Azure 信息保护审核日志公共 (预览版)

适用于:Azure信息保护、Office 365

相关:AIP 统一标签客户端和经典客户端

注意

为了提供统一且简化的客户体验,Azure 门户中的Azure信息保护经典客户端和标签管理在2021年 3 月 31 日已弃用。 不再提供对经典客户端的进一步支持,并且将不再发布维护版本。

经典客户端将于 2022 年 3 月 31 日正式停用并停止运行。

所有当前的 Azure 信息保护经典客户端客户必须迁移到统一Microsoft 信息保护平台,并升级到统一的标签客户端。 在迁移博客 中了解更多信息

Azure 信息保护审核日志功能目前以预览版提供。 Azure 预览版补充条款包括适用于以 beta 版、预览版或尚未正式版发布的 Azure 功能的其他法律条款。

Microsoft Azure信息保护会生成以下活动事件的审核日志:

注意

Azure 信息保护仅从桌面应用收集数据,而不是从移动设备收集数据。

有关详细信息,请参阅本文中的 平台 列中的详细信息。

访问审核日志

以下活动生成访问审核日志:

报告者 平台 应用程序 操作/说明
Azure 信息保护:仅经典客户端 Windows Office 在保存已标记或受保护文件的每个会话中首次生成。
日志包含任何信息类型匹配项。
Azure 信息保护:仅经典客户端 Windows Office 每次创建已标记或受保护的文件时生成。
Azure 信息保护:
- 经典客户端
- 统一标签客户端
Windows、SharePoint、OneDrive Office 每次打开已标记或受保护的文件时生成。

注意:对于受保护的文件,只有在打开该文件并且内容已成功解密并公开给用户时,才生成 Access 审核日志。
对于 Outlook 中的受保护电子邮件,每次用户尝试打开加密电子邮件时,也会生成 Access 审核日志,即使由于缺少权限而阻止解密。
Microsoft 信息保护 (MIP) SDK 任何 第三方应用程序 每次支持该文件的第三方应用程序访问已标记或受保护的文件时生成。
RMS 服务 Windows Office 每次访问已标记或受保护的文档时生成。

访问被拒绝的审核日志

针对以下 活动生成拒绝访问审核日志:

报告者 平台 应用程序 操作/说明
RMS 服务 Windows Office 每次用户尝试访问他们无权访问的受保护文档时生成。

更改保护审核日志

为以下 活动生成更改保护审核日志:

报告者 平台 应用程序 操作/说明
Azure 信息保护:
- 经典客户端
- 统一标签客户端
Windows、SharePoint、OneDrive Office 每次手动更改未标记文档的保护时生成。
Microsoft 信息保护 (MIP) SDK 任何 第三方应用程序 每次手动更改未标记文档的保护时生成。
仅在第三方应用程序支持时生成。

发现审核日志

发现 为以下活动生成的审核日志:

报告者 平台 应用程序 操作/说明
Azure 信息保护:
- 经典扫描仪
- 统一标签扫描仪
Windows Office 每次通过 AIP 扫描程序扫描文件时生成。
日志包括以下详细信息:
- 匹配的信息类型
- 标签
Microsoft 信息保护 (MIP) SDK 任何 第三方应用程序 每次由支持该文件的第三方应用程序扫描文件时生成。
日志包括以下详细信息:
- 匹配的信息类型
- 标签
Azure 信息保护统一标签查看器 Windows AIP 统一标签查看器 每次在组织中打开已标记或受保护的文件时生成。

降级标签审核日志

为以下 活动生成降级标签审核日志:

报告者 平台 应用程序 操作/说明
Azure 信息保护:
- 经典扫描仪和客户端
- 统一的标签扫描仪和客户端
Windows、SharePoint、单驱动器 Office 每次使用不太敏感的标签更新文档标签时生成。
Microsoft 信息保护 (MIP) SDK 任何 第三方应用程序 每次使用不太敏感的标签更新文档标签时生成。
仅在第三方应用程序支持时生成。

文件已删除审核日志

注意

文件删除的审核日志仅在 Azure 信息保护扫描程序 版本 2.7.96.0 和更高版本中受支持。

为以下 活动生成文件删除的审核日志:

报告者 平台 应用程序 操作/说明
Azure 信息保护扫描程序,统一标签客户端 Windows Office和支持的文件类型 每次 AIP 扫描程序检测到已删除以前扫描的文件时生成。

新标签审核日志

为以下 活动生成新的标签审核日志:

报告者 平台 应用程序 操作/说明
Azure 信息保护:
- 经典扫描仪和客户端
- 统一的标签扫描仪和客户端
Windows、SharePoint、单驱动器 Office 每次应用新标签时生成。
Microsoft 信息保护 (MIP) SDK 任何 第三方应用程序 每次应用新文档标签时生成。
仅在第三方应用程序支持时生成。

新建保护审核日志

为以下 活动生成新的保护审核日志:

报告者 平台 应用程序 操作/说明
Azure 信息保护:
- 经典客户端
- 统一标签客户端
Windows、SharePoint、单驱动器 Office 每次手动添加保护时生成,没有标签。
Microsoft 信息保护 (MIP) SDK 任何 第三方应用程序 每次手动添加保护时生成,没有标签。
仅在第三方应用程序支持时生成。

删除标签审核日志

为以下 活动生成删除标签审核日志:

报告者 平台 应用程序 操作/说明
Azure 信息保护:
- 经典扫描仪和客户端
- 统一的标签扫描仪和客户端
Windows、SharePoint、单驱动器 Office 每次删除标签时生成。
Microsoft 信息保护 (MIP) SDK 任何 第三方应用程序 每次删除标签时生成。
仅在第三方应用程序支持时生成。

删除保护审核日志

为以下 活动生成删除保护审核日志:

报告者 平台 应用程序 操作/说明
Azure 信息保护:
- 经典客户端
- 统一标签客户端
Windows、SharePoint、单驱动器 Office 每次手动删除保护时生成,没有标签。
Microsoft 信息保护 (MIP) SDK 任何 第三方应用程序 每次手动删除保护时生成,没有标签。
仅在第三方应用程序支持时生成。

升级标签审核日志

为以下 活动生成升级标签审核日志:

报告者 平台 应用程序 操作/说明
Azure 信息保护:
- 经典扫描仪和客户端
- 统一的标签扫描仪和客户端
Windows、SharePoint、单驱动器 Office 每次使用更敏感的标签更新文档标签时生成。
Microsoft 信息保护 (MIP) SDK 任何 第三方应用程序 每次使用更敏感的标签更新文档标签时生成。
仅在第三方应用程序支持时生成。

下一步

AIP 审核日志也会发送到活动Microsoft 365资源管理器,其中可能会显示不同的名称。

有关详细信息,请参阅:

若要防止 Azure 信息保护统一标签客户端发送审核数据,请配置 标签策略高级设置