Windows 情報保護 (WIP) の監査イベント ログを収集する方法

  • [アーティクル]

適用対象:

  • Windows 10 バージョン 1607 以降

Windows 情報保護 (WIP) では、次のような状況で監査イベントが作成されます。

  • 従業員がファイルの所有権を "仕事" から "個人" に変更した場合。

  • "仕事" としてマークされているデータが、個人用のアプリまたは Web ページに共有された場合。 たとえば、コピーと貼り付け、ドラッグ アンド ドロップ、連絡先の共有、個人用 Web ページへのアップロードや、ユーザーが個人用アプリに仕事用ファイルへの一時的なアクセスを付与した場合が当てはまります。

  • アプリでカスタム監査イベントが生成された場合。

Reporting 構成サービス プロバイダー (CSP) を使って WIP 監査ログを収集する

レポート構成サービス プロバイダー (CSP) ドキュメントで提供されるガイダンスに従って、従業員のデバイスから WIP 監査ログを収集します。 このトピックでは、実際の監査イベントについて説明します。

応答の Data 要素には、要求された監査ログが XML でエンコードされた形式で含まれています。

User 要素と属性

User 要素で使用できるすべての属性を次の表に示します。

属性 値の種類 説明
UserID 文字列 この監査レポートに対応するユーザーのセキュリティ識別子 (SID)。
EnterpriseID 文字列 この監査レポートに対応するエンタープライズ ID。

Log 要素と属性

Log 要素で使用できるすべての属性と要素を次の表に示します。 応答には、ゼロ (0) 個以上の Log 要素が含まれる可能性があります。

属性/要素 値の種類 説明
ProviderType 文字列 これは常に EDPAudit になります。
LogType 文字列 次の値が含まれます。
  • DataCopied: 仕事用データが個人用の場所にコピーまたは共有されます。
  • ProtectionRemoved: Windows Information Protectionは、作業定義ファイルから削除されます。
  • ApplicationGenerated: アプリが提供するカスタム監査ログです。
TimeStamp 整数 イベントの発生時刻を FILETIME 構造体 を使って表します。
Policy 文字列 仕事用データがどのように個人用の場所に共有されたかを示します。
  • CopyPaste: 仕事用データが個人用の場所またはアプリに貼り付けられました。
  • ProtectionRemoved: 仕事用データが保護なしに変更されました。
  • DragDrop: 仕事用データが個人用の場所またはアプリにドロップされました。
  • Share: 仕事用データが個人用の場所またはアプリに共有されました。
  • NULL: 上記以外の方法で仕事用データが個人用に変更されました。 たとえば、個人用アプリケーションを使って仕事用ファイルが開かれた場合 (一時的なアクセスとも呼ばれます) が当てはまります。
Justification 文字列 実装されていません。 常に空または NULL になります。


将来、"仕事" から "個人" への変更に関するユーザー側の理由を収集するために予約されています。
Object 文字列 共有された仕事用データの説明。 たとえば、従業員が個人用アプリを使って仕事用ファイルを開いた場合、この値はファイル パスになります。
DataInfo 文字列 仕事用ファイルの変更方法に関する追加情報を含みます。
  • ファイル パス: 従業員が Microsoft Edge または Internet Explorer を使って仕事用ファイルを個人用 Web サイトにアップロードした場合、この値にはファイル パスが含まれます。
  • クリップボード データ形式: 従業員が仕事用データを個人用アプリに貼り付けた場合、この値には、仕事用アプリによって提供されたクリップボード データ形式の一覧が含まれます。 詳しくは、このトピックの「」セクションをご覧ください。
Action 整数 仕事用データが個人用に共有されたときに実行された操作を示します。次の値が含まれます。
  • 1: ファイルの暗号化解除。
  • 2: 個人用の場所へのコピー。
  • 3: 受信者への送信。
  • 4: その他。
FilePath 文字列 監査イベントに指定されたファイルのファイル パス。 たとえば、従業員によって暗号化解除されたファイルの場所や、個人用 Web サイトにアップロードされたファイルの場所などです。
SourceApplicationName 文字列 ソースのアプリまたは Web サイト。 ソース アプリの場合、この値は AppLocker ID です。 ソース Web サイトの場合、この値はホスト名です。
SourceName String イベントをログに記録するアプリによって提供される文字列。 これは、作業データのソースを記述することを目的としています。
DestinationEnterpriseID 文字列 従業員がデータを共有した先のアプリまたは Web サイトのエンタープライズ ID の値。

NULL個人用、または 空白 は、作業データが個人の場所と共有されていたため、エンタープライズ ID がないことを意味します。 現在、複数の登録はサポートされていないため、これらの値のいずれかが常に表示されます。
DestinationApplicationName 文字列 宛先のアプリまたは Web サイト。 宛先アプリの場合、この値は AppLocker ID です。 宛先 Web サイトの場合、この値はホスト名です。
DestinationName String イベントをログに記録するアプリによって提供される文字列。 これは、作業データの宛先を記述することを目的としています。
アプリケーション 文字列 監査イベントが発生したアプリの AppLocker ID。

ここでは、Reporting CSP からの応答の例をいくつか示します。

ファイルの所有権が仕事から個人に変更された場合

<SyncML><SyncHdr/><SyncBody><Status><CmdID>1</CmdID><MsgRef>1</MsgRef><CmdRef>0</CmdRef><Cmd>SyncHdr</Cmd><Data>200</Data></Status><Status><CmdID>2</CmdID><MsgRef>1</MsgRef><CmdRef>2</CmdRef><Cmd>Replace</Cmd><Data>200</Data></Status><Status><CmdID>3</CmdID><MsgRef>1</MsgRef><CmdRef>4</CmdRef><Cmd>Get</Cmd><Data>200</Data></Status><Results><CmdID>4</CmdID><MsgRef>1</MsgRef><CmdRef>4</CmdRef><Item><Source><LocURI>./Vendor/MSFT/Reporting/EnterpriseDataProtection/RetrieveByTimeRange/Logs</LocURI></Source><Meta><Format xmlns="syncml:metinf">xml</Format></Meta><Data><?xml version="1.0" encoding="utf-8"?>
<Reporting Version="com.contoso/2.0/MDM/Reporting">
  <User UserID="S-1-12-1-1111111111-1111111111-1111111111-1111111111" EnterpriseID="corp.contoso.com">
    <Log ProviderType="EDPAudit" LogType="ProtectionRemoved" TimeStamp="131357166318347527">
      <Policy>Protection removed</Policy>
      <Justification>NULL</Justification>
      <FilePath>C:\Users\TestUser\Desktop\tmp\demo\Work document.docx</FilePath>
    </Log>
  </User>
</Reporting></Data></Item></Results><Final/></SyncBody></SyncML>

Edge で仕事用ファイルが個人用 Web ページにアップロードされた場合

<SyncML><SyncHdr/><SyncBody><Status><CmdID>1</CmdID><MsgRef>1</MsgRef><CmdRef>0</CmdRef><Cmd>SyncHdr</Cmd><Data>200</Data></Status><Status><CmdID>2</CmdID><MsgRef>1</MsgRef><CmdRef>2</CmdRef><Cmd>Replace</Cmd><Data>200</Data></Status><Status><CmdID>3</CmdID><MsgRef>1</MsgRef><CmdRef>4</CmdRef><Cmd>Get</Cmd><Data>200</Data></Status><Results><CmdID>4</CmdID><MsgRef>1</MsgRef><CmdRef>4</CmdRef><Item><Source><LocURI>./Vendor/MSFT/Reporting/EnterpriseDataProtection/RetrieveByTimeRange/Logs</LocURI></Source><Meta><Format xmlns="syncml:metinf">xml</Format></Meta><Data><?xml version="1.0" encoding="utf-8"?>
<Reporting Version="com.contoso/2.0/MDM/Reporting">
  <User UserID="S-1-12-1-1111111111-1111111111-1111111111-1111111111" EnterpriseID="corp.contoso.com">
    <Log ProviderType="EDPAudit" LogType="DataCopied" TimeStamp="131357192409318534">
      <Policy>CopyPaste</Policy>
      <Justification>NULL</Justification>
      <SourceApplicationName>NULL</SourceApplicationName>
      <DestinationEnterpriseID>NULL</DestinationEnterpriseID>
      <DestinationApplicationName>mail.contoso.com</DestinationApplicationName>
      <DataInfo>C:\Users\TestUser\Desktop\tmp\demo\Work document.docx</DataInfo>
    </Log>
  </User>
</Reporting></Data></Item></Results><Final/></SyncBody></SyncML>

仕事用データが個人用 Web ページに貼り付けられた場合

<SyncML><SyncHdr/><SyncBody><Status><CmdID>1</CmdID><MsgRef>1</MsgRef><CmdRef>0</CmdRef><Cmd>SyncHdr</Cmd><Data>200</Data></Status><Status><CmdID>2</CmdID><MsgRef>1</MsgRef><CmdRef>2</CmdRef><Cmd>Replace</Cmd><Data>200</Data></Status><Status><CmdID>3</CmdID><MsgRef>1</MsgRef><CmdRef>4</CmdRef><Cmd>Get</Cmd><Data>200</Data></Status><Results><CmdID>4</CmdID><MsgRef>1</MsgRef><CmdRef>4</CmdRef><Item><Source><LocURI>./Vendor/MSFT/Reporting/EnterpriseDataProtection/RetrieveByTimeRange/Logs</LocURI></Source><Meta><Format xmlns="syncml:metinf">xml</Format></Meta><Data><?xml version="1.0" encoding="utf-8"?>
<Reporting Version="com.contoso/2.0/MDM/Reporting">
  <User UserID="S-1-12-1-1111111111-1111111111-1111111111-1111111111" EnterpriseID="corp.contoso.com">
    <Log ProviderType="EDPAudit" LogType="DataCopied" TimeStamp="131357193734179782">
      <Policy>CopyPaste</Policy>
      <Justification>NULL</Justification>
      <SourceApplicationName>O=MICROSOFT CORPORATION, L=REDMOND, S=WASHINGTON, C=US\MICROSOFT OFFICE 2016\WINWORD.EXE\16.0.8027.1000</SourceApplicationName>
      <DestinationEnterpriseID>NULL</DestinationEnterpriseID>
      <DestinationApplicationName>mail.contoso.com</DestinationApplicationName>
      <DataInfo>EnterpriseDataProtectionId|Object Descriptor|Rich Text Format|HTML Format|AnsiText|Text|EnhancedMetafile|Embed Source|Link Source|Link Source Descriptor|ObjectLink|Hyperlink</DataInfo>
    </Log>
  </User>
</Reporting></Data></Item></Results><Final/></SyncBody></SyncML>

仕事用ファイルが個人用アプリケーションで開かれた場合

<SyncML><SyncHdr/><SyncBody><Status><CmdID>1</CmdID><MsgRef>1</MsgRef><CmdRef>0</CmdRef><Cmd>SyncHdr</Cmd><Data>200</Data></Status><Status><CmdID>2</CmdID><MsgRef>1</MsgRef><CmdRef>2</CmdRef><Cmd>Replace</Cmd><Data>200</Data></Status><Status><CmdID>3</CmdID><MsgRef>1</MsgRef><CmdRef>4</CmdRef><Cmd>Get</Cmd><Data>200</Data></Status><Results><CmdID>4</CmdID><MsgRef>1</MsgRef><CmdRef>4</CmdRef><Item><Source><LocURI>./Vendor/MSFT/Reporting/EnterpriseDataProtection/RetrieveByTimeRange/Logs</LocURI></Source><Meta><Format xmlns="syncml:metinf">xml</Format></Meta><Data><?xml version="1.0" encoding="utf-8"?>
<Reporting Version="com.contoso/2.0/MDM/Reporting">
  <User UserID="S-1-12-1-1111111111-1111111111-1111111111-1111111111" EnterpriseID="corp.contoso.com">
    <Log ProviderType="EDPAudit" LogType="ApplicationGenerated" TimeStamp="131357194991209469">
      <Policy>NULL</Policy>
      <Justification></Justification>
      <Object>C:\Users\TestUser\Desktop\tmp\demo\Work document.docx</Object>
      <Action>1</Action>
      <SourceName>O=MICROSOFT CORPORATION, L=REDMOND, S=WASHINGTON, C=US\MICROSOFT&reg; WINDOWS&reg; OPERATING SYSTEM\WORDPAD.EXE\10.0.15063.2</SourceName>
      <DestinationEnterpriseID>Personal</DestinationEnterpriseID>
      <DestinationName>O=MICROSOFT CORPORATION, L=REDMOND, S=WASHINGTON, C=US\MICROSOFT&reg; WINDOWS&reg; OPERATING SYSTEM\WORDPAD.EXE\10.0.15063.2</DestinationName>
      <Application>O=MICROSOFT CORPORATION, L=REDMOND, S=WASHINGTON, C=US\MICROSOFT&reg; WINDOWS&reg; OPERATING SYSTEM\WORDPAD.EXE\10.0.15063.2</Application>
    </Log>
  </User>
</Reporting></Data></Item></Results><Final/></SyncBody></SyncML>

仕事用データが個人用アプリケーションに貼り付けられた場合

<SyncML><SyncHdr/><SyncBody><Status><CmdID>1</CmdID><MsgRef>1</MsgRef><CmdRef>0</CmdRef><Cmd>SyncHdr</Cmd><Data>200</Data></Status><Status><CmdID>2</CmdID><MsgRef>1</MsgRef><CmdRef>2</CmdRef><Cmd>Replace</Cmd><Data>200</Data></Status><Status><CmdID>3</CmdID><MsgRef>1</MsgRef><CmdRef>4</CmdRef><Cmd>Get</Cmd><Data>200</Data></Status><Results><CmdID>4</CmdID><MsgRef>1</MsgRef><CmdRef>4</CmdRef><Item><Source><LocURI>./Vendor/MSFT/Reporting/EnterpriseDataProtection/RetrieveByTimeRange/Logs</LocURI></Source><Meta><Format xmlns="syncml:metinf">xml</Format></Meta><Data><?xml version="1.0" encoding="utf-8"?>
<Reporting Version="com.contoso/2.0/MDM/Reporting">
  <User UserID="S-1-12-1-1111111111-1111111111-1111111111-1111111111" EnterpriseID="corp.contoso.com">
    <Log ProviderType="EDPAudit" LogType="DataCopied" TimeStamp="131357196076537270">
      <Policy>CopyPaste</Policy>
      <Justification>NULL</Justification>
      <SourceApplicationName>O=MICROSOFT CORPORATION, L=REDMOND, S=WASHINGTON, C=US\MICROSOFT OFFICE 2016\WINWORD.EXE\16.0.8027.1000</SourceApplicationName>
      <DestinationEnterpriseID>NULL</DestinationEnterpriseID>
      <DestinationApplicationName></DestinationApplicationName>
      <DataInfo>EnterpriseDataProtectionId|Object Descriptor|Rich Text Format|HTML Format|AnsiText|Text|EnhancedMetafile|Embed Source|Link Source|Link Source Descriptor|ObjectLink|Hyperlink</DataInfo>
    </Log>
  </User>
</Reporting></Data></Item></Results><Final/></SyncBody></SyncML>

Windows イベント転送を使って WIP 監査ログを収集する (ドメインに参加している Windows デスクトップ デバイスのみ)

Windows イベント転送を使用して、Windows Information Protection監査イベントを収集して集計します。 監査イベントはイベント ビューアーで表示できます。

イベント ビューアーで WIP イベントを表示するには

  1. イベント ビューアーを開きます。

  2. コンソール ツリーで、アプリケーションとサービス ログ\Microsoft\Windows を展開し、[EDP-Audit-Regular][EDP-Audit-TCB] をクリックします。

Azure Monitor を使用して WIP 監査ログを収集する

Azure Monitor を使用して監査ログを収集できます。 Azure Monitor の Windows イベント ログ データ ソースに関するページを参照してください。

Azure Monitor で WIP イベントを表示するには

  1. 既存のものを使用するか、新しい Log Analytics ワークスペースを作成します。

  2. [Log Analytics>の詳細設定] で、[データ] を選択します。 Windows イベント ログで、受信するログを追加します。

    Microsoft-Windows-EDP-Application-Learning/Admin
Microsoft-Windows-EDP-Audit-TCB/Admin

    Windows イベント ログを使用している場合、イベント ログ名は[イベント] フォルダーの [イベントのプロパティ] にあります ([アプリケーションとサービス ログ]\[Microsoft\Windows]、[EDP-Audit-Regular]、[EDP-Audit-TCB] の順にクリックします)。

  3. Microsoft Monitoring Agent をダウンロードします。

  4. Azure Monitor の記事に記載されているIntuneインストール用の MSI を取得するには、次のように抽出します。MMASetup-.exe /c /t:

    ワークスペース ID と主キーを使用して、Microsoft Monitoring Agent を WIP デバイスにインストールします。 ワークスペース ID と主キーの詳細については、「Log Analytics> の詳細設定」を参照してください

  5. Intune経由で MSI をデプロイするには、インストール パラメーターに次を追加します。/q /norestart NOAPM=1 ADD_OPINSIGHTS_WORKSPACE=1 OPINSIGHTS_WORKSPACE_AZURE_CLOUD_TYPE=0 OPINSIGHTS_WORKSPACE_ID=<WORKSPACE_ID> OPINSIGHTS_WORKSPACE_KEY=<WORKSPACE_KEY> AcceptEndUserLicenseAgreement=1

    手順 5 から>受け取った & <WORKSPACE_KEY WORKSPACE_ID>置き換えます<。 インストール パラメーターでは、WORKSPACE_ID &> WORKSPACE_KEY<>を引用符 ("" または '') で配置<しないでください。

  6. エージェントがデプロイされると、約 10 分以内にデータが受信されます。

  7. ログを検索するには、Log Analytics ワークスペース>の[ログ] に移動し、「検索でイベント」と入力します。

    Event | where EventLog == "Microsoft-Windows-EDP-Audit-TCB/Admin"

その他のリソース