nom du principal de service de Aadrm_S-1-7-0, qui est généré automatiquement lorsque vous installez le connecteur RMS.
Types de requêtes classiques
Il existe de nombreux types de demandes pour le service de protection, mais le tableau suivant identifie certains des types de requêtes les plus utilisés.
| Type de demande | Description |
|---|---|
| AcquireLicense | Un client à partir d’un ordinateur Windows demande une licence pour le contenu protégé. |
| AcquirePreLicense | Un client, au nom de l’utilisateur, demande une licence pour le contenu protégé. |
| AcquireTemplates | Un appel a été effectué pour acquérir des modèles basés sur des ID de modèle |
| AcquireTemplateInformation | Un appel a été effectué pour obtenir les ID du modèle à partir du service. |
| AddTemplate | Un appel est effectué à partir du Portail Azure pour ajouter un modèle. |
| AllDocsCsv | Un appel est effectué à partir du site de suivi des documents pour télécharger le fichier CSV à partir de la page Tous les documents . |
| BECreateEndUserLicenseV1 | Un appel est effectué à partir d’un appareil mobile pour créer une licence utilisateur final. |
| BEGetAllTemplatesV1 | Un appel est effectué à partir d’un appareil mobile (back-end) pour obtenir tous les modèles. |
| Certify | Le client certifiera l’utilisateur pour la consommation et la création de contenu protégé. |
| FECreateEndUserLicenseV1 | Similaire à la demande AcquireLicense, mais à partir d’appareils mobiles. |
| FECreatePublishingLicenseV1 | Identique à Certify et GetClientLicensorCert combinés à partir de clients mobiles. |
| FEGetAllTemplates | Un appel est effectué à partir d’un appareil mobile (front-end) pour obtenir les modèles. |
| FindServiceLocationsForUser | Un appel est effectué pour rechercher des URL, qui sont utilisées pour appeler Certify ou AcquireLicense. |
| GetClientLicensorCert | Le client demande un certificat de publication (utilisé ultérieurement pour protéger le contenu) à partir d’un ordinateur Windows. |
| GetConfiguration | Une applet de commande Azure PowerShell est appelée pour obtenir la configuration du client Azure RMS. |
| GetConnectorAuthorizations | Un appel est effectué à partir des connecteurs RMS pour obtenir leur configuration à partir du cloud. |
| GetRecipients | Un appel est effectué à partir du site de suivi des documents pour accéder à l’affichage liste d’un document unique. |
| GetTenantFunctionalState | Le Portail Azure est vérification si le service de protection (Azure Rights Management) est activé. |
| KeyVaultDecryptRequest | Le client tente de déchiffrer le contenu protégé par RMS. Applicable uniquement pour une clé client gérée par le client (BYOK) dans Azure Key Vault. |
| KeyVaultGetKeyInfoRequest | Un appel est effectué pour vérifier que la clé spécifiée à utiliser dans Azure Key Vault pour la clé client Azure Information Protection est accessible et n’est pas déjà utilisée. |
| KeyVaultSignDigest | Un appel est effectué lorsqu’une clé gérée par le client (BYOK) dans Azure Key Vault est utilisée à des fins de signature. Cela est généralement appelé une fois par AcquireLicence (ou FECreateEndUserLicenseV1), Certify et GetClientLicensorCert (ou FECreatePublishingLicenseV1). |
| KMSPDecrypt | Le client tente de déchiffrer le contenu protégé par RMS. Applicable uniquement pour une clé client gérée par le client héritée (BYOK). |
| KMSPSignDigest | Un appel est effectué lorsqu’une clé gérée par le client (BYOK) héritée est utilisée à des fins de signature. Cela est généralement appelé une fois par AcquireLicence (ou FECreateEndUserLicenseV1), Certify et GetClientLicensorCert (ou FECreatePublishingLicenseV1). |
| ServerCertify | Un appel est effectué à partir d’un client rmS (tel que SharePoint) pour certifier le serveur. |
| SetUsageLogFeatureState | Un appel est effectué pour activer la journalisation de l’utilisation. |
| SetUsageLog Stockage Account | Un appel est effectué pour spécifier l’emplacement des journaux du service Azure Rights Management. |
| UpdateTemplate | Un appel est effectué à partir du Portail Azure pour mettre à jour un modèle existant. |
Journaux d’utilisation de la protection et journal d’audit unifié Microsoft 365
L’accès aux fichiers et les événements refusés n’incluent pas actuellement le nom de fichier et ne sont pas accessibles dans le journal d’audit unifié Microsoft 365. Ces événements seront améliorés pour être autonomes et ajoutés à partir du service Rights Management à une date ultérieure.
Informations de référence sur PowerShell
La seule applet de commande PowerShell dont vous avez besoin pour accéder à la journalisation de l’utilisation de la protection est Get-AipServiceUserLog.
Pour plus d’informations sur l’utilisation de PowerShell pour Azure Information Protection, consultez Administration inscrire la protection contre Azure Information Protection à l’aide de PowerShell.