Reporting centralizzato per Azure Information ProtectionCentral reporting for Azure Information Protection

Si applica a: Azure Information ProtectionApplies to: Azure Information Protection

Nota

Al momento questa funzionalità è disponibile in anteprima ed è soggetta a modifiche.This feature is currently in preview and subject to change.

Usare Azure Information Protection Analytics per la creazione di report centrali che consentono di tenere traccia dell'adozione delle etichette che classificano e proteggono i dati dell'organizzazione.Use Azure Information Protection analytics for central reporting to help you track the adoption of your labels that classify and protect your organization's data. Inoltre:In addition:

  • Monitorare documenti e messaggi di posta elettronica etichettati e protetti nell'organizzazione.Monitor labeled and protected documents and emails across your organization

  • Identificare i documenti che contengono informazioni riservate nell'organizzazione.Identify documents that contain sensitive information within your organization

  • Monitorare l'accesso degli utenti a documenti e messaggi di posta elettronica etichettati e tenere traccia delle modifiche alla classificazione dei documenti.Monitor user access to labeled documents and emails, and track document classification changes.

  • Identificare i documenti contenenti informazioni sensibili che possono mettere a rischio l'organizzazione se non protette e attenuare il rischio seguendo le raccomandazioni.Identify documents that contain sensitive information that might be putting your organization at risk if they are not protected, and mitigate your risk by following recommendations.

  • Individuare i casi in cui l'accesso ai documenti protetti viene eseguito da utenti interni o esterni da computer Windows e se l'accesso è stato concesso o negato.Identify when protected documents are accessed by internal or external users from Windows computers, and whether access was granted or denied.

I dati visualizzati sono aggregati da client e scanner di Azure Information Protection, da Microsoft Cloud App Security, da computer Windows 10 che usano Microsoft Defender Advanced Threat Protection e dai log di utilizzo della protezione.The data that you see is aggregated from your Azure Information Protection clients and scanners, from Microsoft Cloud App Security, from Windows 10 computers using Microsoft Defender Advanced Threat Protection, and from protection usage logs.

Ad esempio è possibile visualizzare quanto segue:For example, you'll be able to see the following:

  • Nel Report di utilizzo, in cui è possibile selezionare un periodo di tempo:From the Usage report, where you can select a time period:

    • Quali etichette vengono applicateWhich labels are being applied

    • Quanti documenti e messaggi di posta elettronica vengono corredati di etichettaHow many documents and emails are being labeled

    • Quanti documenti e messaggi di posta elettronica vengono protettiHow many documents and emails are being protected

    • Quanti utenti e dispositivi applicano etichette a documenti e messaggi di posta elettronicaHow many users and how many devices are labeling documents and emails

    • Quali applicazioni vengono usate per l'assegnazione di etichetteWhich applications are being used for labeling

  • Dai log attività, in cui è possibile selezionare un periodo di tempo:From the Activity logs, where you can select a time period:

    • Quali azioni di etichettatura sono state eseguite da un utente specificoWhat labeling actions were performed by a specific user

    • Quali azioni di etichettatura sono state eseguite da un dispositivo specificoWhat labeling actions were performed from a specific device

    • Quali utenti hanno avuto accesso a un documento etichettato specificoWhich users have accessed a specific labeled document

    • Quali azioni di etichettatura sono state eseguite da un percorso di file specificoWhat labeling actions were performed for a specific file path

    • Quali azioni di assegnazione di etichette sono state eseguite da un'applicazione specifica, ad esempio Esplora file e con il pulsante destro del mouse, PowerShell, lo scanner o Microsoft Cloud App SecurityWhat labeling actions were performed by a specific application, such File Explorer and right-click, PowerShell, the scanner, or Microsoft Cloud App Security

    • A quali documenti protetti è stato eseguito l'accesso da parte degli utenti o negato l'accesso agli utenti, anche se tali utenti non hanno il client di Azure Information Protection installato o non sono all'interno dell'organizzazioneWhich protected documents were accessed successfully by users or denied access to users, even if those users don't have the Azure Information Protection client installed or are outside your organization

    • Eseguire il drill-down dei file segnalati per visualizzare la sezione Dettagli attività in cui sono disponibili altre informazioniDrill down into reported files to view Activity Details for additional information

  • Nel report Individuazione dati:From the Data discovery report:

    • Quali file si trovano nei repository di dati scansionati, nei computer Windows 10 o nei computer che eseguono i client di Azure Information ProtectionWhat files are on your scanned data repositories, Windows 10 computers, or computers running the Azure Information Protection clients

    • Quali file sono provvisti di etichetta e protetti e il percorso dei file in base alle etichetteWhich files are labeled and protected, and the location of files by labels

    • Quali file contengono informazioni riservate per categorie note, ad esempio dati finanziari e informazioni personali e il percorso dei file in base a queste categorieWhich files contain sensitive information for known categories, such as financial data and personal information, and the location of files by these categories

  • Dal report Raccomandazioni:From the Recommendations report:

    • Identificare i file non protetti che contengono un tipo noto di informazioni sensibili.Identify unprotected files that contain a known sensitive information type. Una raccomandazione consente di configurare immediatamente la condizione corrispondente a una delle etichette, per applicare l'etichettatura automatica o consigliata.A recommendation lets you immediately configure the corresponding condition for one of your labels to apply automatic or recommended labeling.

      Se si segue la Raccomandazione: la volta successiva che i file vengono aperti da un utente o analizzati dal Azure Information Protection scanner, i file possono essere classificati e protetti automaticamente.If you follow the recommendation: The next time the files are opened by a user or scanned by the Azure Information Protection scanner, the files can be automatically classified and protected.

    • Identificare i repository dei dati che contengono file con informazioni sensibili identificate ma non analizzati da Azure Information Protection.Which data repositories have files with identified sensitive information but are not being scanned by the Azure Information Protection. Una raccomandazione consente di aggiungere immediatamente l'archivio dati identificato a uno dei profili dello scanner.A recommendation lets you immediately add the identified data store to one of your scanner's profiles.

      Se si segue la Raccomandazione: al successivo ciclo dello scanner, i file possono essere classificati e protetti automaticamente.If you follow the recommendation: On the next scanner cycle, the files can be automatically classified and protected.

I report usano Monitoraggio di Azure per archiviare i dati in un'area di lavoro di Log Analytics di proprietà dell'organizzazione.The reports use Azure Monitor to store the data in a Log Analytics workspace that your organization owns. Se si ha familiarità con il linguaggio di query, è possibile modificare le query e creare nuovi report e dashboard di Power BI.If you're familiar with the query language, you can modify the queries, and create new reports and Power BI dashboards. L'esercitazione seguente può essere utile per comprendere il linguaggio di query: Introduzione alle query di log di monitoraggio di Azure.You might find the following tutorial helpful to understand the query language: Get started with Azure Monitor log queries.

Per altre informazioni, vedere i seguenti post di blog:For more information, read the following blog posts:

Informazioni raccolte e inviate a MicrosoftInformation collected and sent to Microsoft

Per generare questi report, gli endpoint inviano i seguenti tipi di informazioni a Microsoft:To generate these reports, endpoints send the following types of information to Microsoft:

  • Azione per l'etichetta.The label action. Ad esempio impostazione o modifica di un'etichetta, aggiunta o rimozione della protezione, etichette automatiche e consigliate.For example, set a label, change a label, add or remove protection, automatic and recommended labels.

  • Nome dell'etichetta prima e dopo l'azione dell'etichetta.The label name before and after the label action.

  • ID del tenant dell'organizzazione.Your organization's tenant ID.

  • ID utente (indirizzo di posta elettronica o UPN).The user ID (email address or UPN).

  • Nome del dispositivo dell'utente.The name of the user's device.

  • Per i documenti: percorso e nome file dei documenti ai quali viene aggiunta l'etichetta.For documents: The file path and file name of documents that are labeled.

  • Per i messaggi di posta elettronica: l'oggetto e il mittente di posta elettronica per i messaggi di posta elettronica contrassegnati.For emails: The email subject and email sender for emails that are labeled.

  • Tipologie di informazioni riservate (predefinite e personalizzate) rilevate nel contenuto.The sensitive information types (predefined and custom) that were detected in content.

  • Versione del client di Azure Information Protection.The Azure Information Protection client version.

  • Versione del sistema operativo del client.The client operating system version.

Queste informazioni vengono archiviate in un'area di lavoro di Azure Log Analytics di proprietà dell'organizzazione e possono essere visualizzate, indipendentemente da Azure Information Protection, dagli utenti con i diritti di accesso all'area di lavoro.This information is stored in an Azure Log Analytics workspace that your organization owns and can be viewed independently from Azure Information Protection by users who have access rights to this workspace. Per informazioni dettagliate, vedere la sezione Autorizzazioni necessarie per la funzionalità di analisi di Azure Information Protection.For details, see the Permissions required for Azure Information Protection analytics section. Per informazioni sulla gestione dell'accesso all'area di lavoro, vedere la sezione Gestire l'accesso all'area di lavoro Log Analytics nella documentazione di Azure.For information about managing access to your workspace, see the Manage access to Log Analytics Workspace using Azure permissions section from the Azure documentation.

Per impedire ai client di Azure Information Protection (versione classica) di inviare questi dati, impostare l' impostazione dei criteri Invia dati di controllo su Azure Information Protection Analytics su disattivato:To prevent Azure Information Protection clients (classic) from sending this data, set the policy setting of Send audit data to Azure Information Protection analytics to Off:

  • Per fare in modo che la maggior parte degli utenti possa inviare questi dati e un subset di utenti non possa inviare dati di controllo:For most users to send this data and a subset of users cannot send auditing data:

    • Impostare Invia dati di controllo a Azure Information Protection Analytics su disattivato in un criterio con ambito per il subset di utenti.Set Send audit data to Azure Information Protection analytics to Off in a scoped policy for the subset of users. Questa configurazione è tipica per gli scenari di produzione.This configuration is typical for production scenarios.
  • Per fare in modo che solo un subset di utenti possa inviare dati di controllo:For only a subset of users to send auditing data:

    • Impostare Invia dati di controllo a Azure Information Protection Analytics su disattivato nei criteri globali e in in un criterio con ambito per il subset di utenti.Set Send audit data to Azure Information Protection analytics to Off in the global policy, and On in a scoped policy for the subset of users. Questa configurazione è tipica per gli scenari di test.This configuration is typical for testing scenarios.

Per evitare che Azure Information Protection client unificati invii questi dati, configurare un' impostazione avanzatadei criteri di etichetta.To prevent Azure Information Protection unified clients from sending this data, configure a label policy advanced setting.

Corrispondenze di contenuto per un'analisi più approfonditaContent matches for deeper analysis

Azure Information Protection consente di raccogliere e archiviare i dati effettivi identificati come un tipo di informazioni riservate (predefinito o personalizzato).Azure Information Protection lets you collect and store the actual data that's identified as being a sensitive information type (predefined or custom). Possono essere inclusi ad esempio numeri di carta di credito, numeri di previdenza sociale, numeri di passaporto e numeri di conto bancario.For example, this can include credit card numbers that are found, as well as social security numbers, passport numbers, and bank account numbers. Le corrispondenze contenuto vengono visualizzate quando si seleziona una voce dai log attivitàe si visualizzano i Dettagli dell'attività.The content matches are displayed when you select an entry from Activity logs, and view the Activity Details.

Per impostazione predefinita, i client di Azure Information Protection non inviano corrispondenze di contenuto.By default, Azure Information Protection clients don't send content matches. Per modificare questo comportamento in modo che vengano inviate le corrispondenze del contenuto:To change this behavior so that content matches are sent:

  • Per il client classico, selezionare una casella di controllo come parte della configurazione per Azure Information Protection Analytics.For the classic client, select a checkbox as part of the configuration for Azure Information Protection analytics. La casella di controllo è denominata Abilita analisi più approfondita nei dati sensibili.The checkbox is named Enable deeper analytics into your sensitive data.

    Se si vuole che la maggior parte degli utenti che usano questo client per inviare corrispondenze di contenuto, ma un subset di utenti non può inviare corrispondenze di contenuto, selezionare la casella di controllo e quindi configurare un' impostazione client avanzata in un criterio con ambito per il subset di utenti.If you want most users who are using this client to send content matches but a subset of users cannot send content matches, select the checkbox and then configure an advanced client setting in a scoped policy for the subset of users.

  • Per il client Unified Labeling, configurare un' impostazione avanzata in un criterio di etichetta.For the unified labeling client, configure an advanced setting in a label policy.

PrerequisitiPrerequisites

Per visualizzare i report di Azure Information Protection e creare report personalizzati, verificare che siano soddisfatti i requisiti seguenti.To view the Azure Information Protection reports and create your own, make sure that the following requirements are in place.

RequisitoRequirement Ulteriori informazioniMore information
Una sottoscrizione di Azure che include Log Analytics ed è per lo stesso tenant di Azure Information ProtectionAn Azure subscription that includes Log Analytics and that is for the same tenant as Azure Information Protection Vedere la pagina dei prezzi di Monitoraggio di Azure.See the Azure Monitor pricing page.

Se non si dispone di un abbonamento di Azure o attualmente non si usa Azure Log Analytics, la pagina dei prezzi include un collegamento per una versione di valutazione gratuita.If you don't have an Azure subscription or you don't currently use Azure Log Analytics, the pricing page includes a link for a free trial.
Per informazioni sulla creazione di report per l'assegnazione di etichette ai client:For reporting information from labeling clients:

-Client Azure Information Protection- Azure Information Protection clients
Sono supportati sia il client Unified labeling che il client classico.Both the unified labeling client and the classic client are supported.

Se non è già installato, è possibile scaricare e installare questi client dall' area download Microsoft.If not already installed, you can download and install these clients from the Microsoft Download Center.
Per informazioni sulla creazione di report da archivi dati basati sul cloud:For reporting information from cloud-based data stores:

-Microsoft Cloud App Security- Microsoft Cloud App Security
Per visualizzare le informazioni da Microsoft Cloud App Security, configurare l' integrazione di Azure Information Protection.To display information from Microsoft Cloud App Security, configure Azure Information Protection integration.
Per informazioni sulla creazione di report da archivi dati locali:For reporting information from on-premises data stores:

-Azure Information Protection scanner- Azure Information Protection scanner
Per le istruzioni di installazione per lo scanner, vedere Distribuzione dello scanner di Azure Information Protection per classificare e proteggere automaticamente i file.For installation instructions for the scanner, see Deploying the Azure Information Protection scanner to automatically classify and protect files.
Per informazioni sulla creazione di report da computer Windows 10:For reporting information from Windows 10 computers:

-Compilazione minima di 1809 con Microsoft Defender Advanced Threat Protection (Microsoft Defender ATP)- Minimum build of 1809 with Microsoft Defender Advanced Threat Protection (Microsoft Defender ATP)
È necessario abilitare la funzionalità di integrazione Azure Information Protection da Microsoft Defender Security Center.You must enable the Azure Information Protection integration feature from Microsoft Defender Security Center. Per altre informazioni, vedere Panoramica di Information Protection in Windows.For more information, see Information protection in Windows overview.

Autorizzazioni necessarie per la funzionalità di analisi di Azure Information ProtectionPermissions required for Azure Information Protection analytics

Specificatamente per la funzionalità di analisi di Azure Information Protection, dopo aver configurato l'area di lavoro di Azure Log Analytics, è possibile usare il ruolo di amministratore di Azure AD Ruolo con autorizzazioni di lettura per la sicurezza come alternativa ad altri ruoli di Azure AD che supportano la gestione di Azure Information Protection nel portale di Azure.Specific to Azure Information Protection analytics, after you have configured your Azure Log Analytics workspace, you can use the Azure AD administrator role of Security Reader as an alternative to the other Azure AD roles that support managing Azure Information Protection in the Azure portal. Questo ruolo aggiuntivo è supportato solo se il tenant non è nella piattaforma di etichettatura unificata.This additional role is supported only if your tenant isn't on the unified labeling platform.

Poiché Azure Information Protection Analytics usa il monitoraggio di Azure, il controllo degli accessi in base al ruolo (RBAC) per Azure controlla anche l'accesso all'area di lavoro.Because Azure Information Protection analytics uses Azure Monitoring, role-based access control (RBAC) for Azure also controls access to your workspace. È quindi necessario un ruolo di Azure, nonché un ruolo di amministratore di Azure AD per gestire l'analisi di Azure Information Protection.You therefore need an Azure role as well as an Azure AD administrator role to manage Azure Information Protection analytics. Se non si ha familiarità con i ruoli di Azure, può risultare utile leggere Differenze tra i ruoli di controllo dell'accesso in base al ruolo di Azure e i ruoli di amministratore di Azure AD.If you're new to Azure roles, you might find it useful to read Differences between Azure RBAC roles and Azure AD administrator roles.

Dettagli:Details:

  1. Uno dei seguenti ruoli di amministratore Azure ad per accedere al riquadro analisi Azure Information Protection:One of the following Azure AD administrator roles to access the Azure Information Protection analytics pane:

    • Per creare l'area di lavoro di Log Analytics o per creare query personalizzate:To create your Log Analytics workspace or to create custom queries:

      • Amministratore Azure Information ProtectionAzure Information Protection administrator
      • Amministratore della sicurezzaSecurity administrator
      • Amministratore di conformitàCompliance administrator
      • Amministratore dati di conformitàCompliance data administrator
      • Amministratore globaleGlobal administrator
    • Dopo aver creato l'area di lavoro, è possibile usare i ruoli seguenti con un minor numero di autorizzazioni per visualizzare i dati raccolti:After the workspace has been created, you can then use the following roles with fewer permissions to view the data collected:

      • Ruolo con autorizzazioni di lettura per la sicurezzaSecurity reader
      • Lettore globaleGlobal reader
  2. È anche necessario uno dei ruoli di Azure Log Analytics o dei ruoli di Azure standard seguenti per accedere all'area di lavoro di Azure Log Analytics:In addition, you need one of the following Azure Log Analytics roles or standard Azure roles to access your Azure Log Analytics workspace:

    • Per creare l'area di lavoro o per creare query personalizzate, uno dei ruoli seguenti:To create the workspace or to create custom queries, one of the following:

      • Collaboratore di Log AnalyticsLog Analytics Contributor
      • CollaboratoreContributor
      • ProprietarioOwner
    • Dopo aver creato l'area di lavoro, è possibile usare uno dei ruoli seguenti con meno autorizzazioni per visualizzare i dati raccolti:After the workspace has been created, you can then use one of the following roles with fewer permissions to view the data collected:

      • Lettore di Log AnalyticsLog Analytics Reader
      • LettoreReader

Ruoli minimi per visualizzare i reportMinimum roles to view the reports

Dopo aver configurato l'area di lavoro per l'analisi di Azure Information Protection, i ruoli minimi necessari per visualizzare i report di analisi di Azure Information Protection sono i due seguenti:After you have configured your workspace for Azure Information Protection analytics, the minimum roles needed to view the Azure Information Protection analytics reports are both of the following:

  • Ruolo di amministratore di Azure AD: Reader di sicurezzaAzure AD administrator role: Security reader
  • Ruolo di Azure: Reader log AnalyticsAzure role: Log Analytics Reader

Tuttavia, un'assegnazione di ruolo tipica per molte organizzazioni è il ruolo con autorizzazioni di lettura per la sicurezza di Azure AD e il ruolo Lettore di Azure.However, a typical role assignment for many organizations is the Azure AD role of Security reader and the Azure role of Reader.

Requisiti di archiviazione e conservazione dei datiStorage requirements and data retention

La quantità di dati raccolti e archiviati nell'area di lavoro di Azure Information Protection varierà in modo significativo per ogni tenant, a seconda di fattori quali il numero di Azure Information Protection client e altri endpoint supportati, indipendentemente dal fatto che si tratti di raccolta dei dati di individuazione degli endpoint, sono stati distribuiti scanner, il numero di documenti protetti a cui si accede e così via.The amount of data collected and stored in your Azure Information Protection workspace will vary significantly for each tenant, depending on factors such as how many Azure Information Protection clients and other supported endpoints you have, whether you're collecting endpoint discovery data, you've deployed scanners, the number of protected documents that are accessed, and so on.

Tuttavia, come punto di partenza, le stime seguenti potrebbero risultare utili:However, as a starting point, you might find the following estimates useful:

  • Per i dati di controllo generati solo da client Azure Information Protection: 2 GB per 10.000 utenti attivi al mese.For audit data generated by Azure Information Protection clients only: 2 GB per 10,000 active users per month.

  • Per i dati di controllo generati da client Azure Information Protection, scanner e Microsoft Defender ATP: 20 GB per 10.000 utenti attivi al mese.For audit data generated by Azure Information Protection clients, scanners, and Microsoft Defender ATP: 20 GB per 10,000 active users per month.

Se si usa l'etichettatura obbligatoria o si è configurata un'etichetta predefinita per la maggior parte degli utenti, è probabile che le tariffe siano significativamente più elevate.If you use mandatory labeling or you've configured a default label for most users, your rates are likely to be significantly higher.

I log di monitoraggio di Azure hanno una funzionalità di utilizzo e costi stimati che consentono di stimare e controllare la quantità di dati archiviati ed è inoltre possibile controllare il periodo di conservazione dei dati per l'area di lavoro log Analytics.Azure Monitor Logs has a Usage and estimated costs feature to help you estimate and review the amount of data stored, and you can also control the data retention period for your Log Analytics workspace. Per altre informazioni, vedere gestire l'utilizzo e i costi con i log di monitoraggio di Azure.For more information, see Manage usage and costs with Azure Monitor Logs.

Configurare un'area di lavoro di Log Analytics per i reportConfigure a Log Analytics workspace for the reports

  1. Se non già stato fatto, aprire una nuova finestra del browser e accedere al portale di Azure con un account che dispone delle autorizzazioni necessarie per le analisi di Azure Information Protection.If you haven't already done so, open a new browser window and sign in to the Azure portal with an account that has the permissions required for Azure Information Protection analytics. Passare quindi al riquadro Azure Information Protection.Then navigate to the Azure Information Protection pane.

    Ad esempio, nella casella di ricerca per risorse, servizi e documenti: iniziare a digitare informazioni e selezionare Azure Information Protection.For example, in the search box for resources, services, and docs: Start typing Information and select Azure Information Protection.

  2. Individuare le opzioni del menu Gestisci e selezionare Configura le analisi (anteprima) .Locate the Manage menu options, and select Configure analytics (Preview).

  3. Nel riquadro Azure Information Protection log Analytics viene visualizzato un elenco di tutte le aree di lavoro log Analytics di proprietà del tenant.On the Azure Information Protection log analytics pane, you see a list of any Log Analytics workspaces that are owned by your tenant. Effettuare una delle operazioni seguenti:Do one of the following:

    • Per creare una nuova area di lavoro Log Analytics: selezionare Crea nuova area di lavoroe nel riquadro area di lavoro di log Analytics fornire le informazioni richieste.To create a new Log Analytics workspace: Select Create new workspace, and on the Log analytics workspace pane, supply the requested information.

    • Per usare un'area di lavoro di Log Analytics esistente, selezionare l'area di lavoro dall'elenco.To use an existing Log Analytics workspace: Select the workspace from the list.

    Per assistenza nella creazione dell'area di lavoro di Log Analytics, vedere Creare un'area di lavoro di Log Analytics nel portale di Azure.If you need help with creating the Log Analytics workspace, see Create a Log Analytics workspace in the Azure portal.

  4. Se si dispone di Azure Information Protection client (versione classica), selezionare la casella di controllo Abilita analisi più approfondita nei dati sensibili se si desidera archiviare i dati effettivi identificati come tipo di informazioni riservate.If you have Azure Information Protection clients (classic), select the checkbox Enable deeper analytics into your sensitive data if you want to store the actual data that's identified as being a sensitive information type. Per ulteriori informazioni su questa impostazione, vedere la sezione corrispondenze di contenuto per l'analisi più approfondita in questa pagina.For more information about this setting, see the Content matches for deeper analysis section on this page.

  5. Selezionare OK.Select OK.

A questo punto si è pronti per visualizzare i report.You're now ready to view the reports.

Come visualizzare i reportHow to view the reports

Dal riquadro Azure Information Protection individuare le opzioni del menu Dashboard e selezionare una delle opzioni seguenti:From the Azure Information Protection pane, locate the Dashboards menu options, and select one of the following options:

  • Report di utilizzo (anteprima) : usare questo report per vedere come vengono usate le etichette.Usage report (Preview): Use this report to see how your labels are being used.

  • Log attività (anteprima) : usare questo report per visualizzare le azioni di etichettatura dagli utenti e per i dispositivi e i percorsi di file.Activity logs (Preview): Use this report to see labeling actions from users, and on devices and file paths. Per i documenti protetti, inoltre, è possibile visualizzare i tentativi di accesso (esito positivo o negativo) per gli utenti all'interno e all'esterno dell'organizzazione, anche se non hanno installato il client di Azure Information ProtectionIn addition, for protected documents, you can see access attempts (successful or denied) for users both inside and outside your organization, even if they don't have the Azure Information Protection client installed

    Questo report contiene un'opzione Colonne che consente di visualizzare più informazioni sulle attività rispetto alla visualizzazione predefinita.This report has a Columns option that lets you display more activity information than the default display. È anche possibile accedere ad altri dettagli su un file selezionandolo per visualizzare Dettagli attività.You can also see more details about a file by selecting it to display Activity Details.

  • Individuazione dati (anteprima) : usare questo report per visualizzare le informazioni sui file con etichetta trovati dagli scanner e dagli endpoint supportati.Data discovery (Preview): Use this report to see information about labeled files found by scanners and supported endpoints.

    Suggerimento: dalle informazioni raccolte, è possibile che gli utenti accedano a file che contengono informazioni riservate dal percorso di cui non si è a conoscenza o che non sono in corso di analisi:Tip: From the information collected, you might find users accessing files that contain sensitive information from location that you didn't know about or aren't currently scanning:

    • Se le posizioni sono in locale, è consigliabile aggiungerle come ulteriori repository di dati per lo strumento di analisi di Azure Information Protection.If the locations are on-premises, consider adding the locations as additional data repositories for the Azure Information Protection scanner.
    • Se le posizioni sono nel cloud, è consigliabile usare Microsoft Cloud App Security per gestirle.If the locations are in the cloud, consider using Microsoft Cloud App Security to manage them.
  • Raccomandazioni (anteprima) : usare questo report per identificare i file che contengono informazioni riservate e mitigare il rischio seguendo le raccomandazioni.Recommendations (Preview): Use this report to identify files that have sensitive information and mitigate your risk by following the recommendations.

    Quando si seleziona un elemento, l'opzione Visualizza i dati consente di visualizzare le attività di controllo che hanno attivato la raccomandazione.When you select an item, the View data option displays the audit activities that triggered the recommendation.

Come modificare i report e creare query personalizzateHow to modify the reports and create custom queries

Selezionare l'icona della query nel dashboard per aprire un riquadro Ricerca log :Select the query icon in the dashboard to open a Log Search pane:

Icona di Log Analytics per personalizzare i report di Azure Information Protection

I dati registrati per Azure Information Protection vengono archiviati nella tabella seguente: InformationProtectionLogs_CLThe logged data for Azure Information Protection is stored in the following table: InformationProtectionLogs_CL

Per creare query personalizzate, usare i nomi di schema descrittivi implementati come funzioni InformationProtectionEvents.When you create your own queries, use the friendly schema names that have been implemented as InformationProtectionEvents functions. Queste funzioni sono derivate dagli attributi supportati per le query personalizzate (alcuni attributi sono solo per uso interno) e i relativi nomi non cambiano nel tempo, neanche se gli attributi sottostanti cambiano in seguito a miglioramenti o nuove funzionalità.These functions are derived from the attributes that are supported for custom queries (some attributes are for internal use only) and their names will not change over time, even if the underlying attributes change for improvements and new functionality.

Riferimenti sui nomi di schema descrittivi per le funzioni di eventiFriendly schema reference for event functions

Usare la tabella seguente per identificare il nome descrittivo delle funzioni di eventi che è possibile usare per le query personalizzate con le funzionalità di analisi di Azure Information Protection.Use the following table to identify the friendly name of event functions that you can use for custom queries with Azure Information Protection analytics.

Nome della colonnaColumn name DescriptionDescription
OraTime Ora dell'evento: UTC nel formato AAAA-MM-GGThh: MM: SSEvent time: UTC in format YYYY-MM-DDTHH:MM:SS
UtenteUser Utente: Format UPN o dominio\utenteUser: Format UPN or DOMAIN\USER
ItemPathItemPath Percorso dell'elemento completo o oggetto di posta elettronicaFull item path or email subject
ItemNameItemName Nome file o oggetto posta elettronicaFile name or email subject
MetodoMethod Metodo assegnato etichetta: manuale, automatico, consigliato, predefinito o obbligatorioLabel assigned method: Manual, Automatic, Recommended, Default, or Mandatory
AttivitàActivity Attività di controllo: DowngradeLabel, UpgradeLabel, RemoveLabel, NewLabel, Discover, Access, RemoveCustomProtection, ChangeCustomProtection o NewCustomProtectionAudit activity: DowngradeLabel, UpgradeLabel, RemoveLabel, NewLabel, Discover, Access, RemoveCustomProtection, ChangeCustomProtection, or NewCustomProtection
NomeetichettaLabelName Nome etichetta (non localizzato)Label name (not localized)
LabelNameBeforeLabelNameBefore Nome etichetta prima della modifica (non localizzato)Label name before change (not localized)
ProtectionTypeProtectionType Tipo di protezione [JSON]Protection type [JSON]
{{
"Type": ["Template", "Custom", "DoNotForward"],"Type": ["Template", "Custom", "DoNotForward"],
"TemplateID": "GUID""TemplateID": "GUID"
}}
ProtectionBeforeProtectionBefore Tipo di protezione prima della modifica [JSON]Protection type before change [JSON]
MachineNameMachineName FQDN quando disponibile; nome host in caso contrarioFQDN when available; otherwise host name
DeviceRiskDeviceRisk Punteggio di rischio del dispositivo da WDATP quando disponibileDevice risk score from WDATP when available
PiattaformaPlatform Piattaforma del dispositivo (Win, OSX, Android, iOS)Device platform (Win, OSX, Android, iOS)
ApplicationNameApplicationName Nome descrittivo dell'applicazioneApplication friendly name
AIPVersionAIPVersion Versione del client di Azure Information Protection che ha eseguito l'azione di controlloVersion of the Azure Information Protection client that performed the audit action
TenantIdTenantId ID tenant di Azure ADAzure AD tenant ID
AzureApplicationIdAzureApplicationId ID applicazione registrato Azure AD (GUID)Azure AD registered application ID (GUID)
ProcessNameProcessName Processo che ospita MIP SDKProcess that hosts MIP SDK
LabelIdLabelId GUID etichetta o nullLabel GUID or null
IsProtectedIsProtected Se protetto: Sì/NoWhether protected: Yes/No
ProtectionOwnerProtectionOwner Proprietario Rights Management in formato UPNRights Management owner in UPN format
LabelIdBeforeLabelIdBefore GUID etichetta o null prima della modificaLabel GUID or null before change
InformationTypesAbove55InformationTypesAbove55 Matrice JSON di SensitiveInformation trovata nei dati con livello di confidenza 55 o superioreJSON array of SensitiveInformation found in data with confidence level 55 or above
InformationTypesAbove65InformationTypesAbove65 Matrice JSON di SensitiveInformation trovata nei dati con livello di confidenza 65 o superioreJSON array of SensitiveInformation found in data with confidence level 65 or above
InformationTypesAbove75InformationTypesAbove75 Matrice JSON di SensitiveInformation trovata nei dati con livello di confidenza 75 o superioreJSON array of SensitiveInformation found in data with confidence level 75 or above
InformationTypesAbove85InformationTypesAbove85 Matrice JSON di SensitiveInformation trovata nei dati con livello di confidenza 85 o superioreJSON array of SensitiveInformation found in data with confidence level 85 or above
InformationTypesAbove95InformationTypesAbove95 Matrice JSON di SensitiveInformation trovata nei dati con livello di confidenza 95 o superioreJSON array of SensitiveInformation found in data with confidence level 95 or above
DiscoveredInformationTypesDiscoveredInformationTypes Matrice JSON di SensitiveInformation trovata nei dati e il relativo contenuto corrispondente (se abilitato) in cui una matrice vuota indica che non sono stati trovati tipi di informazioni e null indica che non sono disponibili informazioniJSON array of SensitiveInformation found in data and their matched content (if enabled) where an empty array means no information types found, and null means no information available
ProtectedBeforeProtectedBefore Se il contenuto è stato protetto prima della modifica: Sì/NoWhether the content was protected before change: Yes/No
ProtectionOwnerBeforeProtectionOwnerBefore Proprietario Rights Management prima della modificaRights Management owner before change
UserJustificationUserJustification Giustificazione durante il downgrade o la rimozione dell'etichettaJustification when downgrading or removing label
LastModifiedByLastModifiedBy Utente in formato UPN che ha eseguito l'ultima modifica al file.User in UPN format who last modified the file. Disponibile solo per Office e SharePoint OnlineAvailable for Office and SharePoint Online only
lastModifiedDateLastModifiedDate UTC nel formato AAAA-MM-GGThh: MM: SS: disponibile solo per Office & SharePoint OnlineUTC in format YYYY-MM-DDTHH:MM:SS: Available for Office & SharePoint Online only

Esempi di utilizzo di InformationProtectionEventsExamples using InformationProtectionEvents

Gli esempi seguenti mostrano come è possibile usare lo schema descrittivo per creare query personalizzate.Use the following examples to see how you might use the friendly schema to create custom queries.

Esempio 1: restituire tutti gli utenti che hanno inviato i dati di controllo negli ultimi 31 giorniExample 1: Return all users who sent audit data in the last 31 days
InformationProtectionEvents 
| where Time > ago(31d) 
| distinct User 
Esempio 2: restituire il numero di etichette di cui è stato effettuato il downgrade al giorno negli ultimi 31 giorniExample 2: Return the number of labels that were downgraded per day in the last 31 days
InformationProtectionEvents 
| where Time > ago(31d) 
| where Activity == "DowngradeLabel"  
| summarize Label_Downgrades_per_Day = count(Activity) by bin(Time, 1d) 
 
Esempio 3: restituire il numero di etichette di cui è stato effettuato il downgrade da Confidential by User negli ultimi 31 giorniExample 3: Return the number of labels that were downgraded from Confidential by user, in the last 31 days

InformationProtectionEvents 
| where Time > ago(31d) 
| where Activity == "DowngradeLabel"  
| where LabelNameBefore contains "Confidential" and LabelName !contains "Confidential"  
| summarize Label_Downgrades_by_User = count(Activity) by User | sort by Label_Downgrades_by_User desc 

In questo esempio, un'etichetta di cui è stato effettuato il downgrade viene conteggiata solo se il nome dell'etichetta prima dell'azione conteneva il nome Confidential e il nome dell'etichetta dopo l'azione non conteneva il nome Confidential.In this example, a downgraded label is counted only if the label name before the action contained the name Confidential and the label name after the action didn't contain the name of Confidential.

Passaggi successiviNext steps

Una volta esaminate le informazioni nei report, se si utilizza il client di Azure Information Protection, è possibile decidere di apportare modifiche ai criteri di Azure Information Protection.After reviewing the information in the reports, if you are using the Azure Information Protection client, you might decide to make changes to your Azure Information Protection policy. Per istruzioni, vedere Configurazione dei criteri di Azure Information Protection.For instructions, see Configuring the Azure Information Protection policy.

Se è disponibile un abbonamento a Microsoft 365, è anche possibile visualizzare l'utilizzo delle etichette nel Centro sicurezza Microsoft 365 e nel Centro conformità Microsoft 365.If you have a Microsoft 365 subscription, you can also view label usage in the Microsoft 365 compliance center and Microsoft 365 security center. Per altre informazioni, vedere Visualizzare l'utilizzo delle etichette con Analisi delle etichette.For more information, see View label usage with label analytics.