Notes
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Remarque
Recherchez-vous Microsoft Purview Information Protection, anciennement Microsoft Information Protection (MIP) ?
Le complément Azure Protection des données est supprimé et remplacé par des étiquettes intégrées à vos applications et services Microsoft 365. En savoir plus sur l’état de la prise en charge d’autres composants Azure Information Protection des données.
Le client Protection des données Microsoft Purview (sans complément) est généralement disponible.
Lorsque vous configurez et utilisez Azure Information Protection, les adresses e-mail et les adresses IP sont stockées et utilisées par le service Azure Information Protection. Ces données personnelles sont disponibles dans les éléments suivants :
Super utilisateurs et administrateurs délégués pour le service de protection
Journaux d'administration pour le service de protection
Journaux d’utilisation du service de protection
Journaux d’utilisation du client Protection des données Microsoft Purview et du client RMS
Remarque
Cet article explique comment supprimer des données personnelles de l’appareil ou du service, et peut être utilisé pour prendre en charge vos obligations dans le cadre du RGPD. Si vous recherchez des informations générales sur le RGPD, consultez la section sur le RGPD du portail Service Trust.
Affichage des données personnelles utilisées par Azure Information Protection
client Protection des données Microsoft Purview :
Pour le client Protection des données Microsoft Purview, les étiquettes de confidentialité et les stratégies d’étiquettes sont configurées dans le portail Microsoft Purview ou dans le portail de conformité Microsoft Purview. Pour plus d’informations, consultez la documentation de Microsoft Purview.
Remarque
Lorsque le client Protection des données Microsoft Purview est utilisé pour classifier et protéger les documents et les e-mails, les adresses e-mail et les adresses IP des utilisateurs peuvent être enregistrées dans les fichiers journaux.
Super utilisateurs et administrateurs délégués pour le service de protection
Exécutez les applets de commande Get-AipServiceSuperUser et get-aipservicerolebasedadministrator pour voir quels utilisateurs se sont vu attribuer le rôle de super utilisateur ou le rôle d’administrateur général pour le service de protection (Azure Rights Management) à partir d’Azure Information Protection. Pour les utilisateurs auxquels l’un de ces rôles a été attribué, leurs adresses e-mail sont affichées.
Journaux d'administration pour le service de protection
Exécutez l’applet de commande Get-AipServiceAdminLog pour obtenir un journal des actions d’administration pour le service de protection (Azure Rights Management) à partir d’Azure Information Protection. Ce journal inclut des données personnelles sous la forme d’adresses e-mail et d’adresses IP. Le journal est en texte clair et une fois téléchargé, les détails d’un administrateur spécifique peuvent être recherchés hors connexion.
Par exemple :
PS C:\Users> Get-AipServiceAdminLog -Path '.\Desktop\admin.log' -FromTime 4/1/2018 -ToTime 4/30/2018 -Verbose
The Rights Management administration log was successfully generated and can be found at .\Desktop\admin.log.
Journaux d’utilisation du service de protection
Exécutez l’applet de commande Get-AipServiceUserLog pour récupérer un journal des actions de l’utilisateur final qui utilisent le service de protection à partir d’Azure Information Protection. Le journal peut inclure des données personnelles sous la forme d’adresses e-mail et d’adresses IP. Le journal est en texte clair et une fois téléchargé, les détails d’un administrateur spécifique peuvent être recherchés hors connexion.
Par exemple :
PS C:\Users> Get-AipServiceUserLog -Path '.\Desktop\' -FromDate 4/1/2018 -ToDate 4/30/2018 -NumberOfThreads 10
Acquiring access to your user log…
Downloading the log for 2018-04-01.
Downloading the log for 2018-04-03.
Downloading the log for 2018-04-06.
Downloading the log for 2018-04-09.
Downloading the log for 2018-04-10.
Downloaded the log for 2018-04-01. The log is available at .\Desktop\rmslog-2018-04-01.log.
Downloaded the log for 2018-04-03. The log is available at .\Desktop\rmslog-2018-04-03.log.
Downloaded the log for 2018-04-06. The log is available at .\Desktop\rmslog-2018-04-06.log.
Downloaded the log for 2018-04-09. The log is available at .\Desktop\rmslog-2018-04-09.log.
Downloaded the log for 2018-04-10. The log is available at .\Desktop\rmslog-2018-04-10.log.
Downloading the log for 2018-04-12.
Downloading the log for 2018-04-13.
Downloading the log for 2018-04-14.
Downloading the log for 2018-04-16.
Downloading the log for 2018-04-18.
Downloaded the log for 2018-04-12. The log is available at .\Desktop\rmslog-2018-04-12.log.
Downloaded the log for 2018-04-13. The log is available at .\Desktop\rmslog-2018-04-13.log.
Downloaded the log for 2018-04-14. The log is available at .\Desktop\rmslog-2018-04-14.log.
Downloaded the log for 2018-04-16. The log is available at .\Desktop\rmslog-2018-04-16.log.
Downloaded the log for 2018-04-18. The log is available at .\Desktop\rmslog-2018-04-18.log.
Downloading the log for 2018-04-24.
Downloaded the log for 2018-04-24. The log is available at .\Desktop\rmslog-2018-04-24.log.
Journaux d’utilisation pour les clients Azure Information Protection et le client RMS
Lorsque les étiquettes et la protection sont appliquées aux documents et aux e-mails, les adresses e-mail et les adresses IP peuvent être stockées dans des fichiers journaux sur l’ordinateur d’un utilisateur aux emplacements suivants :
Pour le client Protection des données Microsoft Purview : %localappdata%\Microsoft\MSIP\Logs
Pour le client RMS : %localappdata%\Microsoft\MSIPC\msip\Logs
En outre, le client Protection des données Microsoft Purview enregistre ces données personnelles dans les journaux d’événements Windows locaux et les journaux> des services Protection des données Microsoft Purview.
Lorsque le client Protection des données Microsoft Purview exécute le scanneur, les données personnelles sont enregistrées dans %localappdata%\Microsoft\MSIP\Scanner\Reports sur l’ordinateur Windows Server qui exécute le scanneur.
Vous pouvez désactiver les informations de journalisation pour le client Protection des données Microsoft Purview et le scanneur à l’aide des configurations suivantes :
Pour le client Protection des données Microsoft Purview : modifiez le registre en [modifiez le niveau de journalisation](/purview/information-protection-client#change-the-local-logging-level sur Désactivé.
Pour le scanneur Protection des données Microsoft Purview : utilisez l’applet de commande Set-ScannerConfiguration pour définir le paramètre ReportLevel sur Off.
Remarque
Si vous souhaitez afficher ou supprimer des données personnelles, consultez les instructions de Microsoft dans le Gestionnaire de conformité Microsoft Purview et dans la section RGPD du site Microsoft 365 Entreprise Conformité. Si vous recherchez des informations générales sur le RGPD, consultez la section RGPD du portail d’approbation de services.
Journaux de suivi de documents
Pertinent pour : Protection du service Rights Management uniquement avec le portail de suivi hérité
Exécutez l’applet de commande Get-AipServiceDocumentLog pour récupérer des informations à partir du site de suivi des documents sur un utilisateur spécifique. Pour obtenir des informations de suivi associées aux journaux de document, utilisez l’applet de commande Get-AipServiceTrackingLog.
Par exemple :
PS C:\Users> Get-AipServiceDocumentLog -UserEmail "admin@aip500.onmicrosoft.com"
ContentId : 6326fcb2-c465-4c24-a7f6-1cace7a9cb6f
Issuer : admin@aip500.onmicrosoft.com
Owner : admin@aip500.onmicrosoft.com
ContentName :
CreatedTime : 3/6/2018 10:24:00 PM
Recipients : {
PrimaryEmail: johndoe@contoso.com
DisplayName: JOHNDOE@CONTOSO.COM
UserType: External,
PrimaryEmail: alice@contoso0110.onmicrosoft.com
DisplayName: ALICE@CONTOSO0110.ONMICROSOFT.COM
UserType: External
}
TemplateId :
PolicyExpires :
EULDuration :
SendRegistrationEmail : True
NotificationInfo : Enabled: False
DeniedOnly: False
Culture:
TimeZoneId:
TimeZoneOffset: 0
TimeZoneDaylightName:
TimeZoneStandardName:
RevocationInfo : Revoked: False
RevokedTime:
RevokedBy:
PS C:\Users> Get-AipServiceTrackingLog -UserEmail "admin@aip500.onmicrosoft.com"
ContentId : 6326fcb2-c465-4c24-a7f6-1cace7a9cb6f
Issuer : admin@aip500.onmicrosoft.com
RequestTime : 3/6/2018 10:45:57 PM
RequesterType : External
RequesterEmail : johndoe@contoso.com
RequesterDisplayName : johndoe@contoso.com
RequesterLocation : IP: 167.220.1.54
Country: US
City: redmond
Position: 47.6812453974602,-122.120736471666
Rights : {VIEW,OBJMODEL}
Successful : False
IsHiddenInfo : False
Il n’existe aucune recherche par ObjectID. Toutefois, vous n’êtes pas limité par le paramètre -UserEmail et l’adresse e-mail que vous fournissez n’a pas besoin de faire partie de votre locataire. Si l’adresse e-mail fournie est stockée n’importe où dans les journaux de suivi des documents, l’entrée de suivi des documents est retournée dans la sortie de l’applet de commande.
Sécurisation et contrôle de l’accès aux données personnelles
Les données personnelles que vous affichez et spécifiez dans le portail Azure sont accessibles uniquement aux utilisateurs qui ont reçu l’un des rôles d’administrateur suivants à partir de Microsoft Entra ID :
Administrateur Azure Information Protection
Administrateur de conformité
Administrateur des données de conformité
Administrateur de la sécurité
Lecteur de sécurité
Administrateur global
Lecteur global
Les données personnelles que vous affichez et spécifiez à l’aide du module AIPService (ou de l’ancien module, AADRM) sont accessibles uniquement aux utilisateurs auxquels ont été attribués les rôles d'administrateur Azure Information Protection, d’administrateur de conformité, d’administrateur de données de conformité ou d'administrateur général à partir de Microsoft Entra ID ou le rôle d’administrateur général pour le service de protection.
Mise à jour des données personnelles
Les étiquettes de confidentialité et les stratégies d’étiquette sont configurées dans le portail de conformité Microsoft Purview. Pour plus d’informations, consultez la documentation de Microsoft 365.
Pour les paramètres de protection, vous pouvez mettre à jour les mêmes informations à l’aide d’applets de commande PowerShell à partir du module AIPService.
Vous ne pouvez pas mettre à jour les adresses e-mail pour les super utilisateurs et les administrateurs délégués. Au lieu de cela, supprimez le compte d’utilisateur spécifié et ajoutez le compte d’utilisateur avec l’adresse e-mail mise à jour.
Super utilisateurs et administrateurs délégués pour le service de protection
Lorsque vous avez besoin de mettre à jour une adresse e-mail pour un super utilisateur :
Utilisez Remove-AipServiceSuperUser pour supprimer l’utilisateur et l’ancienne adresse e-mail.
Utilisez Add-AipServiceSuperUser pour ajouter l’utilisateur et la nouvelle adresse e-mail.
Lorsque vous avez besoin de mettre à jour une adresse e-mail pour un administrateur délégué :
Utilisez Remove-AipServiceRoleBasedAdministrator pour supprimer l’utilisateur et l’ancienne adresse e-mail.
Utilisez Add-AipServiceRoleBasedAdministrator pour ajouter l’utilisateur et la nouvelle adresse e-mail.
Suppression des données personnelles
Les étiquettes de confidentialité et les stratégies d’étiquette sont configurées dans le portail de conformité Microsoft Purview. Pour plus d’informations, consultez la documentation de Microsoft 365.
Pour les paramètres de protection, vous pouvez supprimer les mêmes informations à l’aide des applets de commande PowerShell du module AIPService.
Pour supprimer des adresses e-mail pour les super utilisateurs et les administrateurs délégués, supprimez ces utilisateurs à l’aide des applets de commande Remove-AipServiceSuperUser et Remove-AipServiceRoleBasedAdministrator.
Pour supprimer des données personnelles dans les journaux de suivi des documents, les journaux d’administration ou les journaux d’utilisation du service de protection, utilisez la section suivante pour adresser une demande au support Microsoft.
Pour supprimer des données personnelles dans les fichiers journaux clients et les journaux d’analyse stockés sur des ordinateurs, utilisez tous les outils Windows standard pour supprimer les fichiers ou les données personnelles dans les fichiers.
Pour supprimer des données personnelles avec le support Microsoft
Utilisez les trois étapes suivantes pour demander à Microsoft de supprimer les données personnelles dans les journaux de suivi des documents, les journaux d'administration ou les journaux d'utilisation du service de protection.
Étape 1 : Lancer une demande de suppressionContactez le support Microsoft pour ouvrir un dossier de support Azure Information Protection avec une demande de suppression de données de votre locataire. Vous devez prouver que vous êtes administrateur de votre locataire Azure Information Protection et comprendre que ce processus prend plusieurs jours pour confirmer. Lors de l’envoi de votre demande, vous devez fournir des informations supplémentaires, en fonction des données qui doivent être supprimées.
- Pour supprimer le journal d’administration, indiquez la date de fin. Tous les journaux d'administration jusqu'à cette date de fin seront supprimés.
- Pour supprimer les journaux d’utilisation, indiquez la date de fin. Tous les journaux d’utilisation jusqu’à cette date de fin seront supprimés.
- Pour supprimer les journaux de suivi des documents, indiquez la date de fin et UserEmail. Toutes les informations de suivi des documents relatives à l’UserEmail jusqu’à cette date de fin seront supprimées. L'expression régulière (format Perl) pour l’UserEmail est prise en charge.
La suppression de ces données est une opération définitive ! Il n’existe aucun moyen de récupérer les données après le traitement d’une demande de suppression. Il est recommandé que les administrateurs exportent les données requises avant d’envoyer une demande de suppression.
Étape 2 : Attendez la vérification Microsoft vérifie que votre demande de suppression d’un ou plusieurs journaux est légitime. Ce processus peut prendre jusqu’à cinq jours ouvrés.
Étape 3 : Obtenir la confirmation de la suppression Les services de support client Microsoft (CSS) vous enverront un e-mail de confirmation indiquant que les données ont été supprimées.
Exportation de données personnelles
Lorsque vous utilisez les applets de commande PowerShell AIPService ou AADRM, les données personnelles sont disponibles pour la recherche et l’exportation en tant qu’objet PowerShell. L’objet PowerShell peut être converti en JSON et enregistré à l’aide de l’applet de commande ConvertTo-Json.
Restriction de l’utilisation des données personnelles pour le profilage ou le marketing sans consentement
Azure Information Protection suit les conditions de confidentialité de Microsoft pour le profilage ou le marketing basé sur des données personnelles.
Audit et création de rapports
Seuls les utilisateurs auxquels des autorisations d’administrateur ont été attribuées peuvent utiliser le module AIPService ou ADDRM pour rechercher et exporter des données personnelles. Ces opérations sont enregistrées dans le journal d’administration qui peut être téléchargé.
Pour les actions de suppression, la demande de support agit comme piste d’audit et de création de rapports pour les actions effectuées par Microsoft. Après la suppression, les données supprimées ne seront pas disponibles pour la recherche et l’exportation, et l’administrateur peut vérifier cela à l’aide des applets de commande Get à partir du module AIPService.