Analysen und zentrale Berichterstellung für Azure Information Protection (public preview)

Gilt für: Azure Information Protection

Relevant für:AIP Unified Labeling Client and Classic Client

Hinweis

Um eine einheitliche und optimierte Benutzererfahrung zu bieten, werden der klassische Azure Information Protection-Client und die Bezeichnungsverwaltung im Azure-Portal ab dem 31. März 2021 nicht mehr unterstützt. Für den klassischen Client wird kein weiterer Support bereitgestellt, und Wartungsversionen werden nicht mehr veröffentlicht.

Der klassische Client wird offiziell eingestellt und wird am 31. März 2022 eingestellt.

Alle aktuellen Kunden des klassischen Azure Information Protection-Clients müssen zur einheitlichen Microsoft Information Protection Bezeichnungsplattform migrieren und ein Upgrade auf den einheitlichen Bezeichnungsclient durchführen. Weitere Informationen finden Sie in unserem Migrationsblog.

In diesem Artikel wird beschrieben, wie Sie Azure Information Protection (AIP)-Analysen für die zentrale Berichterstellung verwenden, mit deren Hilfe Sie die Einführung Ihrer Bezeichnungen nachverfolgen können, mit denen die Daten Ihrer Organisation klassifiziert und geschützt werden.

Mit AIP-Analysen können Sie außerdem die folgenden Schritte ausführen:

  • Überwachen von mit Bezeichnungen versehenen und geschützten Dokumenten und E-Mails in der gesamten Organisation

  • Identifizieren von Dokumenten, die vertrauliche Informationen in Ihrer Organisation enthalten

  • Überwachen Sie den Benutzerzugriff auf gekennzeichnete Dokumente und E-Mails, und verfolgen Sie Änderungen der Dokumentklassifizierung nach.

  • Identifizieren Sie Dokumente, die vertrauliche Informationen enthalten, durch die Ihre Organisation möglicherweise gefährdet wird, wenn sie nicht geschützt sind, und verringern Sie ihr Risiko, indem Sie den Empfehlungen folgen.

  • Ermitteln Sie, Windows wann interne oder externe Benutzer von einem computer aus auf geschützte Dokumente zugreifen und ob der Zugriff gewährt oder verweigert wurde.

Die angezeigten Daten werden von Ihren Azure Information Protection-Clients und -Scannern, von Microsoft Defender für Cloud-Apps und aus Schutzverwendungsprotokollen aggregiert.

Azure Information Protection-Analysen für die zentrale Berichterstellung werden derzeit in preview angezeigt. Die ergänzenden Bedingungen für Azure Preview enthalten zusätzliche gesetzliche Bedingungen, die für Azure-Features gelten, die in der Betaversion, in der Vorschau oder auf andere Weise noch nicht zur allgemeinen Verfügbarkeit veröffentlicht wurden.

AIP-Berichtsdaten

Beispielsweise werden in der Azure Information Protection-Analyse für zentrale Berichte die folgenden Daten angezeigt:

Bericht Beispieldaten
Nutzungsbericht Wählen Sie einen Zeitraum aus, um eine der folgenden Optionen zu zeigen:

– Welche Bezeichnungen werden angewendet?

– Wie viele Dokumente und E-Mails werden beschriftet?

– Wie viele Dokumente und E-Mails sind geschützt?

– Wie viele Benutzer und wie viele Geräte Dokumente und E-Mails beschriften

– Welche Anwendungen für die Bezeichnung verwendet werden
Aktivitätsprotokolle Wählen Sie einen Zeitraum aus, um eine der folgenden Optionen zu zeigen:

– Welche Dateien, die Scanner zuvor erkannt hat, aus dem gescannten Repository gelöscht wurden

– Welche Bezeichnungsaktionen wurden von einem bestimmten Benutzer ausgeführt?

– Welche Bezeichnungsaktionen wurden für ein bestimmtes Gerät ausgeführt?

– Welche Benutzer auf ein bestimmtes mit einer Bezeichnung versehenes Dokument zugegriffen haben

– Welche Bezeichnungsaktionen wurden für einen bestimmten Dateipfad ausgeführt?

– Welche Bezeichnungsaktionen wurden von einer bestimmten Anwendung (z. B. Datei-Explorer und Rechtsklick, PowerShell, Scanner oder Microsoft Defender für Cloud-Apps) ausgeführt?

– Auf welche geschützten Dokumente haben Benutzer erfolgreich zugegriffen oder den Benutzern den Zugriff verweigert, auch wenn diese Benutzer den Azure Information Protection-Client nicht installiert haben oder sich außerhalb Ihrer Organisation befinden

– Drilldowns in gemeldete Dateien, um Aktivitätsdetails für weitere Informationen anzuzeigen
Datenermittlungsbericht – Welche Dateien befinden sich in den durchsuchten Datenrepositorys, Windows 10- oder Windows 11-Computern oder auf Computern, auf denen die Azure Information Protection-Clients ausgeführt werden?

– Welche Dateien mit Bezeichnungen und Schutz versehen sind, und Speicherort der Dateien durch Bezeichnungen

– Welche Dateien vertrauliche Informationen für bekannte Kategorien enthalten, z. B. Finanzdaten und persönliche Informationen, und den Speicherort von Dateien nach diesen Kategorien
Empfehlungen Bericht – Identifizieren Sie nicht geschützte Dateien, die einen bekannten vertraulichen Informationstyp enthalten. Bei einer Empfehlung können Sie sofort die entsprechende Bedingung für eines Ihrer Etiketten so konfigurieren, dass eine automatische oder empfohlene Beschriftung angewendet wird.
Wenn Sie der Empfehlung folgen: Wenn die Dateien das nächste Mal von einem Benutzer geöffnet oder vom Azure Information Protection-Scanner durchsucht werden, können die Dateien automatisch klassifiziert und
geschützt werden.

– Bei welchen Datenrepositorys gibt es Dateien mit identifizierten vertraulichen Informationen, die aber nicht vom Azure Information Protection durchsucht werden. Bei einer Empfehlung können Sie den identifizierten Datenspeicher sofort einem Ihrer Scannerprofile hinzufügen.
Wenn Sie der Empfehlung folgen:Beim nächsten Scannerzyklus können die Dateien automatisch klassifiziert und geschützt werden.

Die Berichte verwenden Azure Monitor, um die Daten in einem Protokollanalysearbeitsbereich zu speichern, den Ihre Organisation besitzt. Wenn Sie mit der Abfragesprache vertraut sind, können Sie die Abfragen ändern sowie neue Berichte und Power BI erstellen. Möglicherweise finden Sie das folgende Lernprogramm hilfreich, um die Abfragesprache zu verstehen: Erste Schritte mit Azure Monitor-Protokollabfragen.

Es kann bis zu 24 Stunden dauern, bis AIP-Überwachungsprotokolle in Ihrem Protokollanalysearbeitsbereich angezeigt werden.

Weitere Informationen finden Sie unter Datenermittlung, -berichterstellungund -analyse für alle Ihre Daten mit Microsoft Information Protection.

Gesammelte und an die Protokollanalyse gesendete Informationen

Um diese Berichte zu generieren, senden Endpunkte die folgenden Arten von Informationen an die Protokollanalyse des Kunden:

  • Die Bezeichnungsaktion Beispielsweise können Sie ein Etikett festlegen, ein Etikett ändern, Schutz hinzufügen oder entfernen, automatische und empfohlene Etiketten verwenden.

  • Der Bezeichnungsname vor und nach der Bezeichnungsaktion.

  • Die Mandanten-ID Ihrer Organisation.

  • Die Benutzer-ID (E-Mail-Adresse oder UPN).

  • Der Name des Geräts des Benutzers.

  • Die IP-Adresse des Geräts des Benutzers.

  • Der Name des relevanten Prozesses, z. B. outlookoder msip.app.

  • Der Name der Anwendung, die die Bezeichnung ausgeführt hat, z. B. Outlook oder Datei-Explorer

  • Für Dokumente: Der Dateipfad und Dateiname von Dokumenten, die beschriftet sind.

  • Bei E-Mails: Der Betreff der E-Mail und der Absender der E-Mail für E-Mails, die mit einer Bezeichnung versehen sind.

  • Die Typen vertraulicher Informationen(vordefinierte und benutzerdefinierte), die im Inhalt erkannt wurden.

  • Die Clientversion von Azure Information Protection.

  • Die Version des Clientbetriebssystems.

Diese Informationen werden in einem Azure-Protokollanalysearbeitsbereich gespeichert, den Ihre Organisation besitzt, und können von Benutzern, die über Zugriffsrechte für diesen Arbeitsbereich verfügen, unabhängig von Azure Information Protection angezeigt werden.

Weitere Details finden Sie unter:

Verhindern, dass die AIP-Clients Überwachungsdaten senden

Einheitlicher Beschriftungsclient

Um zu verhindern, dass der einheitliche Azure Information Protection-Beschriftungsclient Überwachungsdaten sendet, konfigurieren Sie eine erweiterte Einstellung für die Bezeichnungsrichtlinie.

Klassischer Client

Um zu verhindern, dass diese Daten vom klassischen Azure Information Protection-Client gesendet werden, legen Sie die Richtlinieneinstellung Überwachungsdaten an Azure Information Protection-Analysen senden auf Aus:

Anforderung Anweisungen
So konfigurieren Sie die meisten Benutzer für das Senden von Daten mit einer Untergruppe von Benutzern, die keine Daten senden können Legen Sie überwachungsdaten an Azure Information Protection-Analysen senden in einer Richtlinie mit Bereichsbereich für die Untermenge von Benutzern auf Aus festgelegt.

Diese Konfiguration ist typisch für Produktionsszenarien.
So konfigurieren Sie nur eine Teilmenge der Benutzer, die Daten senden Legen Sie überwachungsdaten an Azure Information Protection-Analysensenden in der globalen Richtlinie auf Aus und in einer Richtlinie mit Bereichsbereich für die Teilmenge der Benutzer auf Aus.

Diese Konfiguration ist typisch für Testszenarien.

Inhalts übereinstimmungen für eine tiefer greifende Analyse

Mit Azure Information Protection können Sie die eigentlichen Daten sammeln und speichern, die als vertraulicher Informationstyp (vordefiniert oder benutzerdefiniert) identifiziert wurden. Dies kann z. B. gefundene Kreditkartennummern sowie Sozialversicherungsnummern, Reisepass- und Bankkontonummern umfassen. Die Inhalts übereinstimmungen werden angezeigt, wenn Sie einen Eintrag aus Aktivitätsprotokollen auswählen unddie Aktivitätsdetails anzeigen.

Standardmäßig senden Azure Information Protection-Clients keine Inhalts übereinstimmungen. So ändern Sie dieses Verhalten, damit Übereinstimmungen mit Inhalten gesendet werden:

Client Anweisungen
Einheitlicher Beschriftungsclient Konfigurieren sie eine erweiterte Einstellung in einer Bezeichnungsrichtlinie.
Klassischer Client Aktivieren Sie ein Kontrollkästchen als Teil der Konfiguration für Azure Information Protection-Analysen. Das Kontrollkästchen hat den Namen Enable deeper analytics into your sensitive data.

Wenn sie möchten, dass die meisten Benutzer, die diesen Client verwenden, Übereinstimmungen mit Inhalten senden, aber eine Teilmenge der Benutzer keine Inhaltsentfingen senden kann, aktivieren Sie das Kontrollkästchen, und konfigurieren Sie dann eine erweiterte Clienteinstellung in einer Richtlinie mit Bereichsbereich für die Teilmenge der Benutzer.

Voraussetzungen

Um die Azure Information Protection-Berichte anzeigen und eigene Berichte erstellen zu können, stellen Sie sicher, dass die folgenden Anforderungen erfüllt sind.

Anforderung Details
Ein Azure-Abonnement Ihr Azure-Abonnement muss log Analytics für denselben Mandanten wie Azure Information Protection enthalten.

Weitere Informationen finden Sie auf der Azure Monitor-Preisseite.

Wenn Sie nicht über ein Azure-Abonnement verfügen oder derzeit nicht Azure Log Analytics verwenden, enthält die Preisseite einen Link zu einer kostenlosen Testversion.
Überwachen der URL-Netzwerkkonnektivität für die Überwachungsprotokollierung AIP muss auf die folgenden URLs zugreifen können, um AIP-Überwachungsprotokolle zu unterstützen:
- https://*.events.data.microsoft.com
- https://*.aria.microsoft.com (nur Android-Gerätedaten)
Azure Information Protection-Client Für Die Berichterstellung vom Client.

Wenn noch kein Client installiert ist, können Sie den einheitlichen Beschriftungsclient aus dem Microsoft Download Center herunterladen und installieren.

Hinweis:Sowohl der einheitliche Beschriftungsclient als auch der klassische Client werden unterstützt. Zum Bereitstellen des klassischen AIP-Clients öffnen Sie ein Supportticket, um Downloadzugriff zu erhalten.
Lokales Azure Information Protection-Scanner Für Berichte aus lokalen Datenspeichern.

Weitere Informationen finden Sie unter Bereitstellen des Azure Information Protection-Scanners zum automatischen Klassifizieren und Schützen von Dateien.
Microsoft Defender für Cloud-Apps Für Berichte von cloudbasierten Datenspeichern.

Weitere Informationen finden Sie unter Azure Information Protection-Integration in der MCAS-Dokumentation.

Für Azure Information Protection-Analysen erforderliche Berechtigungen

Speziell für Azure Information Protection-Analysen, nachdem Sie Ihren Azure-Protokollanalysearbeitsbereich konfiguriert haben, können Sie die Azure AD-Administratorrolle von Security Reader als Alternative zu den anderen Azure AD-Rollen verwenden, die die Verwaltung von Azure Information Protection im Azure-Portal unterstützen. Diese zusätzliche Rolle wird nur unterstützt, wenn Sich Ihr Mandant nicht auf der einheitlichen Bezeichnungsplattform befindet.

Da Azure Information Protection-Analysen Azure Monitoring verwenden, steuert auch rollenbasierte Zugriffssteuerung (Role-Based Access Control, RBAC) für Azure den Zugriff auf Ihren Arbeitsbereich. Sie benötigen daher eine Azure-Rolle sowie eine Azure AD Administratorrolle, um Azure Information Protection-Analysen zu verwalten. Wenn Sie mit Azure-Rollen noch nicht so Azure AD, finden Sie möglicherweise den Artikel Unterschiede zwischen Azure RBAC-Rollen undAzure AD hilfreich.

Weitere Informationen finden Sie unter:

Erforderliche Azure AD Administratorrollen

Sie müssen über eine der folgenden Administratorrollen Azure AD, um auf den Azure Information Protection-Analysebereich zugreifen zu können:

  • So erstellen Sie Ihren Protokollanalysearbeitsbereich oder benutzerdefinierte Abfragen

    • Azure Information Protection-Administrator
    • Sicherheitsadministrator
    • Complianceadministrator
    • Compliancedatenadministrator
    • Globaler Administrator
  • Nachdem der Arbeitsbereich erstellt wurde, können Sie die folgenden Rollen mit weniger Berechtigungen zum Anzeigen der gesammelten Daten verwenden:

    • Sicherheitsleser
    • Globaler Reader

Erforderliche Azure-Protokollanalyserollen

Sie müssen über eine der folgenden Azure Log Analytics-Rollen oder Azure-Standardrollen verfügen, um auf Ihren Azure Log Analytics-Arbeitsbereich zugreifen zu können:

  • Um den Arbeitsbereich zu erstellen oder benutzerdefinierte Abfragen zu erstellen, verwenden Sie eine der folgenden Optionen:

    • Protokollanalyse-Mitwirkender
    • Mitwirkender
    • Besitzer
  • Nachdem der Arbeitsbereich erstellt wurde, können Sie eine der folgenden Rollen mit weniger Berechtigungen zum Anzeigen der gesammelten Daten verwenden:

    • Log Analytics Reader
    • Lese-/Leseprogramm

Mindestrollen zum Anzeigen der Berichte

Nachdem Sie Ihren Arbeitsbereich für Azure Information Protection-Analysen konfiguriert haben, müssen Sie mindestens die folgenden Rollen zum Anzeigen der Azure Information Protection-Analyseberichte anzeigen:

  • Azure AD Administratorrolle: Benutzer mit Leseberechtigung für Sicherheit
  • Azure-Rolle: Log Analytics Reader

Eine typische Rollenzuweisung für viele Organisationen ist jedoch die Azure AD Rolle des Sicherheitslesers und die Azure-Rolle von Reader.

Storage und Datenaufbewahrung

Die Menge der in Ihrem Azure Information Protection-Arbeitsbereich gesammelten und gespeicherten Daten variiert je nach Faktoren, z. B. wie viele Azure Information Protection-Clients und andere unterstützte Endpunkte, ob Sie Endpunktermittlungsdaten sammeln, Sie Scanner bereitgestellt haben, die Anzahl der geschützten Dokumente, auf die zugegriffen wird, und so weiter.

Als Ausgangspunkt könnten jedoch die folgenden Schätzungen hilfreich sein:

  • Gilt nur für von Azure Information Protection-Clients generierte Überwachungsdaten: 2 GB pro 10.000 aktive Benutzer pro Monat.

  • Für von Azure Information Protection-Clients generierte Überwachungsdaten und Scanner: 20 GB pro 10.000 aktive Benutzer pro Monat.

Wenn Sie obligatorische Beschriftungen verwenden oder für die meisten Benutzer eine Standardbezeichnung konfiguriert haben, sind ihre Raten wahrscheinlich wesentlich höher.

Azure Monitor Logs verfügt über ein Feature "Nutzung" und "Geschätzte Kosten", mit dem Sie die gespeicherte Datenmenge schätzen und überprüfen können. Außerdem können Sie den Aufbewahrungszeitraum für die Daten in Ihrem Log Analytics-Arbeitsbereich steuern. Weitere Informationen finden Sie unter Verwalten von Nutzung und Kosten mit Azure Monitor Logs.

Konfigurieren eines Protokollanalysearbeitsbereichs für die Berichte

  1. Falls noch nicht geschehen, öffnen Sie ein neues Browserfenster, und melden Sie sich beim Azure-Portal mit einem Konto an, das über die für Azure Information Protection-Analysen erforderlichen Berechtigungen verfügt. Navigieren Sie dann zum Bereich Azure Information Protection.

    Beispiel für das Suchfeld für Ressourcen, Dienste und Dokumente: Beginnen Sie mit der Eingabe von Informationen, und wählen Sie Azure Information Protection aus.

  2. Suchen Sie die Menüoptionen verwalten, und wählen Sie Analyse konfigurieren (Vorschau) aus.

  3. Im Protokollanalysebereich von Azure Information Protection wird eine Liste aller Log Analytics-Arbeitsbereiche angezeigt, die sich im Besitz Ihres Mandanten befinden. Gehen Sie wie folgt vor:

    • So erstellen Sie einen neuen Protokollanalysearbeitsbereich:Wählen Sie NeuenArbeitsbereich erstellen aus, und geben Sie im Bereich Protokollanalysearbeitsbereich die angeforderten Informationen an.

    • So verwenden Sie einen vorhandenen Protokollanalysearbeitsbereich:Wählen Sie den Arbeitsbereich in der Liste aus.

    Wenn Sie Hilfe beim Erstellen des Arbeitsbereichs "Protokollanalyse" benötigen, lesen Sie Erstellen eines Log Analytics-Arbeitsbereichs im Azure-Portal.

  4. Nur klassischer AIP-Client:Aktivieren Sie das Kontrollkästchen Tiefer gehende Analyse Ihrer vertraulichen Daten aktivieren, wenn Sie die eigentlichen Daten speichern möchten, die als vertraulicher Informationstyp identifiziert wurden.

    Weitere Informationen zu dieser Einstellung finden Sie im Abschnitt Übereinstimmungen mit Inhalten zur tiefer greifende Analyse auf dieser Seite.

  5. Wählen Sie OK aus.

Jetzt können Sie die Berichte anzeigen.

Anzeigen der AIP-Analyseberichte

Suchen Sie im Bereich Azure Information Protection die Menüoptionen für Dashboards, und wählen Sie eine der folgenden Optionen aus:

Bericht Beschreibung
Verwendungsbericht (Vorschau) Verwenden Sie diesen Bericht, um zu sehen, wie die Etiketten verwendet werden.
Aktivitätsprotokolle (Vorschau) Verwenden Sie diesen Bericht, um Bezeichnungsaktionen von Benutzern sowie auf Geräten und Dateipfaden zu sehen. Darüber hinaus können Sie bei geschützten Dokumenten Zugriffsversuche (erfolgreich oder verweigert) für Benutzer innerhalb und außerhalb Ihrer Organisation sehen, auch wenn dieser den Azure Information Protection-Client nicht installiert hat.

Dieser Bericht verfügt über eine Option Spalten, mit der Sie mehr Aktivitätsinformationen als die Standardanzeige anzeigen können. Sie können auch weitere Details zu einer Datei anzeigen, indem Sie sie auswählen, um Aktivitätsdetails anzuzeigen.
Datenermittlung (Vorschau) Verwenden Sie diesen Bericht, um Informationen zu gekennzeichneten Dateien zu sehen, die von Scannern und unterstützten Endpunkten gefunden wurden.

Tipp:Aus den gesammelten Informationen können Benutzer auf Dateien zugreifen, die vertrauliche Informationen von einem Speicherort enthalten, den Sie nicht kennen oder die Sie derzeit nicht prüfen:

– Wenn sich die Speicherorte lokal befinden, sollten Sie die Speicherorte als zusätzliche Datenrepositorys für den Azure Information Protection-Scanner hinzufügen.
– Wenn sich die Speicherorte in der Cloud befinden, erwägen Sie die Verwendung von Microsoft Defender für Cloud-Apps, um sie zu verwalten.
Empfehlungen (Vorschau) Mithilfe dieses Berichts können Sie Dateien identifizieren, die vertrauliche Informationen enthalten, und Ihr Risiko minimieren, indem Sie den Empfehlungen folgen.

Wenn Sie ein Element auswählen, werden mit der Option Daten anzeigen die Überwachungsaktivitäten angezeigt, die die Empfehlung ausgelöst haben.

Ändern der AIP-Analyseberichte und Erstellen von benutzerdefinierten Abfragen

Wählen Sie das Abfragesymbol im Dashboard aus, um einen Bereich für die Protokollsuche zu öffnen:

Symbol

Die protokollierten Daten für Azure Information Protection sind in der folgenden Tabelle gespeichert: InformationProtectionLogs_CL

Verwenden Sie beim Erstellen eigener Abfragen die anzeigefreundlichen Schemanamen, die als InformationProtectionEvents-Funktionen implementiert wurden. Diese Funktionen werden von den Attributen abgeleitet, die für benutzerdefinierte Abfragen unterstützt werden (einige Attribute sind nur für interne Verwendung) und ihre Namen ändern sich im Laufe der Zeit nicht, auch wenn sich die zugrunde liegenden Attribute für Verbesserungen und neue Funktionen ändern.

Benutzerfreundliche Schemareferenz für Ereignisfunktionen

Verwenden Sie die folgende Tabelle, um den Anzeigenamen von Ereignisfunktionen zu identifizieren, die Sie für benutzerdefinierte Abfragen mit Azure Information Protection-Analysen verwenden können.

Spaltenname Beschreibung
Zeit Uhrzeit des Ereignisses: UTC im Format JJJJ-MM-TTTHH:MM:SS
Benutzer Benutzer: Format upN oder DOMAIN\USER
ItemPath Vollständiger Elementpfad oder E-Mail-Betreff
ItemName Dateiname oder E-Mail-Betreff
Methode Zugewiesene Methode für Bezeichnungen: Manuell, Automatisch, Empfohlen, Standard oder Obligatorisch
Aktivität Überwachungsaktivität: DowngradeLabel, UpgradeLabel, RemoveLabel, NewLabel, Discover, Access, RemoveCustomProtection, ChangeCustomProtection, NewCustomProtection oder FileRemoved
ResultStatus Ergebnisstatus der Aktion:

Erfolgreich oder Fehlgeschlagen (nur von AIP-Scanner gemeldet)
ErrorMessage_s Enthält Details zur Fehlermeldung, wenn ResultStatus=Failed (Fehler) ist. Nur von AIP-Scannern gemeldet
LabelName Bezeichnungsname (nicht lokalisiert)
LabelNameBefore Bezeichnungsname vor Änderung (nicht lokalisiert)
ProtectionType Schutztyp [JSON]
{
"Type": ["Template", "Custom", "DoNotForward"],
  "TemplateID": "GUID"
 }
ProtectionBefore Schutztyp vor Änderung [JSON]
MachineName FQDN (falls verfügbar) andernfalls Hostname
Plattform Geräteplattform (Win, OSX, Android, iOS)
ApplicationName Anzeigename der Anwendung
AIPVersion Version des Azure Information Protection-Clients, der die Überwachungsaktion ausgeführt hat
TenantId Azure AD Mandanten-ID
AzureApplicationId Azure AD registrierten Anwendungs-ID (GUID)
ProcessName Prozess, der das MIP SDK hostet
LabelId Bezeichnungs-GUID oder Null
IsProtected Ob geschützt: Ja/Nein
ProtectionOwner Rechteverwaltungsbesitzer im UPN-Format
LabelIdBefore Bezeichnungs-GUID oder NULL vor der Änderung
InformationTypesAbove55 JSON-Array von SensitiveInformation in Daten mit Konfidenzniveau 55 oder höher
InformationTypesAbove65 JSON-Array von SensitiveInformation, das in Daten mit Konfidenzniveau 65 oder höher gefunden wurde
InformationTypesAbove75 JSON-Array von SensitiveInformation, das in Daten mit Konfidenzniveau 75 oder höher gefunden wurde
InformationTypesAbove85 JSON-Array von SensitiveInformation, das in Daten mit Konfidenzniveau 85 oder höher gefunden wurde
InformationTypesAbove95 JSON-Array von SensitiveInformation, das in Daten mit Konfidenzniveau 95 oder höher gefunden wurde
DiscoveredInformationTypes JSON-Array mit SensitiveInformation, das in Daten und deren übereinstimmende Inhalte gefunden wurde (sofern aktiviert), wobei ein leeres Array keine Informationstypen und Null keine verfügbaren Informationen bedeutet
ProtectedBefore Ob der Inhalt vor der Änderung geschützt war: Ja/Nein
ProtectionOwnerBefore Rechteverwaltungsbesitzer vor Änderung
UserJustification Rechtfertigung beim Downgrade oder Entfernen einer Bezeichnung
LastModifiedBy Benutzer im UPN-Format, der die Datei zuletzt geändert hat. Nur für Office und SharePoint verfügbar
LastModifiedDate UTC im Format JJJJ-MM-TTTHH:MM:SS: Nur für Office und SharePoint verfügbar

Beispiele für die Verwendung von InformationProtectionEvents

Verwenden Sie die folgenden Beispiele, um zu sehen, wie Sie das benutzerfreundliche Schema zum Erstellen von benutzerdefinierten Abfragen verwenden können.

Beispiel 1: Zurückgeben aller Benutzer, die in den letzten 31 Tagen Überwachungsdaten gesendet haben
InformationProtectionEvents 
| where Time > ago(31d) 
| distinct User 
Beispiel 2: Gibt die Anzahl der Bezeichnungen zurück, die in den letzten 31 Tagen pro Tag heruntergestuft wurden.
InformationProtectionEvents 
| where Time > ago(31d) 
| where Activity == "DowngradeLabel"  
| summarize Label_Downgrades_per_Day = count(Activity) by bin(Time, 1d) 
 
Beispiel 3: Gibt die Anzahl der Etiketten zurück, die in den letzten 31 Tagen von Benutzern als vertraulich heruntergestuft wurden

InformationProtectionEvents 
| where Time > ago(31d) 
| where Activity == "DowngradeLabel"  
| where LabelNameBefore contains "Confidential" and LabelName !contains "Confidential"  
| summarize Label_Downgrades_by_User = count(Activity) by User | sort by Label_Downgrades_by_User desc 

In diesem Beispiel wird eine downgrade Bezeichnung nur gezählt, wenn der Bezeichnungsname vor der Aktion den Namen Vertraulich und der Bezeichnungsname nach der Aktion nicht den Namen Vertraulich enthielt.

Nächste Schritte

Wenn Sie nach der Überprüfung der Informationen in den Berichten den Azure Information Protection-Client verwenden, können Sie Änderungen an Ihrer Bezeichnungsrichtlinie vornehmen.

AIP-Überwachungsprotokolle werden auch an den Microsoft 365-Aktivitäts-Explorer gesendet, wo sie möglicherweise mit unterschiedlichen Namen angezeigt werden. Weitere Informationen finden Sie unter: