Journalisation et analyse de l’utilisation de la protection d’Azure Information Protection

Remarque

Recherchez-vous Microsoft Purview Information Protection, anciennement Microsoft Information Protection (MIP) ?

Le module complémentaire Azure Information Protection pour Office est désormais en mode maintenance et sera mis hors service en avril 2024. Nous vous recommandons plutôt d’utiliser les étiquettes intégrées à vos applications et services Office 365. En savoir plus sur l’état de la prise en charge d’autres composants Azure Information Protection des données.

Utilisez ces informations pour comprendre comment vous pouvez utiliser la journalisation de l’utilisation pour le service de protection (Azure Rights Management) d’Azure Information Protection. Ce service de protection assure la protection des données des documents et emails de votre organisation et peut journaliser chaque demande adressée à ce dernier. Ces demandes comprennent le moment où les utilisateurs protègent des documents et des emails, le moment où ils consomment ce contenu, les actions effectuées par vos administrateurs pour ce service et les actions effectuées par les opérateurs Microsoft pour prendre en charge votre déploiement Azure Information Protection.

Vous pouvez ensuite utiliser ces journaux d’utilisation de protection pour prendre en charge les scénarios métier suivants :

  • Analyser les perspectives

    Les journaux générés par le service de protection peuvent être importés dans un référentiel de votre choix (par exemple, une base de données, un système OLAP (traitement analytique en ligne ou un système map-reduce)) pour analyser les informations et produire des rapports. Par exemple, vous pouvez identifier qui accède à vos données protégées. Vous pouvez déterminer les données protégées auxquelles les utilisateurs accèdent, et à partir des appareils et de l’endroit où. Vous pouvez déterminer si les utilisateurs peuvent lire avec succès du contenu protégé. Vous pouvez également identifier les personnes qui ont lu un document important protégé.

  • Surveiller les abus

    La journalisation des informations sur l’utilisation de la protection est disponible en temps quasi réel, afin de pouvoir surveiller en permanence l’utilisation du service de protection de votre entreprise. 99,9 % des journaux d’activité sont disponibles dans les 15 minutes suivant une action initiée au service.

    Par exemple, vous pouvez être alerté s’il existe une augmentation soudaine des personnes qui lisent des données protégées en dehors des heures de travail standard, ce qui peut indiquer qu’un utilisateur malveillant collecte des informations pour vendre à des concurrents. Ou, si le même utilisateur accède apparemment aux données à partir de deux adresses IP différentes dans un délai court, ce qui peut indiquer qu’un compte d’utilisateur a été compromis.

  • Effectuer une analyse légale

    Si vous avez une fuite d’informations, vous êtes susceptible d’être invité à savoir qui a récemment accédé à des documents spécifiques et quelles informations ont récemment fait une personne soupçonnée d’accéder. Vous pouvez répondre à ces types de questions lorsque vous utilisez cette journalisation, car les personnes qui utilisent du contenu protégé doivent toujours obtenir une licence Rights Management pour ouvrir des documents et des images protégés par Azure Information Protection, même si ces fichiers sont déplacés par email ou copiés vers des lecteurs USB ou d’autres dispositifs de stockage. Cela signifie que vous pouvez utiliser ces journaux comme source définitive d’informations pour l’analyse légale lorsque vous protégez vos données à l’aide d’Azure Information Protection.

Outre cette journalisation de l’utilisation, vous disposez également des options de journalisation suivantes :

Option du journal Description
Journal d’administration Enregistre les tâches administratives du service de protection. Par exemple, si le service est désactivé, lorsque la fonctionnalité super utilisateur est activée et lorsque les utilisateurs sont délégués des autorisations d’administrateur au service.

Pour plus d’informations, consultez l’applet de commande PowerShell, Get-AipService Administration Log.
Suivi des documents Permet aux utilisateurs de suivre et de révoquer les documents qu’ils ont suivis avec le client Azure Information Protection. Les administrateurs généraux peuvent également suivre ces documents pour le compte des utilisateurs.

Pour plus d’informations, consultez Configuration et utilisation du suivi des documents pour Azure Information Protection.
Journaux des événements clients Activité d'utilisation du client Azure Information Protection, consignée dans le journal des événements des applications et services Windows locaux, Azure Information Protection.

Pour plus d’informations, consultez Configurer des droits d’utilisation pour le client Azure Information Protection.
Fichiers d’historique du client Les journaux de résolution des problèmes pour le client Azure Information Protection client, situés dans %localappdata%\Microsoft\MSIP.

Ces fichiers sont conçus pour Support Microsoft.

En outre, des informations provenant des journaux d’utilisation du client Azure Information Protection et du scanneur Azure Information Protection sont collectées et agrégées pour créer des rapports dans le Portail Azure. Pour plus d’informations, consultez Rapport pour Azure Information Protection.

Utilisez les sections suivantes pour plus d’informations sur la journalisation de l’utilisation pour le service de protection.

Comment activer la journalisation pour l’utilisation de la protection

La journalisation de l’utilisation de la protection est activée par défaut pour tous les clients.

Il n’existe aucun coût supplémentaire pour le stockage des journaux ou pour la fonctionnalité de fonctionnalité de journalisation.

Comment accéder à vos journaux d’utilisation de protection et les utiliser

Azure Information Protection écrit des journaux sous la forme d’une série d’objets blob dans un compte de stockage Azure qu’il crée automatiquement pour votre client. Chaque objet blob contient un ou plusieurs enregistrements de journal, au format de journal étendu W3C. Les noms d’objets blob sont des nombres, dans l’ordre dans lequel ils ont été créés. La section Comment interpréter vos journaux d’utilisation Azure Rights Management plus loin dans ce document contient plus d’informations sur le contenu du journal et leur création.

L’affichage des journaux dans votre compte de stockage peut prendre un certain temps après une action de protection. La plupart des journaux d’activité apparaissent dans les 15 minutes. Les journaux d’utilisation sont disponibles uniquement lorsque le nom du champ « date » contient une valeur d’une date précédente (en heure UTC). Les journaux d’utilisation de la date actuelle ne sont pas disponibles. Nous vous recommandons de télécharger les journaux d’activité dans un stockage local, tel qu’un dossier local, une base de données ou un référentiel map-reduce.

Pour télécharger vos journaux d’utilisation, vous allez utiliser le module PowerShell AIPService pour Azure Information Protection. Pour des instructions d’installation, consultez Installation du module AIPService PowerShell.

Pour télécharger vos journaux d’utilisation à l’aide de PowerShell

  1. Démarrez Windows PowerShell avec l’option Exécuter en tant qu’administrateur et utilisez l’applet de commande Connecter-AipService pour vous connecter à Azure Information Protection :

    Connect-AipService
    
  2. Exécutez la commande suivante pour télécharger les journaux d’activité pour une date spécifique :

    Get-AipServiceUserLog -Path <location> -fordate <date>
    

    Par exemple, après avoir créé un dossier appelé Journaux d’activité sur votre lecteur E :

    • Pour télécharger les journaux d’activité pour une date spécifique (par exemple, 2/1/2016), exécutez la commande suivante : Get-AipServiceUserLog -Path E:\Logs -fordate 2/1/2016

    • Pour télécharger les journaux d’activité d’une plage de dates (par exemple, du 01/02/2016 au 14/02/2016), exécutez la commande suivante : Get-AipServiceUserLog -Path E:\Logs -fromdate 2/1/2016 –todate 2/14/2016

Lorsque vous spécifiez le jour uniquement, comme dans nos exemples, l’heure est supposée être 00:00:00 dans votre heure locale, puis convertie en UTC. Lorsque vous spécifiez une heure avec vos paramètres -fromdate ou -todate (par exemple, -fordate « 2/1/2016 15:00:00 »), cette date et heure est convertie en UTC. La commande Get-AipServiceUserLog obtient ensuite les journaux pour cette période UTC.

Vous ne pouvez pas spécifier moins d’une journée entière à télécharger.

Par défaut, cette applet de commande utilise trois threads pour télécharger les journaux. Si vous disposez d’une bande passante réseau suffisante et souhaitez réduire le temps nécessaire pour télécharger les journaux, utilisez le paramètre -NumberOfThreads, qui prend en charge une valeur comprise entre 1 et 32. Par exemple, si vous exécutez la commande suivante, l’applet de commande génère 10 threads pour télécharger les journaux : Get-AipServiceUserLog -Path E:\Logs -fromdate 2/1/2016 –todate 2/14/2016 -numberofthreads 10

Conseil

Vous pouvez agréger tous vos fichiers journaux téléchargés dans un format CSV à l’aide de l’analyseur de journaux de Microsoft, qui est un outil à convertir entre différents formats de journaux connus. Vous pouvez également utiliser cet outil pour convertir des données au format SYSLOG ou les importer dans une base de données. Une fois que vous avez installé l’outil, exécutez LogParser.exe /? pour obtenir de l’aide et des informations sur l’utilisation de cet outil.

Par exemple, vous pouvez exécuter la commande suivante pour importer toutes les informations dans un format de fichier .log : logparser –i:w3c –o:csv "SELECT * INTO AllLogs.csv FROM *.log"

Comment interpréter vos journaux d’utilisation

Utilisez les informations suivantes pour vous aider à interpréter les journaux d’utilisation de la protection.

Séquence de journaux

Azure Information Protection écrit les journaux sous la forme d’une série d’objets blob.

Chaque entrée dans le journal a un horodatage UTC. Étant donné que le service de protection s’exécute sur plusieurs serveurs sur plusieurs centres de données, les journaux peuvent parfois sembler hors séquence, même lorsqu’ils sont triés par leur horodateur. Toutefois, la différence est faible et généralement dans une minute. Dans la plupart des cas, ce n’est pas un problème qui serait un problème pour l’analyse des journaux.

Format de l’objet blob

Chaque objet blob est au format de journal étendu W3C. Il commence par les deux lignes suivantes :

#Software : RMS

#Version : 1.1

La première ligne identifie qu’il s’agit de journaux de protection d’Azure Information Protection. La deuxième ligne identifie que le reste de l’objet blob suit la spécification 1.1. Nous vous recommandons d’analyser les applications qui analysent ces deux lignes avant de continuer à analyser le reste de l’objet blob.

La troisième ligne énumère les noms de champs séparés par les onglets :

#Fields : date time row-id request-type user-id result correlation-id content-id owner-email issuer template-id file-name date-published c-info c-ip admin-action acting-as-user

Chacune des lignes suivantes est un enregistrement de journal. Les valeurs des champs sont dans le même ordre que la ligne précédente et sont séparées par des onglets. Utilisez le tableau suivant pour interpréter les champs.

Nom du champ Type de données W3C Description Exemple de valeur
date Date Date UTC à laquelle la demande a été traitée.

La source est l’horloge locale sur le serveur qui a servi la requête.
25-06-2013
time Temps Heure UTC au format 24 heures lorsque la requête a été traitée.

La source est l’horloge locale sur le serveur qui a servi la requête.
21:59:28
row-id Texte GUID unique pour cet enregistrement de journal. Si une valeur n’est pas présente, utilisez la valeur de corrélation-id pour identifier l’entrée.

Cette valeur est utile lorsque vous agrégez les journaux ou copiez les journaux dans un autre format.
1c3fe7a9-d9e0-4654-97b7-14fafa72ea63
request-type Nom Nom de l’API RMS demandée. AcquireLicense
user-id Chaîne Utilisateur qui a formulé la demande.

La valeur est placée entre des guillemets droits. Les appels d’une clé client gérée par vous (BYOK) ont la valeur " qui s’applique également lorsque les types de requêtes sont anonymes.
'joe@contoso.com'
result Chaîne « Succès » si la requête a été traitée avec succès.

Type d’erreur entre guillemets simples si la requête a échoué.
« Succès »
correlation-id Texte GUID courant entre le journal client RMS et le journal du serveur pour une demande donnée.

Cette valeur peut être utile pour résoudre les problèmes du client.
cab52088-8925-4371-be34-4b71a3112356
content-id Texte GUID, placé entre accolades qui identifie le contenu protégé (par exemple, un document).

Ce champ a une valeur uniquement si le type de requête est AcquireLicense et est vide pour tous les autres types de requêtes.
{bb4af47b-cfed-4719-831d-71b98191a4f2}
owner-email Chaîne Adresse email du propriétaire du document.

Ce champ est vide si le type de requête est RevokeAccess.
alice@contoso.com
issuer Chaîne Adresse email de l’émetteur du document.

Ce champ est vide si le type de requête est RevokeAccess.
alice@contoso.com (ou) FederatedEmail.4c1f4d-93bf-00a95fa1e042@contoso.onmicrosoft.com'
template-id Chaîne ID du modèle utilisé pour protéger le document.

Ce champ est vide si le type de requête est RevokeAccess.
{6d9371a6-4e2d-4e97-9a38-202233fed26e}
file-name Chaîne Nom de fichier d’un document protégé suivi à l’aide du client Azure Information Protection client pour Windows.

Actuellement, certains fichiers (tels que Office documents) s’affichent sous forme de GUID plutôt que le nom de fichier réel.

Ce champ est vide si le type de requête est RevokeAccess.
TopSecretDocument.docx
date-published Date Date à laquelle le document a été protégé.

Ce champ est vide si le type de requête est RevokeAccess.
2015-10-15T21:37:00
c-info Chaîne Informations sur la plateforme cliente qui effectue la requête.

La chaîne spécifique varie en fonction de l’application (par exemple, du système d’exploitation ou du navigateur).
« MSIPC;version=1.0.623.47;AppName=WINWORD.EXE;AppVersion=15.0.4753.1000;AppArch=x86;OSName=Windows;OSVersion=6.1.7601;OSArch=amd64 »
c-ip Adresse Adresse IP du client qui a effectué la requête. 64.51.202.144
admin-action Bool Indique si un administrateur a accédé au site de suivi des documents en mode administrateur. True
acting-as-user Chaîne Adresse email de l’utilisateur pour lequel un administrateur accède au site de suivi des documents. « joe@contoso.com »

Exceptions pour le champ user-id

Bien que le champ id d’utilisateur indique généralement l’utilisateur qui a effectué la requête, il existe deux exceptions où la valeur ne correspond pas à un utilisateur réel :

  • Valeur « microsoftrmsonline@<YourTenantID>.rms.<region>.aadrm.com ».

    Cela indique qu’un service Office 365, tel qu’Exchange Online ou Microsoft SharePoint, effectue la demande. Dans la chaîne, <YourTenantID> est le GUID de votre client et <de votre région> est la région où votre client est inscrit. Par exemple, na représente Amérique du Nord, eu représente l’Europe et ap représente l’Asie.

  • Si vous utilisez le connecteur RMS.

    Les demandes de ce connecteur sont enregistrées avec le nom du principal de service de Aadrm_S-1-7-0, qui est généré automatiquement lorsque vous installez le connecteur RMS.

Types de requêtes classiques

Il existe de nombreux types de demandes pour le service de protection, mais le tableau suivant identifie certains des types de requêtes les plus utilisés.

Type de demande Description
AcquireLicense Un client à partir d’un ordinateur Windows demande une licence pour le contenu protégé.
AcquirePreLicense Un client, au nom de l’utilisateur, demande une licence pour le contenu protégé.
AcquireTemplates Un appel a été effectué pour acquérir des modèles basés sur des ID de modèle
AcquireTemplateInformation Un appel a été effectué pour obtenir les ID du modèle à partir du service.
AddTemplate Un appel est effectué à partir du Portail Azure pour ajouter un modèle.
AllDocsCsv Un appel est effectué à partir du site de suivi des documents pour télécharger le fichier CSV à partir de la page Tous les documents .
BECreateEndUserLicenseV1 Un appel est effectué à partir d’un appareil mobile pour créer une licence utilisateur final.
BEGetAllTemplatesV1 Un appel est effectué à partir d’un appareil mobile (back-end) pour obtenir tous les modèles.
Certify Le client certifiera l’utilisateur pour la consommation et la création de contenu protégé.
FECreateEndUserLicenseV1 Similaire à la demande AcquireLicense, mais à partir d’appareils mobiles.
FECreatePublishingLicenseV1 Identique à Certify et GetClientLicensorCert combinés à partir de clients mobiles.
FEGetAllTemplates Un appel est effectué à partir d’un appareil mobile (front-end) pour obtenir les modèles.
FindServiceLocationsForUser Un appel est effectué pour rechercher des URL, qui sont utilisées pour appeler Certify ou AcquireLicense.
GetClientLicensorCert Le client demande un certificat de publication (utilisé ultérieurement pour protéger le contenu) à partir d’un ordinateur Windows.
GetConfiguration Une applet de commande Azure PowerShell est appelée pour obtenir la configuration du client Azure RMS.
GetConnectorAuthorizations Un appel est effectué à partir des connecteurs RMS pour obtenir leur configuration à partir du cloud.
GetRecipients Un appel est effectué à partir du site de suivi des documents pour accéder à l’affichage liste d’un document unique.
GetTenantFunctionalState Le Portail Azure est vérification si le service de protection (Azure Rights Management) est activé.
KeyVaultDecryptRequest Le client tente de déchiffrer le contenu protégé par RMS. Applicable uniquement pour une clé client gérée par le client (BYOK) dans Azure Key Vault.
KeyVaultGetKeyInfoRequest Un appel est effectué pour vérifier que la clé spécifiée à utiliser dans Azure Key Vault pour la clé client Azure Information Protection est accessible et n’est pas déjà utilisée.
KeyVaultSignDigest Un appel est effectué lorsqu’une clé gérée par le client (BYOK) dans Azure Key Vault est utilisée à des fins de signature. Cela est généralement appelé une fois par AcquireLicence (ou FECreateEndUserLicenseV1), Certify et GetClientLicensorCert (ou FECreatePublishingLicenseV1).
KMSPDecrypt Le client tente de déchiffrer le contenu protégé par RMS. Applicable uniquement pour une clé client gérée par le client héritée (BYOK).
KMSPSignDigest Un appel est effectué lorsqu’une clé gérée par le client (BYOK) héritée est utilisée à des fins de signature. Cela est généralement appelé une fois par AcquireLicence (ou FECreateEndUserLicenseV1), Certify et GetClientLicensorCert (ou FECreatePublishingLicenseV1).
ServerCertify Un appel est effectué à partir d’un client rmS (tel que SharePoint) pour certifier le serveur.
SetUsageLogFeatureState Un appel est effectué pour activer la journalisation de l’utilisation.
SetUsageLog Stockage Account Un appel est effectué pour spécifier l’emplacement des journaux du service Azure Rights Management.
UpdateTemplate Un appel est effectué à partir du Portail Azure pour mettre à jour un modèle existant.

Journaux d’utilisation de la protection et journal d’audit unifié Microsoft 365

L’accès aux fichiers et les événements refusés n’incluent pas actuellement le nom de fichier et ne sont pas accessibles dans le journal d’audit unifié Microsoft 365. Ces événements seront améliorés pour être autonomes et ajoutés à partir du service Rights Management à une date ultérieure.

Informations de référence sur PowerShell

La seule applet de commande PowerShell dont vous avez besoin pour accéder à la journalisation de l’utilisation de la protection est Get-AipServiceUserLog.

Pour plus d’informations sur l’utilisation de PowerShell pour Azure Information Protection, consultez Administration inscrire la protection contre Azure Information Protection à l’aide de PowerShell.