次の方法で共有


AipProtectionAction

Azure Information Protectionは、組織が機密データの分類とラベル付けを行い、そのデータへのアクセス方法と共有方法を制御するためのポリシーを適用できるサービスです。

AipProtectionAction は、Office 365統合監査ログに記録されるイベントの一種です。 これは、ファイルまたは電子メールに保護を適用しようとする試みを表します。 イベントは、organization内でのデータの保護方法を示すので便利です。

Office 365統合監査ログにアクセスする

監査ログには、次の方法でアクセスできます。

監査ログ検索ツール

  1. Microsoft Purview コンプライアンス ポータルに移動し、サインインします。
  2. コンプライアンス ポータルの左側のウィンドウで、[監査] を選択 します

    注:

    左側のウィンドウに [監査] が表示されない場合は、アクセス許可の詳細については、「Microsoft Defender for Office 365のロールと役割グループ」と「Microsoft Purview コンプライアンス」を参照してください。

  3. [ 新しい検索 ] タブで、[レコードの種類] を [AipDiscover ] に設定し、他のパラメーターを構成します。 AipDiscover 監査構成
  4. [ 検索 ] をクリックして、条件を使用して検索を実行します。 結果ウィンドウで、イベントを選択して結果を表示します。 検出操作とアクセス操作の両方を表示できます。 AipDiscover 監査結果

Microsoft Purview コンプライアンス ポータルでの監査ログの表示の詳細については、「監査ログ アクティビティ」を参照してください。

PowerShell で統合監査ログを検索する

PowerShell を使用して統合監査ログにアクセスするには、まず、次の手順を実行して、Exchange Online PowerShell セッションに接続します。

リモート PowerShell セッションを確立する

これにより、Exchange Onlineとのリモート PowerShell セッションが確立されます。 接続が確立されたら、コマンドレットExchange Online実行してExchange Online環境を管理します。

PowerShell ウィンドウを開き、Install-Module -Name ExchangeOnlineManagement コマンドを実行して、Exchange Online管理モジュールをインストールします。 このモジュールでは、Exchange Onlineの管理に使用できるコマンドレットを提供します。

  1. Connect-IPPSSession は、Exchange Online PowerShell セッションへのリモート接続を作成するために使用される PowerShell コマンドレットです。
  2. ExchangeOnlineManagement Import-Module は、Exchange Online管理モジュールを現在の PowerShell セッションにインポートするために使用される PowerShell コマンドレットです。
# Import the PSSSession and Exchange Online cmdlets
Connect-IPPSSession
Import-Module ExchangeOnlineManagement

特定のユーザーと接続する

コマンドを実行して、特定のユーザーにExchange Online資格情報の入力を求めます。

$UserCredential = Get-Credential 

指定された資格情報を使用してExchange Onlineに接続するコマンド。

 Connect-ExchangeOnline -Credential $UserCredential -ShowProgress $true 

現在のセッションで資格情報を使用して接続する

現在のセッションの資格情報を使用してExchange Onlineに接続します。

Connect-ExchangeOnline

Search-UnifiedAuditLog コマンドレット

Search-UnifiedAuditLog コマンドレットは、Office 365統合監査ログの検索に使用できる PowerShell コマンドです。 統合監査ログは、イベントの追跡に使用できるOffice 365のユーザーと管理者のアクティビティの記録です。 このコマンドレットの使用に関するベスト プラクティスについては、「 Search-UnifiedAuditLog を使用するためのベスト プラクティス」を参照してください。

PowerShell を使用して統合監査ログから AipProtectionAction イベントを抽出するには、次のコマンドを使用します。 これにより、指定した日付範囲の統合監査ログが検索され、レコードの種類が "AipProtectionAction" のイベントが返されます。 結果は、指定したパスの CSV ファイルにエクスポートされます。

Search-UnifiedAuditLog -RecordType AipProtectionAction -StartDate (Get-Date).AddDays(-100) -EndDate (Get-Date) | Export-Csv -Path <output file>

注:

これは、Search-UnifiedAuditLog コマンドレットを使用する方法のほんの一例です。 コマンドを調整し、特定の要件に基づいて追加のパラメーターを指定する必要がある場合があります。 統合監査ログに PowerShell を使用する方法の詳細については、「統合監査 ログの検索」を参照してください。

Office 365 マネージメント アクティビティ API

Office 365 Management API エンドポイントに対してクエリを実行できるようにするには、適切なアクセス許可を使用してアプリケーションを構成する必要があります。 詳細なガイドについては、「Office 365管理 API の概要」を参照してください。

AipProtectionAction イベントの属性

イベント 説明
ApplicationId GUID 操作を実行するアプリケーションの ID。
ApplicationName String 操作を実行しているアプリケーションのフレンドリ名。 (Outlook、OWA、Word、Excel、PowerPoint など)
ClientIP IPv4/IPv6 アクティビティがログに記録されたときに使用されたデバイスの IP アドレス。 一部のサービスでは、このプロパティに表示される値は、ユーザーに代わってサービスを呼び出す信頼できるアプリケーション (Office on the web アプリなど) の IP アドレスであり、アクティビティを実行したユーザーが使用するデバイスの IP アドレスではない場合があります。
CreationTime 日付/時刻 ユーザーがアクティビティを実行した、世界協定時刻 (UTC) での日時。
DeviceName String アクティビティが発生したデバイス。
Id GUID 監査レコードの一意識別子。
操作 String 監査ログの操作の種類。 AipProtectionAction の場合、操作には、 - SensitivityLabelApplied
- SensitivityLabelUpdated
- SensitivityLabelRemoved
- SensitivityLabelPolicyMatched
- SensitivityLabeledFileOpened を含
めることができます。
OrganizationId GUID 組織の Office 365 テナントの GUID。 この値は Office 365 サービスに関係なく、組織では常に同じ値になります。
プラットフォーム 倍精度浮動小数点数 アクティビティが発生したプラットフォーム。
0 = 不明
1 = Windows
2 = MacOS
3 = iOS
4 = Android
5 = Web ブラウザー
ProcessName String 関連するプロセス名 (Outlook、MSIP.App、WinWord など)
ProductVersion String AIP クライアントのバージョン。
RecordType 倍精度浮動小数点数 レコードによって示される操作の種類。
範囲 倍精度浮動小数点数 0 は、ホストされている O365 サービスによってイベントが作成されたことを表します。 1 は、イベントがオンプレミス サーバーによって作成されたことを表します。
UserId String レコードがログに記録されたアクションを実行したユーザーのユーザー プリンシパル名 (UPN)。
UserKey GUID UserId プロパティで識別されるユーザーの別の ID。 このプロパティには、SharePoint、OneDrive for Business、および Exchange のユーザーにより実行されたイベントの Passport 固有 ID (PUID) が格納されます。
UserType 倍精度浮動小数点数 操作を実行したユーザーの種類。
0 = 標準
1 = 予約済み
2 = 管理
3 = DcAdmin
4 = システム
5 = アプリケーション
6 = ServicePrincipal
7 = CustomPolicy
8 = SystemPolicy
バージョン 倍精度浮動小数点数 操作中のファイルのバージョン ID。
Workload String アクティビティが発生したOffice 365 サービス (Exchange、SharePoint、OneDrive など) を格納します。