适用于 Azure 信息保护的分析和中心报告 (公共预览版)

适用于:Azure信息保护

相关:AIP 统一标签客户端和经典客户端

注意

为了提供统一且简化的客户体验,Azure 门户中的Azure信息保护经典客户端和标签管理在2021年 3 月 31 日已弃用。 不再提供对经典客户端的进一步支持,并且将不再发布维护版本。

经典客户端将于 2022 年 3 月 31 日正式停用并停止运行。

所有当前的 Azure 信息保护经典客户端客户必须迁移到统一Microsoft 信息保护平台,并升级到统一标签客户端。 在迁移博客 中了解更多信息

本文介绍如何使用 Azure 信息保护 (AIP) 分析进行集中报告,这有助于跟踪标签的采用情况,这些标签对组织的数据进行分类和保护。

使用 AIP 分析还可以执行以下步骤:

  • 在整个组织中监视带有标签和受保护文档和电子邮件

  • 标识组织中包含敏感信息的文档

  • 监视用户对标记的文档和电子邮件的访问,并跟踪文档分类更改。

  • 识别包含敏感信息的文档,如果这些信息未受保护,可能会给组织带来风险,并遵循建议来缓解风险。

  • 确定何时受保护文档由内部或外部用户访问,Windows访问是授予还是拒绝。

看到的数据聚合自 Azure 信息保护客户端和扫描程序、Microsoft Defender for Cloud Apps 和保护 使用情况日志

用于中心报告的 Azure 信息保护分析目前以预览版提供。 Azure 预览版补充条款包括适用于以 beta 版、预览版或尚未正式版发布的 Azure 功能的其他法律条款。

AIP 报告数据

例如,用于中心报告的 Azure 信息保护分析显示以下数据:

报表 显示的示例数据
使用情况报表 选择一个时间段以显示以下任一项:

- 正在应用哪些标签

- 标记的文档和电子邮件数

- 要保护的文档和电子邮件数

- 有多少用户和设备正在标记文档和电子邮件

- 哪些应用程序用于标记
活动日志 选择一个时间段以显示以下任一项:

- 扫描程序以前发现的哪些文件从扫描的存储库中删除

- 特定用户执行了哪些标记操作

- 从特定设备执行了哪些标记操作

- 哪些用户访问了特定标记的文档

- 对特定文件路径执行了哪些标记操作

- 特定应用程序执行了哪些标记操作,例如文件资源管理器和右键单击、PowerShell、扫描程序或 Microsoft Defender for Cloud Apps

- 哪些受保护的文档已由用户成功访问或拒绝用户访问,即使这些用户未安装 Azure 信息保护客户端或位于组织外部

- 向下钻取报告文件以查看 活动详细信息 ,了解其他信息
数据发现报告 - 扫描的数据存储库中包含哪些文件,Windows 10或Windows 11运行 Azure 信息保护客户端的计算机

- 按标签标记和保护哪些文件,以及文件的位置

- 哪些文件包含已知类别的敏感信息,例如财务数据和个人信息,以及按这些类别分类的文件位置
推荐报表 - 识别包含已知敏感信息类型的未受保护的文件。 通过建议,可立即配置其中一个标签的相应条件,以应用自动或推荐的标签。
如果遵循建议:下次用户打开文件或通过 Azure 信息保护扫描程序扫描文件时,可以自动对文件
进行分类和保护。

- 哪些数据存储库的文件包含标识的敏感信息,但 Azure 信息保护不会扫描这些文件。 通过建议,可立即将标识的数据存储添加到扫描仪的配置文件之一。
如果你遵循建议:在下一个扫描程序周期,可以自动对文件进行分类和保护。

报表使用 Azure Monitor 将数据存储在组织拥有的 Log Analytics 工作区中。 如果熟悉查询语言,可以修改查询,并创建新的报表和Power BI仪表板。 以下教程可能有助于理解查询语言 :Azure Monitor 日志查询入门

AIP 审核日志最多可能需要 24 小时才能显示在 Log Analytics 工作区中。

有关详细信息,请参阅使用 数据发现、报告和分析所有Microsoft 信息保护。

收集并发送到 Log Analytics 的信息

为了生成这些报告,终结点将以下类型的信息发送到客户的 Log Analytics:

  • 标签操作。 例如,设置标签、更改标签、添加或删除保护、自动标签和推荐标签。

  • 标签操作之前和之后的标签名称。

  • 组织的租户 ID。

  • 用户 ID (电子邮件地址或 UPN) 。

  • 用户设备的名称。

  • 用户设备的 IP 地址。

  • 相关进程名称,例如outlookmsip.app。

  • 执行标签的应用程序的名称,例如Outlook资源管理器

  • 对于文档:已标记的文档的文件路径和文件名。

  • 对于电子邮件:带有标签的电子邮件的电子邮件主题和电子邮件发件人。

  • 敏感信息类型 (在) 中检测到的预定义和自定义类型。

  • Azure 信息保护客户端版本。

  • 客户端操作系统版本。

此信息存储在组织拥有且有权访问此工作区的用户独立于 Azure 信息保护查看的 Azure Log Analytics 工作区中。

有关详细信息,请参阅:

防止 AIP 客户端发送审核数据

统一标签客户端

若要防止 Azure 信息保护统一标签客户端发送审核数据,请配置 标签策略高级设置

经典客户端

若要防止 Azure 信息保护经典客户端发送此数据,请将"将审核数据发送到Azure信息保护分析"的策略设置设置为"关闭":

要求 说明
若要将大多数用户配置为发送数据,请配置无法发送数据的一部分用户 用户子集的范围策略中,将"将审核数据发送到 Azure 信息保护分析"设置为"关闭"。

此配置是生产方案的典型配置。
仅配置发送数据的一部分用户 全局策略中,将"将审核数据发送到Azure 信息保护分析"设置为"关闭",在用户子集的作用域策略中将"打开"。

此配置通常用于测试方案。

内容匹配进行更深入的分析

使用 Azure 信息保护可以收集和存储标识为敏感信息类型的实际数据, (或自定义) 。 例如,这可能包括找到的信用卡号,以及社会安全号码、护照号码和银行帐号。 从"活动日志"中选择条目并查看"活动详细信息"时,将显示内容匹配项

默认情况下,Azure 信息保护客户端不会发送内容匹配项。 若要更改此行为以便发送内容匹配项,请:

客户端 说明
统一标签客户端 标签策略中 配置高级设置。
经典客户端 选择一个复选框作为 Azure 信息 保护分析配置的 一部分。 该复选框名为"对敏感数据启用更深入的分析"。

如果希望使用此客户端的大多数用户发送内容匹配,但一部分用户无法发送内容匹配,请选中该复选框,然后在范围策略中为用户子集配置高级客户端设置。

先决条件

若要查看 Azure 信息保护报告并创建自己的报表,请确保满足以下要求。

要求 详细信息
Azure 订阅 Azure 订阅必须包含与 Azure 信息保护相同的租户上的 Log Analytics。

有关详细信息,请参阅 Azure Monitor 定价 页。

如果没有 Azure 订阅或当前不使用 Azure Log Analytics,则定价页包含免费试用版的链接。
审核日志记录 URL 网络连接 AIP 必须能够访问以下 URL 才能支持 AIP 审核日志:
- https://*.events.data.microsoft.com
- https://*.aria.microsoft.com (Android 设备数据)
Azure 信息保护客户端 用于从客户端报告。

如果尚未安装客户端,可以从 Microsoft 下载中心下载并安装统一标签 客户端

注意:支持统一标签客户端和经典客户端。 若要部署 AIP 经典客户端,请打开支持票证,获取下载访问权限。
Azure 信息保护本地扫描程序 用于从本地数据存储报告。

有关详细信息,请参阅部署 Azure 信息保护扫描程序以自动对文件进行分类和保护
Microsoft Defender for Cloud Apps 用于从基于云的数据存储进行报告。

有关详细信息,请参阅 MCAS 文档中 的 Azure 信息保护集成。

Azure 信息保护分析所需的权限

特定于 Azure 信息保护分析,配置 Azure Log Analytics 工作区后,可以使用安全读取者的 Azure AD 管理员角色替代支持在 Azure 门户中管理 Azure 信息保护的其他 Azure AD 角色。 只有当租户不在统一的标签平台上时,才支持此 附加角色

由于 Azure 信息保护分析使用 Azure 监视,因此 Azure 的基于角色的访问控制 (RBAC) 还控制对工作区的访问。 因此,需要一个 Azure 角色以及一个Azure AD管理员角色来管理 Azure 信息保护分析。 如果对 Azure 角色很了解,阅读Azure RBAC角色与管理员角色之间的差异Azure AD很有用。

有关详细信息,请参阅:

所需的Azure AD管理员角色

必须具有以下管理员角色之Azure AD才能访问 Azure 信息保护分析窗格:

  • 若要创建 Log Analytics 工作区或创建自定义查询,请执行:

    • Azure 信息保护管理员
    • 安全管理员
    • 合规性管理员
    • 符合性数据管理员
    • 全局管理员
  • 创建工作区后,可以使用权限较少的以下角色来查看收集的数据:

    • 安全读取者
    • 全局读者

所需的 Azure Log Analytics 角色

必须具有以下 Azure Log Analytics 角色或标准 Azure 角色之一才能访问 Azure Log Analytics 工作区:

  • 若要创建工作区或创建自定义查询,请执行下列操作之一:

    • Log Analytics 参与者
    • 参与者
    • 所有者
  • 创建工作区后,可以使用权限较少的以下角色之一来查看收集的数据:

    • Log Analytics 读者
    • 读者

查看报表的最低角色

为 Azure 信息保护分析配置工作区后,查看 Azure 信息保护分析报告所需的最低角色包括以下两项:

  • Azure AD管理员角色:安全读取者
  • Azure 角色 :Log Analytics 读者

但是,许多角色分配的典型角色是Azure AD读取者角色和 Azure 读取者角色

存储要求和数据保留

Azure 信息保护工作区中收集和存储的数据量因多种因素而异,例如,有多少 Azure 信息保护客户端和其他支持的终结点、是否收集终结点发现数据、已部署扫描仪、访问的受保护文档数等。

但是,作为一个起点,你可能会发现以下估计值很有用:

  • 仅对于 Azure 信息保护客户端生成的审核数据:每月每 10,000 个活动用户 2 GB。

  • 对于 Azure 信息保护客户端和扫描程序生成的审核数据:每月每 10,000 个活动用户 20 GB。

如果使用强制标签或为大多数用户配置了默认标签,则费率可能会高得多。

Azure Monitor 日志具有 " 使用情况和预估成本"功能,可帮助你估计和查看存储的数据量,还可以控制 Log Analytics 工作区的数据保留期。 有关详细信息,请参阅使用 Azure Monitor 日志管理使用情况和成本

为报表配置 Log Analytics 工作区

  1. 如果尚未这样做,请打开一个新的浏览器窗口,使用具有 Azure 信息保护分析所需的权限的帐户登录到 Azure 门户。 然后导航到 "Azure 信息保护" 窗格。

    例如,在资源、服务和文档搜索框中:开始键入"信息",然后选择"Azure 信息保护"。

  2. 找到"管理"菜单选项,然后选择"配置分析 (预览) "。

  3. "Azure 信息保护 Log Analytics" 窗格中,可以看到租户拥有的任何 Log Analytics 工作区的列表。 执行下列操作之一:

    • 若要创建新的 Log Analytics 工作区:选择" 创建新工作区",在 "Log Analytics 工作区"窗格中,提供请求的信息。

    • 若要使用现有的 Log Analytics 工作区:请从列表中选择工作区。

    如果需要有关创建 Log Analytics 工作区的帮助,请参阅在 Azure 门户中创建 Log Analytics 工作区

  4. 仅 AIP经典客户端:如果要存储标识为敏感信息类型的实际数据,请选中复选框"对敏感数据启用更深入的分析"。

    有关此设置的信息,请参阅本页上 的内容匹配进行 更深入的分析部分。

  5. 选择"确定"。

现在,可以查看报表。

查看 AIP 分析报告

在"Azure 信息保护"窗格中,找到 "仪表板" 菜单选项,然后选择以下选项之一:

报表 说明
使用情况报表 (预览版) 使用此报表查看标签的使用方式。
活动日志 (预览版) 使用此报告查看来自用户以及设备和文件路径的标签操作。 此外,对于受保护的文档, (组织内外的用户) 访问尝试成功或拒绝,即使他们未安装 Azure 信息保护客户端。

此报表具有 "列 "选项,可显示比默认显示更多的活动信息。 还可通过选择文件来显示"活动详细信息"来查看 有关文件的更多详细信息
数据发现 (预览) 使用此报告查看有关扫描程序和支持的终结点找到的已标记文件的信息。

提示:从收集的信息中,您可能会发现用户访问的文件中包含您不知道或当前未扫描的位置中的敏感信息:

- 如果位置位于本地,请考虑将位置添加为 Azure 信息保护扫描程序的其他数据存储库。
- 如果位置位于云中,请考虑使用 Microsoft Defender for Cloud Apps 来管理它们。
推荐 (预览) 使用此报告可以识别具有敏感信息的文件,并遵循建议来缓解风险。

选择某个项时," 查看数据 "选项会显示触发了该建议的审核活动。

修改 AIP 分析报表并创建自定义查询

选择仪表板中的查询图标以打开" 日志搜索" 窗格:

用于自定义 Azure 信息保护报表的 Log Analytics 图标

Azure 信息保护的记录数据存储在下表 中:InformationProtectionLogs_CL

创建自己的查询时,请使用已实现为 InformationProtectionEvents 函数的友好架构名称。 这些函数派生自自定义查询支持的属性 (某些属性仅供内部使用) 并且其名称不会随着时间的推移而更改,即使基础属性对改进和新功能进行了更改。

事件函数的友好架构参考

使用下表确定可用于 Azure 信息保护分析的自定义查询的事件函数的友好名称。

列名称 说明
时间 事件时间:采用 YYYY-MM-DDTHH:MM:SS 格式的 UTC
用户 用户:设置 UPN 或 DOMAIN\USER 的格式
ItemPath 完整项目路径或电子邮件主题
ItemName 文件名或电子邮件主题
方法 标签分配方法:手动、自动、推荐、默认或强制
活动 审核活动:DowngradeLabel、UpgradeLabel、RemoveLabel、NewLabel、Discover、Access、RemoveCustomProtection、ChangeCustomProtection、NewCustomProtection 或 FileRemoved
ResultStatus 操作的结果状态:

仅 AIP 扫描程序 (成功或失败)
ErrorMessage_s 如果 ResultStatus=Failed,则包括错误消息详细信息。 仅由 AIP 扫描程序报告
LabelName 标签名称 (未本地化)
LabelNameBefore 更改标签名称之前 (本地化)
ProtectionType 保护类型 [JSON]
{
"Type": ["Template", "Custom", "DoNotForward"],
  "TemplateID": "GUID"
 }
ProtectionBefore 更改前的保护类型 [JSON]
MachineName FQDN(如果可用);否则为主机名
平台 设备平台 (Win、OSX、Android、iOS)
ApplicationName 应用程序友好名称
AIPVersion 执行审核操作的 Azure 信息保护客户端的版本
TenantId Azure AD租户 ID
AzureApplicationId Azure AD GUID (注册的应用程序 ID)
ProcessName 托管 MIP SDK 的进程
LabelId 标签 GUID 或 null
IsProtected 是否受保护:是/否
ProtectionOwner UPN 格式的 Rights Management 所有者
LabelIdBefore 更改前的标签 GUID 或 null
InformationTypesAbove55 在置信度级别为 55 或更高级别的数据中发现的 SensitiveInformation 的 JSON 数组
InformationTypesAbove65 在置信度级别 65 或更高级别的数据中发现的 SensitiveInformation 的 JSON 数组
InformationTypesAbove75 在置信度级别为 75 或更高级别的数据中发现的 SensitiveInformation 的 JSON 数组
InformationTypesAbove85 在置信度级别 85 或更高级别的数据中发现的 SensitiveInformation 的 JSON 数组
InformationTypesAbove95 在置信度级别为 95 或更高级别的数据中发现的 SensitiveInformation 的 JSON 数组
DiscoveredInformationTypes 在数据及其匹配内容中发现的 SensitiveInformation JSON 数组 (如果已启用) 则空数组表示未找到任何信息类型,null 表示没有可用信息
ProtectedBefore 更改前内容是否受保护:是/否
ProtectionOwnerBefore 更改前权限管理所有者
UserJustification 降级或删除标签时的理由
LastModifiedBy 上次修改文件的用户采用 UPN 格式。 仅适用于 Office SharePoint
LastModifiedDate 格式为 YYYY-MM-DDTHH:MM:SS:仅适用于 Office 和 SharePoint

使用 InformationProtectionEvents 的示例

使用以下示例来了解如何使用友好架构创建自定义查询。

示例 1:返回过去 31 天内发送审核数据的所有用户
InformationProtectionEvents 
| where Time > ago(31d) 
| distinct User 
示例 2:返回过去 31 天内每天降级的标签数
InformationProtectionEvents 
| where Time > ago(31d) 
| where Activity == "DowngradeLabel"  
| summarize Label_Downgrades_per_Day = count(Activity) by bin(Time, 1d) 
 
示例 3:返回过去 31 天内用户从"机密"降级的标签数

InformationProtectionEvents 
| where Time > ago(31d) 
| where Activity == "DowngradeLabel"  
| where LabelNameBefore contains "Confidential" and LabelName !contains "Confidential"  
| summarize Label_Downgrades_by_User = count(Activity) by User | sort by Label_Downgrades_by_User desc 

此示例中,只有当操作之前的标签名称包含"机密"名称和操作后的标签名称不包含"机密"名称时,才计算降级的标签

下一步

查看报告中的信息后,如果使用的是 Azure 信息保护客户端,可以决定更改标签策略。

  • 统一标签客户端:更改标签服务器中的Microsoft 365 合规中心。 有关详细信息,请参阅 Microsoft 365文档

  • 经典客户端:在 Azure 门户中更改策略。 有关详细信息,请参阅配置 Azure 信息保护策略

AIP 审核日志也会发送到活动Microsoft 365资源管理器,其中可能会显示不同的名称。 有关详细信息,请参阅: