Partager via


Analyse et rapports centraux pour Azure Information Protection

Remarque

Recherchez-vous Microsoft Information Protection ? Le client d’étiquetage unifié Azure Information Protection est actuellement en mode Maintenance. Nous recommandons d’activer l’étiquetage intégré de Microsoft Information Protection pour vos applications Office 365. Plus d’informations

Cet article explique comment utiliser la solution d’audit de Microsoft Purview pour afficher les événements d’audit générés à partir du Client d’étiquetage unifié Azure Information Protection. Les événements d’audit émis dans le journal d’audit unifié Microsoft 365 pour les rapports centraux sont visibles dans l’explorateur d’activités, ce qui peut vous aider à suivre l’adoption de vos étiquettes qui classifient et protègent les données de votre organisation.

L'audit vous permet d'effectuer les étapes suivantes :

  • Regroupez les données de vos clients Azure Information Protection, des analyseurs Azure Information Protection et de Microsoft Defender for Cloud Apps.
  • Affichez les événements d'audit dans le journal d'audit unifié Microsoft 365 et le journal d'activité Office 365 de votre organisation.
  • Interrogez, affichez et détectez les événements d’audit dans l’explorateur d’activités avec une interface graphique dans le portail de conformité.

Auditez les événements à partir du journal d’audit unifié Microsoft 365

Le client d'étiquetage unifié AIP comprend le complément pour Office, l’analyseur, la visionneuse pour Windows, le client PowerShell et l'extension de shell Classify-and-Protect pour Windows. Tous ces composants génèrent des événements d'audit qui apparaissent dans les journaux d'activité d'Office 365 et peuvent être interrogés à l'aide de l'API Activité de gestion Office 365.

Les événements d’audit permettent à un administrateur de :

  • Surveiller les documents et les e-mails étiquetés et protégés dans toute votre organisation.
  • Surveiller l’accès utilisateur aux documents et aux e-mails étiquetés, et suivre les modifications de classification des documents.

Schéma d'événements du journal d'audit unifié Microsoft 365

Les cinq événements (également appelés « AuditLogRecordType ») spécifiques à AIP répertoriés ci-dessous, et plus de détails sur chacun d’entre eux sont disponibles dans la référence API.

Valeur Nom du membre Description
93 AipDiscover Événements de l’analyseur Azure Information Protection (AIP).
94 AipSensitivityLabelAction Événements d’étiquette de confidentialité AIP.
95 AipProtectionAction Événements de protection AIP.
96 AipFileDeleted Événements de suppression de fichiers AIP.
97 AipHeartBeat Événements AIP heartbeat.

Ces informations sont accessibles dans le journal d’audit unifié Microsoft 365 de votre organisation et peuvent être consultées dans l’explorateur d’activités.

Interroger les événements d'audit dans l'explorateur d'activités

image

L’explorateur d’activités dans le portail de conformité Microsoft Purview est une interface graphique permettant d’afficher les événements d’audit émis dans le journal d’audit unifié Microsoft 365. Un administrateur du locataire peut utiliser des requêtes intégrées pour déterminer si les stratégies et les contrôles implémentés par votre organisation sont efficaces. Avec jusqu'à 30 jours de données disponibles, un administrateur peut définir des filtres et voir clairement quand et comment les données sensibles sont traitées au sein de votre organisation.

Pour afficher l’activité spécifique à AIP, un administrateur peut commencer par les filtres suivants :

  • Type d’activité :
    • Étiquette appliquée
    • Étiquette modifiée
    • Étiquette supprimée
    • Fichier d’étiquette lu
  • Application :
    • Complément Microsoft Azure Information Protection Word
    • Complément Microsoft Azure Information Protection Excel
    • Complément Microsoft Azure Information Protection PowerPoint
    • Complément Microsoft Azure Information Protection Outlook

Un administrateur peut ne pas voir toutes les options du filtre, ou en voir davantage ; les valeurs du filtre dépendent des activités capturées pour votre locataire. Pour plus d’informations sur l’explorateur d’activités, consultez :

Informations collectées et envoyées à Microsoft Purview à partir du client d'étiquetage unifié AIP

Pour générer ces rapports, les points de terminaison envoient les types d’informations suivants au journal d’audit unifié Microsoft 365 :

  • L’action d’étiquette. Par exemple, définir une étiquette, modifier une étiquette, ajouter ou supprimer la protection, les étiquettes automatiques et recommandées.

  • Le nom de l’étiquette avant et après l’action d’étiquette.

  • L’ID de locataire de votre organisation.

  • L’identifiant utilisateur (adresse e-mail ou UPN).

  • Le nom de l'appareil de l'utilisateur.

  • L’adresse IP de l’appareil de l’utilisateur.

  • Le nom de processus approprié, tel qu’outlook ou msip.app.

  • Le nom de l’application qui a effectué l’étiquetage, tel qu’Outlook ou Explorateur de fichiers

  • Pour les documents : le chemin d’accès au fichier et le nom de fichier des documents étiquetés.

  • Pour les e-mails : l’objet de l’e-mail et l’expéditeur de courrier électronique pour les e-mails étiquetés.

  • Types d’informations sensibles (prédéfinis et personnalisés) détectés dans le contenu.

  • La version du client Azure Information Protection.

  • La version du système d’exploitation client.

Empêcher les clients AIP d’envoyer des données d’audit

Pour empêcher le client d’étiquetage unifié Azure Information Protection d’envoyer des données d’audit, configurez un paramètre avancé de stratégie d’étiquette.

Correspondances de contenu pour une analyse plus approfondie

Azure Information Protection vous permet de collecter et de stocker les données réelles identifiées comme étant un type d'informations sensibles (prédéfinies ou personnalisées). Par exemple, cela peut inclure les numéros de carte de crédit trouvés, ainsi que les numéros de sécurité sociale, les numéros de passeport et les numéros de compte bancaire. Les correspondances de contenu s’affichent lorsque vous sélectionnez une entrée dans les Journaux d’activité et affichez les Détails de l’activité.

Par défaut, les clients Azure Information Protection n’envoient pas de correspondances de contenu. Pour modifier ce comportement afin que les correspondances de contenu soient envoyées, configurez un paramètre avancé dans une stratégie d’étiquette.

Prérequis

Les événements d’audit sont activés par défaut pour votre organisation. Pour afficher les événements d’audit dans Microsoft Purview, consultez les exigences de licence pour les solutions de base et d’audit (Premium).

Étapes suivantes

Après avoir examiné les informations contenues dans les rapports, vous souhaiterez peut-être en savoir plus sur la configuration de la solution d'audit de Microsoft Purview pour votre organisation.