Analyse et rapports centraux pour Azure Information Protection
Remarque
Recherchez-vous Microsoft Information Protection ? Le client d’étiquetage unifié Azure Information Protection est actuellement en mode Maintenance. Nous recommandons d’activer l’étiquetage intégré de Microsoft Information Protection pour vos applications Office 365. Plus d’informations
Cet article explique comment utiliser la solution d’audit de Microsoft Purview pour afficher les événements d’audit générés à partir du Client d’étiquetage unifié Azure Information Protection. Les événements d’audit émis dans le journal d’audit unifié Microsoft 365 pour les rapports centraux sont visibles dans l’explorateur d’activités, ce qui peut vous aider à suivre l’adoption de vos étiquettes qui classifient et protègent les données de votre organisation.
L'audit vous permet d'effectuer les étapes suivantes :
- Regroupez les données de vos clients Azure Information Protection, des analyseurs Azure Information Protection et de Microsoft Defender for Cloud Apps.
- Affichez les événements d'audit dans le journal d'audit unifié Microsoft 365 et le journal d'activité Office 365 de votre organisation.
- Interrogez, affichez et détectez les événements d’audit dans l’explorateur d’activités avec une interface graphique dans le portail de conformité.
Auditez les événements à partir du journal d’audit unifié Microsoft 365
Le client d'étiquetage unifié AIP comprend le complément pour Office, l’analyseur, la visionneuse pour Windows, le client PowerShell et l'extension de shell Classify-and-Protect pour Windows. Tous ces composants génèrent des événements d'audit qui apparaissent dans les journaux d'activité d'Office 365 et peuvent être interrogés à l'aide de l'API Activité de gestion Office 365.
Les événements d’audit permettent à un administrateur de :
- Surveiller les documents et les e-mails étiquetés et protégés dans toute votre organisation.
- Surveiller l’accès utilisateur aux documents et aux e-mails étiquetés, et suivre les modifications de classification des documents.
Schéma d'événements du journal d'audit unifié Microsoft 365
Les cinq événements (également appelés « AuditLogRecordType ») spécifiques à AIP répertoriés ci-dessous, et plus de détails sur chacun d’entre eux sont disponibles dans la référence API.
Valeur | Nom du membre | Description |
---|---|---|
93 | AipDiscover | Événements de l’analyseur Azure Information Protection (AIP). |
94 | AipSensitivityLabelAction | Événements d’étiquette de confidentialité AIP. |
95 | AipProtectionAction | Événements de protection AIP. |
96 | AipFileDeleted | Événements de suppression de fichiers AIP. |
97 | AipHeartBeat | Événements AIP heartbeat. |
Ces informations sont accessibles dans le journal d’audit unifié Microsoft 365 de votre organisation et peuvent être consultées dans l’explorateur d’activités.
Interroger les événements d'audit dans l'explorateur d'activités
L’explorateur d’activités dans le portail de conformité Microsoft Purview est une interface graphique permettant d’afficher les événements d’audit émis dans le journal d’audit unifié Microsoft 365. Un administrateur du locataire peut utiliser des requêtes intégrées pour déterminer si les stratégies et les contrôles implémentés par votre organisation sont efficaces. Avec jusqu'à 30 jours de données disponibles, un administrateur peut définir des filtres et voir clairement quand et comment les données sensibles sont traitées au sein de votre organisation.
Pour afficher l’activité spécifique à AIP, un administrateur peut commencer par les filtres suivants :
- Type d’activité :
- Étiquette appliquée
- Étiquette modifiée
- Étiquette supprimée
- Fichier d’étiquette lu
- Application :
- Complément Microsoft Azure Information Protection Word
- Complément Microsoft Azure Information Protection Excel
- Complément Microsoft Azure Information Protection PowerPoint
- Complément Microsoft Azure Information Protection Outlook
Un administrateur peut ne pas voir toutes les options du filtre, ou en voir davantage ; les valeurs du filtre dépendent des activités capturées pour votre locataire. Pour plus d’informations sur l’explorateur d’activités, consultez :
Informations collectées et envoyées à Microsoft Purview à partir du client d'étiquetage unifié AIP
Pour générer ces rapports, les points de terminaison envoient les types d’informations suivants au journal d’audit unifié Microsoft 365 :
L’action d’étiquette. Par exemple, définir une étiquette, modifier une étiquette, ajouter ou supprimer la protection, les étiquettes automatiques et recommandées.
Le nom de l’étiquette avant et après l’action d’étiquette.
L’ID de locataire de votre organisation.
L’identifiant utilisateur (adresse e-mail ou UPN).
Le nom de l'appareil de l'utilisateur.
L’adresse IP de l’appareil de l’utilisateur.
Le nom de processus approprié, tel qu’outlook ou msip.app.
Le nom de l’application qui a effectué l’étiquetage, tel qu’Outlook ou Explorateur de fichiers
Pour les documents : le chemin d’accès au fichier et le nom de fichier des documents étiquetés.
Pour les e-mails : l’objet de l’e-mail et l’expéditeur de courrier électronique pour les e-mails étiquetés.
Types d’informations sensibles (prédéfinis et personnalisés) détectés dans le contenu.
La version du client Azure Information Protection.
La version du système d’exploitation client.
Empêcher les clients AIP d’envoyer des données d’audit
Pour empêcher le client d’étiquetage unifié Azure Information Protection d’envoyer des données d’audit, configurez un paramètre avancé de stratégie d’étiquette.
Correspondances de contenu pour une analyse plus approfondie
Azure Information Protection vous permet de collecter et de stocker les données réelles identifiées comme étant un type d'informations sensibles (prédéfinies ou personnalisées). Par exemple, cela peut inclure les numéros de carte de crédit trouvés, ainsi que les numéros de sécurité sociale, les numéros de passeport et les numéros de compte bancaire. Les correspondances de contenu s’affichent lorsque vous sélectionnez une entrée dans les Journaux d’activité et affichez les Détails de l’activité.
Par défaut, les clients Azure Information Protection n’envoient pas de correspondances de contenu. Pour modifier ce comportement afin que les correspondances de contenu soient envoyées, configurez un paramètre avancé dans une stratégie d’étiquette.
Prérequis
Les événements d’audit sont activés par défaut pour votre organisation. Pour afficher les événements d’audit dans Microsoft Purview, consultez les exigences de licence pour les solutions de base et d’audit (Premium).
Étapes suivantes
Après avoir examiné les informations contenues dans les rapports, vous souhaiterez peut-être en savoir plus sur la configuration de la solution d'audit de Microsoft Purview pour votre organisation.
- Découvrez comment exporter des événements d’audit à partir du journal d’audit unifié Microsoft 365 vers un espace de travail Azure Log Analytics avec l’exportation d’audit AIP sur GitHub.
- Lisez le Guide de l’administrateur sur l’audit et la création de rapports pour le client d'étiquetage unifié AIP pour une analyse approfondie de la solution d’audit de Microsoft Purview.
- Consultez la documentation des journaux d’utilisation de la protection pour connaître l’accès aux fichiers et les événements refusés générés à partir du service Rights Management. Ces événements sont gérés séparément des événements générés à partir du client d’étiquetage unifié Azure Information Protection.
- Reportez-vous à la documentation Microsoft 365 sur les étiquettes de confidentialité pour savoir comment apporter des modifications à votre stratégie d’étiquetage dans le portail de conformité.