Azure Information Protection の中央レポート機能Central reporting for Azure Information Protection

適用対象: Azure Information ProtectionApplies to: Azure Information Protection

注意

現在のところ、この機能はプレビュー段階で、変更される可能性があります。This feature is currently in preview and subject to change.

Azure Information Protection analytics for central reporting を使用すると、組織のデータを分類して保護するラベルの導入を追跡するのに役立ちます。Use Azure Information Protection analytics for central reporting to help you track the adoption of your labels that classify and protect your organization's data. さらにIn addition:

  • ラベル付けされた保護の対象となるドキュメントと組織全体の電子メールを監視します。Monitor labeled and protected documents and emails across your organization

  • 組織内の機密情報が含まれているドキュメントを識別します。Identify documents that contain sensitive information within your organization

  • ラベル付きのドキュメントと電子メールに対するユーザーのアクセスを監視し、ドキュメントの分類の変更を追跡します。Monitor user access to labeled documents and emails, and track document classification changes.

  • 保護されていないと組織をリスクにさらす可能性がある機密情報が含まれるドキュメントを識別し、次の推奨事項に従ってリスクを軽減します。Identify documents that contain sensitive information that might be putting your organization at risk if they are not protected, and mitigate your risk by following recommendations.

  • Windows コンピューターからの内部ユーザーまたは外部ユーザーが保護されたドキュメントにアクセスするタイミングと、アクセスが許可または拒否されたかどうかを特定します。Identify when protected documents are accessed by internal or external users from Windows computers, and whether access was granted or denied.

表示されるデータは、Azure Information Protection のクライアントとスキャナー、Microsoft Cloud App Security、Microsoft Defender Advanced Threat Protection を使用した Windows 10 コンピューター、および保護の使用状況ログから集計されます。The data that you see is aggregated from your Azure Information Protection clients and scanners, from Microsoft Cloud App Security, from Windows 10 computers using Microsoft Defender Advanced Threat Protection, and from protection usage logs.

たとえば、次のようなことを確認できます。For example, you'll be able to see the following:

  • 期間を選択できる使用状況レポートからは、次のことが確認できます。From the Usage report, where you can select a time period:

    • 適用されているラベルWhich labels are being applied

    • ラベル付けされているドキュメントと電子メールの数How many documents and emails are being labeled

    • 保護されているドキュメントと電子メールの数How many documents and emails are being protected

    • ドキュメントや電子メールにラベル付けしているユーザーの数とデバイスの数How many users and how many devices are labeling documents and emails

    • ラベル付けに使用されているアプリケーションWhich applications are being used for labeling

  • 期間を選択できるアクティビティ ログからは、次のことが確認できます。From the Activity logs, where you can select a time period:

    • 特定のユーザーが実行したラベル付けアクションWhat labeling actions were performed by a specific user

    • 特定のデバイスから実行されたラベル付けアクションWhat labeling actions were performed from a specific device

    • 特定のラベル付きのドキュメントにアクセスしたユーザーWhich users have accessed a specific labeled document

    • 特定のファイル パスに対して実行されたラベル付けアクションWhat labeling actions were performed for a specific file path

    • 特定のアプリケーションで実行されたラベル付けアクション (エクスプローラー、右クリック、PowerShell、スキャナー、Microsoft Cloud App SecurityWhat labeling actions were performed by a specific application, such File Explorer and right-click, PowerShell, the scanner, or Microsoft Cloud App Security

    • ユーザーが正常にアクセスした保護されたドキュメント、またはユーザーが Azure Information Protection クライアントをインストールしていないか組織の外部にある場合でも、ユーザーがアクセスを拒否したドキュメントWhich protected documents were accessed successfully by users or denied access to users, even if those users don't have the Azure Information Protection client installed or are outside your organization

    • 報告されたファイルをドリルダウンして、追加情報のアクティビティの詳細を表示するDrill down into reported files to view Activity Details for additional information

  • データ検出レポートからは、次のことが確認できます。From the Data discovery report:

    • スキャンされたデータリポジトリ、Windows 10 コンピューター、または Azure Information Protection クライアントを実行しているコンピューターにあるファイルWhat files are on your scanned data repositories, Windows 10 computers, or computers running the Azure Information Protection clients

    • ラベル付けされ、保護されているファイルと、ラベルごとのファイルの場所Which files are labeled and protected, and the location of files by labels

    • 既知のカテゴリ (財務データや個人情報など) の機密情報が含まれるファイルと、これらのカテゴリごとのファイルの場所Which files contain sensitive information for known categories, such as financial data and personal information, and the location of files by these categories

  • 推奨事項レポートから次のことが確認できます。From the Recommendations report:

    • 既知の種類の機密情報が含まれていて保護されていないファイルを識別します。Identify unprotected files that contain a known sensitive information type. 推奨事項に従えば、ご利用のラベルのいずれかによって自動ラベル付けまたは推奨ラベル付けを適用するための対応する条件をすぐに構成することができます。A recommendation lets you immediately configure the corresponding condition for one of your labels to apply automatic or recommended labeling.

      次の推奨事項に従うと、次にユーザーがファイルを開いたとき、または Azure Information Protection スキャナーでスキャンしたときに、ファイルを自動的に分類して保護することができます。If you follow the recommendation: The next time the files are opened by a user or scanned by the Azure Information Protection scanner, the files can be automatically classified and protected.

    • 識別された機密情報が含まれているファイルが存在していて、Azure Information Protection によってスキャンされていないデータ リポジトリを特定します。Which data repositories have files with identified sensitive information but are not being scanned by the Azure Information Protection. 推奨事項に従えば、識別されたデータ ストアをご利用のスキャナーのプロファイルのいずれかにすぐに追加できます。A recommendation lets you immediately add the identified data store to one of your scanner's profiles.

      次のスキャナーサイクルで推奨事項に従うと、ファイルを自動的に分類して保護することができます。If you follow the recommendation: On the next scanner cycle, the files can be automatically classified and protected.

レポートでは Azure Monitor を使用して、ご自身の組織が所有している Log Analytics ワークスペースにデータを格納します。The reports use Azure Monitor to store the data in a Log Analytics workspace that your organization owns. クエリ言語に習熟している場合は、クエリを変更して、新しいレポートや Power BI ダッシュボードを作成できます。If you're familiar with the query language, you can modify the queries, and create new reports and Power BI dashboards. クエリ言語の概要については、「 Azure Monitor のログクエリの使用」を参照してください。You might find the following tutorial helpful to understand the query language: Get started with Azure Monitor log queries.

詳細については、次のブログ記事を参照してください。For more information, read the following blog posts:

収集され Microsoft に送信される情報Information collected and sent to Microsoft

これらのレポートを生成するため、エンドポイントでは次の種類の情報が Microsoft に送信されます。To generate these reports, endpoints send the following types of information to Microsoft:

  • ラベル操作。The label action. ラベルの設定、ラベルの変更、保護の追加または削除、自動ラベルと推奨ラベルなど。For example, set a label, change a label, add or remove protection, automatic and recommended labels.

  • ラベル操作の前後のラベル名。The label name before and after the label action.

  • 組織のテナント ID。Your organization's tenant ID.

  • ユーザー ID (電子メール アドレスまたは UPN)。The user ID (email address or UPN).

  • ユーザーのデバイスの名前。The name of the user's device.

  • ドキュメントの場合: ラベル付けされているドキュメントのファイル パスとファイル名。For documents: The file path and file name of documents that are labeled.

  • 電子メールの場合: ラベルが付けられている電子メールの件名と電子メールの送信者。For emails: The email subject and email sender for emails that are labeled.

  • コンテンツ内で検出された機密情報の種類 (定義済みおよびカスタム)。The sensitive information types (predefined and custom) that were detected in content.

  • Azure Information Protection クライアントのバージョン。The Azure Information Protection client version.

  • クライアント オペレーティング システムのバージョン。The client operating system version.

この情報は、ご自身の組織が所有している Azure Log Analytics ワークスペースに格納され、Azure Information Protection とは別に、このワークスペースへのアクセス権を持つユーザーが表示できます。This information is stored in an Azure Log Analytics workspace that your organization owns and can be viewed independently from Azure Information Protection by users who have access rights to this workspace. 詳細については、「Azure Information Protection 分析に必要なアクセス許可」セクションをご覧ください。For details, see the Permissions required for Azure Information Protection analytics section. ワークスペースへのアクセスの管理の詳細については、Azure ドキュメントの Azure アクセス許可を使用した Log Analytics ワークスペースへのアクセスの管理に関するセクションをご覧ください。For information about managing access to your workspace, see the Manage access to Log Analytics Workspace using Azure permissions section from the Azure documentation.

Azure Information Protection クライアント (クラシック) がこのデータを送信できないようにするには、 [監査データを Azure Information Protection analytics に送信する]ポリシー設定[オフ] に設定します。To prevent Azure Information Protection clients (classic) from sending this data, set the policy setting of Send audit data to Azure Information Protection analytics to Off:

  • ほとんどのユーザーがこのデータを送信し、ユーザーのサブセットが監査データを送信できない場合:For most users to send this data and a subset of users cannot send auditing data:

    • ユーザーのサブセットのスコープポリシーで 監査データを Azure Information Protection analytics に送信する。Set Send audit data to Azure Information Protection analytics to Off in a scoped policy for the subset of users. この構成は、運用環境のシナリオに一般的なものです。This configuration is typical for production scenarios.
  • ユーザーのサブセットだけが監査データを送信する場合:For only a subset of users to send auditing data:

    • グローバルポリシーで [監査データを Azure Information Protection analytics に送信する] を [オフ] に、ユーザーのサブセットに対してスコープポリシーを [ オフ] に設定します。Set Send audit data to Azure Information Protection analytics to Off in the global policy, and On in a scoped policy for the subset of users. この構成は、テストのシナリオに一般的なものです。This configuration is typical for testing scenarios.

Azure Information Protection 統合クライアントがこのデータを送信できないようにするには、ラベルポリシーの詳細設定を構成します。To prevent Azure Information Protection unified clients from sending this data, configure a label policy advanced setting.

詳細な分析のためのコンテンツ一致Content matches for deeper analysis

Azure Information Protection を使用すると、機密情報の種類 (定義済みまたはカスタム) として識別された実際のデータを収集して保存することができます。Azure Information Protection lets you collect and store the actual data that's identified as being a sensitive information type (predefined or custom). たとえば、これには検出されたクレジット カード番号だけでなく、社会保障番号、パスポート番号、銀行口座番号も含まれる場合があります。For example, this can include credit card numbers that are found, as well as social security numbers, passport numbers, and bank account numbers. コンテンツの一致は、アクティビティログからエントリを選択すると表示され、アクティビティの詳細を表示します。The content matches are displayed when you select an entry from Activity logs, and view the Activity Details.

既定では Azure Information Protection クライアントはコンテンツの一致を送信しません。By default, Azure Information Protection clients don't send content matches. コンテンツの一致が送信されるようにこの動作を変更するには:To change this behavior so that content matches are sent:

  • クラシッククライアントの場合は、Azure Information Protection analytics の構成の一部としてチェックボックスをオンにします。For the classic client, select a checkbox as part of the configuration for Azure Information Protection analytics. このチェックボックスをオンにすると、機微なデータに対してより深い分析を行うことができます。The checkbox is named Enable deeper analytics into your sensitive data.

    このクライアントを使用しているほとんどのユーザーがコンテンツの一致を送信できないが、一部のユーザーがコンテンツの一致を送信できないようにする場合は、チェックボックスをオンにして、ユーザーのサブセットのスコープポリシーの [詳細なクライアント設定] を構成します。If you want most users who are using this client to send content matches but a subset of users cannot send content matches, select the checkbox and then configure an advanced client setting in a scoped policy for the subset of users.

  • 統一されたラベル付けクライアントの場合は、ラベルポリシーの詳細設定を構成します。For the unified labeling client, configure an advanced setting in a label policy.

必要条件Prerequisites

Azure Information Protection レポートを表示し、独自のレポートを作成するには、次の要件を満たしていることを確認してください。To view the Azure Information Protection reports and create your own, make sure that the following requirements are in place.

要件Requirement 説明を見るMore information
Log Analytics を含む Azure サブスクリプションで、Azure Information Protection と同じテナント用のサブスクリプションAn Azure subscription that includes Log Analytics and that is for the same tenant as Azure Information Protection Azure Monitor の価格」ページをご覧ください。See the Azure Monitor pricing page.

Azure サブスクリプションをお持ちでない場合、または現在 Azure Log Analytics をご使用でない場合、価格ページには無料試用版へのリンクが含まれます。If you don't have an Azure subscription or you don't currently use Azure Log Analytics, the pricing page includes a link for a free trial.
クライアントにラベルを付けるためのレポート情報の場合:For reporting information from labeling clients:

-Azure Information Protection クライアント- Azure Information Protection clients
統一されたラベル付けクライアントと従来のクライアントの両方がサポートされています。Both the unified labeling client and the classic client are supported.

これらのクライアントは、まだインストールされていない場合は、 Microsoft ダウンロードセンターからダウンロードしてインストールできます。If not already installed, you can download and install these clients from the Microsoft Download Center.
クラウドベースのデータストアからの情報を報告する場合:For reporting information from cloud-based data stores:

-Microsoft Cloud App Security- Microsoft Cloud App Security
Microsoft Cloud App Security から情報を表示するにはAzure Information Protection 統合を構成します。To display information from Microsoft Cloud App Security, configure Azure Information Protection integration.
オンプレミスのデータストアからのレポート情報の場合:For reporting information from on-premises data stores:

-Azure Information Protection スキャナー- Azure Information Protection scanner
スキャナーのインストール手順については、「Azure Information Protection スキャナーをデプロイして、ファイルを自動的に分類して保護する」をご覧ください。For installation instructions for the scanner, see Deploying the Azure Information Protection scanner to automatically classify and protect files.
Windows 10 コンピューターからの情報を報告する場合:For reporting information from Windows 10 computers:

-Microsoft Defender Advanced Threat Protection を使用した1809の最小ビルド (Microsoft Defender ATP)- Minimum build of 1809 with Microsoft Defender Advanced Threat Protection (Microsoft Defender ATP)
Azure Information Protection 統合機能を Microsoft Defender Security Center から有効にする必要があります。You must enable the Azure Information Protection integration feature from Microsoft Defender Security Center. 詳細については、「 Windows の情報保護の概要」を参照してください。For more information, see Information protection in Windows overview.

Azure Information Protection 分析に必要なアクセス許可Permissions required for Azure Information Protection analytics

Azure Information Protection 分析に固有の機能として、ご自身の Azure Log Analytics ワークスペースを構成した後、セキュリティ閲覧者の Azure AD 管理者ロールを、Azure portal で Azure Information Protection の管理をサポートしている他の Azure AD ロールの代替として使用することができます。Specific to Azure Information Protection analytics, after you have configured your Azure Log Analytics workspace, you can use the Azure AD administrator role of Security Reader as an alternative to the other Azure AD roles that support managing Azure Information Protection in the Azure portal.

この機能は Azure 監視を使うため、Azure のロールベースのアクセス制御 (RBAC) でワークスペースへのアクセスを制御することもできます。Because this feature uses Azure Monitoring, role-based access control (RBAC) for Azure also controls access to your workspace. したがって、Azure Information Protection 分析を管理するためには、Azure ロールと Azure AD の管理者ロールが必要です。You therefore need an Azure role as well as an Azure AD administrator role to manage Azure Information Protection analytics. Azure ロールを初めてご使用になる場合は、「Azure RBAC ロールと Azure AD 管理者ロールの違い」が役に立つ場合があります。If you're new to Azure roles, you might find it useful to read Differences between Azure RBAC roles and Azure AD administrator roles.

詳細:Details:

  1. Azure Information Protection analytics ウィンドウにアクセスするには、次のいずれかのAzure AD 管理者ロールを使用します。One of the following Azure AD administrator roles to access the Azure Information Protection analytics pane:

    • Log Analytics ワークスペースを作成する、またはカスタム クエリを作成するには:To create your Log Analytics workspace or to create custom queries:

      • Azure Information Protection 管理者Azure Information Protection administrator
      • セキュリティ管理者Security administrator
      • コンプライアンス管理者Compliance administrator
      • コンプライアンスデータ管理者Compliance data administrator
      • グローバル管理者Global administrator
    • ワークスペースが作成された後、次のロールを使用して、収集されるデータを表示するアクセス許可を減らすことができます。After the workspace has been created, you can then use the following roles with fewer permissions to view the data collected:

      • セキュリティ閲覧者Security reader
      • グローバルリーダーGlobal reader

    注意

    テナントが統一されたラベル付けプラットフォームにある場合、Azure Information Protection 管理者ロールまたはグローバル閲覧者ロールは使用できません。You cannot use the Azure Information Protection administrator role or the Global reader role if your tenant is on the unified labeling platform.

  2. さらに、自分の Azure Log Analytics ワークスペースにアクセスするには、次の Azure Log Analytics ロールまたは標準の Azure ロールのいずれかが必要です。In addition, you need one of the following Azure Log Analytics roles or standard Azure roles to access your Azure Log Analytics workspace:

    • ワークスペースを作成する、またはカスタム クエリを作成するには、次のいずれか:To create the workspace or to create custom queries, one of the following:

      • Log Analytics 共同作成者Log Analytics Contributor
      • 共同作成者Contributor
      • 所有者Owner
    • ワークスペースが作成された後は、アクセス許可がさらに少ない次のロールのいずれかを使用して、収集されたデータを表示できます。After the workspace has been created, you can then use one of the following roles with fewer permissions to view the data collected:

      • Log Analytics 閲覧者Log Analytics Reader
      • 閲覧者Reader

レポートを表示するための最低限のロールMinimum roles to view the reports

Azure Information Protection 分析のためにワークスペースを構成した後、Azure Information Protection 分析レポートを表示するために必要な最低限のロールは、次の両方です。After you have configured your workspace for Azure Information Protection analytics, the minimum roles needed to view the Azure Information Protection analytics reports are both of the following:

  • Azure AD 管理者ロール:セキュリティ閲覧Azure AD administrator role: Security reader
  • Azure ロール: Log Analytics リーダーAzure role: Log Analytics Reader

ただし、多くの組織での標準的なロールの割り当ては、Azure AD のセキュリティ閲覧者ロールと、Azure の閲覧者ロールです。However, a typical role assignment for many organizations is the Azure AD role of Security reader and the Azure role of Reader.

ストレージ要件とデータ保有期間Storage requirements and data retention

Azure Information Protection ワークスペースに収集されて格納されるデータの量は、テナントごとに大きく異なります。 Azure Information Protection クライアントとその他のサポートされているエンドポイントの数などの要因によっては、エンドポイント検出データの収集、スキャナーの展開、アクセスされる保護されたドキュメントの数など。The amount of data collected and stored in your Azure Information Protection workspace will vary significantly for each tenant, depending on factors such as how many Azure Information Protection clients and other supported endpoints you have, whether you're collecting endpoint discovery data, you've deployed scanners, the number of protected documents that are accessed, and so on.

ただし、出発点として、次のような見積もりが役に立つ場合があります。However, as a starting point, you might find the following estimates useful:

  • Azure Information Protection クライアントによって生成された監査データの場合のみ: 1 か月あたり1万のアクティブユーザーあたり 2 GB。For audit data generated by Azure Information Protection clients only: 2 GB per 10,000 active users per month.

  • Azure Information Protection クライアント、スキャナー、Microsoft Defender ATP によって生成される監査データの場合: 1 か月あたり1万のアクティブユーザーあたり 20 GB。For audit data generated by Azure Information Protection clients, scanners, and Microsoft Defender ATP: 20 GB per 10,000 active users per month.

必須のラベル付けを使用した場合、またはほとんどのユーザーに既定のラベルを構成した場合、料金は大幅に高くなる可能性があります。If you use mandatory labeling or you've configured a default label for most users, your rates are likely to be significantly higher.

Azure Monitor ログには、格納されているデータの量の見積もりと確認に役立つ使用量と推定コストの機能があります。また、Log Analytics ワークスペースのデータ保有期間を制御することもできます。Azure Monitor Logs has a Usage and estimated costs feature to help you estimate and review the amount of data stored, and you can also control the data retention period for your Log Analytics workspace. 詳細については、「 Azure Monitor ログを使用した使用状況とコストの管理」を参照してください。For more information, see Manage usage and costs with Azure Monitor Logs.

レポート用に Log Analytics ワークスペースを構成するConfigure a Log Analytics workspace for the reports

  1. まだそれを実行していない場合、新しいブラウザー ウィンドウを開き、Azure Information Protection 分析に必要なアクセス許可を備えたアカウントを使って Azure portal にサインインしますIf you haven't already done so, open a new browser window and sign in to the Azure portal with an account that has the permissions required for Azure Information Protection analytics. 次に、 [Azure Information Protection] ウィンドウに移動します。Then navigate to the Azure Information Protection pane.

    たとえば、リソース、サービス、ドキュメントの検索ボックスで、「情報の入力を開始し、 [Azure Information Protection] を選択します。For example, in the search box for resources, services, and docs: Start typing Information and select Azure Information Protection.

  2. [管理] メニュー オプションを探し、 [Configure analytics (Preview)](分析の構成 (プレビュー)) を選択します。Locate the Manage menu options, and select Configure analytics (Preview).

  3. [Log analytics の Azure Information Protection] ウィンドウに、テナントが所有している Log Analytics ワークスペースの一覧が表示されます。On the Azure Information Protection log analytics pane, you see a list of any Log Analytics workspaces that are owned by your tenant. 以下のいずれかを実行します。Do one of the following:

    • 新しい Log Analytics ワークスペースを作成するには、 [新しいワークスペースの作成] を選択し、 [Log Analytics ワークスペース] ウィンドウで、要求された情報を入力します。To create a new Log Analytics workspace: Select Create new workspace, and on the Log analytics workspace pane, supply the requested information.

    • 既存の Log Analytics ワークスペースを使用するには、一覧からワークスペースを選択します。To use an existing Log Analytics workspace: Select the workspace from the list.

    Log Analytics ワークスペースの作成に関する情報については、「Azure portal で Log Analytics ワークスペースを作成する」を参照してください。If you need help with creating the Log Analytics workspace, see Create a Log Analytics workspace in the Azure portal.

  4. Azure Information Protection クライアント (クラシック) を使用している場合は、機密情報の種類として識別された実際のデータを保存するには、[機微なデータに対してより深い分析を有効にする] チェックボックスをオンにします。If you have Azure Information Protection clients (classic), select the checkbox Enable deeper analytics into your sensitive data if you want to store the actual data that's identified as being a sensitive information type. この設定の詳細については、このページの「詳細な分析のためのコンテンツの一致」を参照してください。For more information about this setting, see the Content matches for deeper analysis section on this page.

  5. [OK] を選択します。Select OK.

ワークスペースを構成した後、次のいずれかの管理センターで機密ラベルを公開する場合は、次の手順を実行します。 Office 365 セキュリティ/コンプライアンスセンター、Microsoft 365 Security center、Microsoft 365 コンプライアンスセンター:After the workspace is configured, do the following if you publish sensitivity labels in one of the following management centers: Office 365 Security & Compliance Center, Microsoft 365 security center, Microsoft 365 compliance center:

  • Azure portal で Azure Information Protectionにアクセスして > の統合ラベル管理 > 、発行 を選択します。In the Azure portal go to Azure Information Protection > Manage > Unified labeling, and select Publish.

    ラベル付けセンターでラベルの変更 (作成、変更、削除) を行うたびに、この発行オプションを選択します。Select this Publish option every time you make a labeling change (create, modify, delete) in your labeling center.

これで、レポートを表示する準備ができました。You're now ready to view the reports.

レポートの表示方法How to view the reports

Azure Information Protection ウィンドウで、 [ダッシュボード] メニューオプションを見つけて、次のいずれかのオプションを選択します。From the Azure Information Protection pane, locate the Dashboards menu options, and select one of the following options:

  • 使用状況レポート (プレビュー) : ラベルがどのように使用されているかを確認するには、このレポートを使用します。Usage report (Preview): Use this report to see how your labels are being used.

  • アクティビティ ログ (プレビュー) : ユーザーからの、およびデバイスとファイル パス上でのラベル付けアクションを確認するには、このレポートを使用します。Activity logs (Preview): Use this report to see labeling actions from users, and on devices and file paths. さらに、保護されたドキュメントについては、Azure Information Protection クライアントがインストールされていない場合でも、組織の内部と外部の両方でユーザーのアクセス試行 (成功または拒否) を確認できます。In addition, for protected documents, you can see access attempts (successful or denied) for users both inside and outside your organization, even if they don't have the Azure Information Protection client installed

    このレポートには [列] オプションが備わっています。これを使うと、既定の表示よりも多くのアクティビティ情報を表示できます。This report has a Columns option that lets you display more activity information than the default display. ファイルを選択してアクティビティの詳細を表示することで、ファイルの詳細を確認することもできます。You can also see more details about a file by selecting it to display Activity Details.

  • データの検出 (プレビュー) : スキャナーおよびサポートされているエンドポイントによって検出されたラベル付きファイルに関する情報を表示するには、このレポートを使用します。Data discovery (Preview): Use this report to see information about labeled files found by scanners and supported endpoints.

    ヒント: 収集された情報から、機密情報が含まれているファイルにアクセスするユーザーが、知らない場所や現在スキャンしていない場所からアクセスしている可能性があります。Tip: From the information collected, you might find users accessing files that contain sensitive information from location that you didn't know about or aren't currently scanning:

    • 場所がオンプレミスの場合は、Azure Information Protection スキャナーの追加のデータ リポジトリとして、その場所を追加することを検討します。If the locations are on-premises, consider adding the locations as additional data repositories for the Azure Information Protection scanner.
    • 場所がクラウド上の場合は、Microsoft Cloud App Security を使用してそれらを管理することを検討します。If the locations are in the cloud, consider using Microsoft Cloud App Security to manage them.
  • 推奨事項 (プレビュー) : このレポートを使用して、機密情報が含まれているファイルを特定し、推奨事項に従ってリスクを軽減します。Recommendations (Preview): Use this report to identify files that have sensitive information and mitigate your risk by following the recommendations.

    項目を選択すると、 [データの表示] オプションによって、推奨事項をトリガーした監査アクティビティが表示されます。When you select an item, the View data option displays the audit activities that triggered the recommendation.

レポートを変更し、カスタム クエリを作成する方法How to modify the reports and create custom queries

ダッシュボードのクエリアイコンを選択して、ログ検索ウィンドウを開きます。Select the query icon in the dashboard to open a Log Search pane:

Azure Information Protection のレポートをカスタマイズする [Log Analytics] アイコン

Azure Information Protection のログに記録されたデータは、テーブル InformationProtectionLogs_CL に格納されます。The logged data for Azure Information Protection is stored in the following table: InformationProtectionLogs_CL

独自のクエリを作成する場合は、InformationProtectionEvents 関数として実装されているフレンドリ スキーマ名を使用します。When you create your own queries, use the friendly schema names that have been implemented as InformationProtectionEvents functions. これらの関数は、カスタム クエリ用にサポートされている属性から派生し (一部の属性は内部使用のみ)、基になる属性が機能強化や新機能に対応するために変更された場合でも、それらの名前が変更されることはありません。These functions are derived from the attributes that are supported for custom queries (some attributes are for internal use only) and their names will not change over time, even if the underlying attributes change for improvements and new functionality.

イベント関数のフレンドリ スキーマ リファレンスFriendly schema reference for event functions

次の表を使用して、Azure Information Protection 分析のカスタム クエリで使用できるイベント関数のフレンドリ名を識別してください。Use the following table to identify the friendly name of event functions that you can use for custom queries with Azure Information Protection analytics.

列名Column name [説明]Description
[時間]Time イベント時間: YYYY-MM-YYYY-MM-DDTHH: MM: SS 形式の UTCEvent time: UTC in format YYYY-MM-DDTHH:MM:SS
UserUser User: UPN または DOMAIN\USER の形式を設定します。User: Format UPN or DOMAIN\USER
ItemPathItemPath アイテムの完全なパスまたは電子メールの件名Full item path or email subject
ItemNameItemName ファイル名または電子メールの件名File name or email subject
認証方法Method ラベルの割り当て方法: 手動、自動、推奨、既定、または必須Label assigned method: Manual, Automatic, Recommended, Default, or Mandatory
作業内容Activity 監査アクティビティ: DowngradeLabel、UpgradeLabel、RemoveLabel、NewLabel、Discover、Access、RemoveCustomProtection、ChangeCustomProtection、または NewCustomProtectionAudit activity: DowngradeLabel, UpgradeLabel, RemoveLabel, NewLabel, Discover, Access, RemoveCustomProtection, ChangeCustomProtection, or NewCustomProtection
LabelNameLabelName ラベル名 (ローカライズされていない)Label name (not localized)
LabelNameBeforeLabelNameBefore 変更前のラベル名 (ローカライズされていない)Label name before change (not localized)
ProtectionTypeProtectionType 保護の種類 [JSON]Protection type [JSON]
{{
"Type": ["Template", "Custom", "DoNotForward"],"Type": ["Template", "Custom", "DoNotForward"],
"TemplateID": "GUID""TemplateID": "GUID"
}}
保護の開始ProtectionBefore 変更前の保護の種類 [JSON]Protection type before change [JSON]
MachineNameMachineName FQDN (使用可能な場合)。それ以外のホスト名FQDN when available; otherwise host name
DeviceRiskDeviceRisk WDATP からのデバイスのリスクスコア (利用可能な場合)Device risk score from WDATP when available
プラットフォームPlatform デバイスプラットフォーム (Win、OSX、Android、iOS)Device platform (Win, OSX, Android, iOS)
ApplicationNameApplicationName アプリケーションのフレンドリ名Application friendly name
AIPVersionAIPVersion 監査アクションを実行した Azure Information Protection クライアントのバージョンVersion of the Azure Information Protection client that performed the audit action
TenantIdTenantId Azure AD テナント IDAzure AD tenant ID
AzureApplicationIdAzureApplicationId Azure AD 登録されたアプリケーション ID (GUID)Azure AD registered application ID (GUID)
ProcessNameProcessName MIP SDK をホストするプロセスProcess that hosts MIP SDK
LabelIdLabelId GUID または null のラベルLabel GUID or null
IsProtectedIsProtected 保護されているかどうか: はい/いいえWhether protected: Yes/No
ProtectionOwnerProtectionOwner UPN 形式の Rights Management 所有者Rights Management owner in UPN format
Labの前にLabelIdBefore GUID または null を変更する前に null を付けるLabel GUID or null before change
InformationTypesAbove55InformationTypesAbove55 信頼レベル55以上のデータで見つかったSensitiveInformationの JSON 配列JSON array of SensitiveInformation found in data with confidence level 55 or above
InformationTypesAbove65InformationTypesAbove65 信頼レベル65以上のデータで見つかったSensitiveInformationの JSON 配列JSON array of SensitiveInformation found in data with confidence level 65 or above
InformationTypesAbove75InformationTypesAbove75 信頼レベル75以上のデータで見つかったSensitiveInformationの JSON 配列JSON array of SensitiveInformation found in data with confidence level 75 or above
InformationTypesAbove85InformationTypesAbove85 信頼レベル85以上のデータで見つかったSensitiveInformationの JSON 配列JSON array of SensitiveInformation found in data with confidence level 85 or above
InformationTypesAbove95InformationTypesAbove95 信頼レベル95以上のデータで見つかったSensitiveInformationの JSON 配列JSON array of SensitiveInformation found in data with confidence level 95 or above
DiscoveredInformationTypesDiscoveredInformationTypes SensitiveInformationの JSON 配列が、データと一致するコンテンツ (有効な場合) で見つかりました。空の配列は、情報の種類が見つからないことを意味し、null は使用できる情報がないことを意味します。JSON array of SensitiveInformation found in data and their matched content (if enabled) where an empty array means no information types found, and null means no information available
ProtectedBeforeProtectedBefore 変更前にコンテンツが保護されていたかどうか: はい/いいえWhether the content was protected before change: Yes/No
ProtectionOwnerBeforeProtectionOwnerBefore 変更前に所有者を Rights ManagementRights Management owner before change
UserJustificationUserJustification ラベルをダウングレードまたは削除するときの理由Justification when downgrading or removing label
LastModifiedByLastModifiedBy ファイルを最後に変更したユーザー (UPN 形式)。User in UPN format who last modified the file. Office および SharePoint Online でのみ利用可能Available for Office and SharePoint Online only
LastModifiedDateLastModifiedDate 形式の UTC-YYYY-MM-DDTHH: MM: SS: Office & SharePoint Online のみで使用可能UTC in format YYYY-MM-DDTHH:MM:SS: Available for Office & SharePoint Online only

InformationProtectionEvents の使用例Examples using InformationProtectionEvents

次の例で、カスタム クエリを作成するフレンドリ スキーマを使用する方法を確認してください。Use the following examples to see how you might use the friendly schema to create custom queries.

例 1: 過去31日間に監査データを送信したすべてのユーザーを返すExample 1: Return all users who sent audit data in the last 31 days
InformationProtectionEvents 
| where Time > ago(31d) 
| distinct User 
例 2: 過去31日間の1日あたりにダウングレードされたラベルの数を返すExample 2: Return the number of labels that were downgraded per day in the last 31 days
InformationProtectionEvents 
| where Time > ago(31d) 
| where Activity == "DowngradeLabel"  
| summarize Label_Downgrades_per_Day = count(Activity) by bin(Time, 1d) 
 
例 3: 過去31日以内にユーザーによって機密情報からダウングレードされたラベルの数を返すExample 3: Return the number of labels that were downgraded from Confidential by user, in the last 31 days

InformationProtectionEvents 
| where Time > ago(31d) 
| where Activity == "DowngradeLabel"  
| where LabelNameBefore contains "Confidential" and LabelName !contains "Confidential"  
| summarize Label_Downgrades_by_User = count(Activity) by User | sort by Label_Downgrades_by_User desc 

この例では、アクション前のラベルの名前に Confidential (社外秘) が含まれ、アクション後の名前に Confidential が含まれていない場合のみ、ダウングレードされたラベルとしてカウントされます。In this example, a downgraded label is counted only if the label name before the action contained the name Confidential and the label name after the action didn't contain the name of Confidential.

次のステップNext steps

レポートの情報を確認した後、Azure Information Protection クライアントを使用している場合は、Azure Information Protection ポリシーに変更を加えることができます。After reviewing the information in the reports, if you are using the Azure Information Protection client, you might decide to make changes to your Azure Information Protection policy. 手順については、「Azure Information Protection ポリシーの構成」を参照してください。For instructions, see Configuring the Azure Information Protection policy.

Microsoft 365 のサブスクリプションがある場合は、Microsoft 365 コンプライアンス センターと Microsoft 365 セキュリティ センターでラベルの使用状況を表示することもできます。If you have a Microsoft 365 subscription, you can also view label usage in the Microsoft 365 compliance center and Microsoft 365 security center. 詳しくは、「ラベル分析によるラベル使用状況の表示」をご覧ください。For more information, see View label usage with label analytics.