管理員 指南：Azure 資訊保護 統一卷標用戶端檔案和用戶端使用量記錄

注意

您是否正在尋找 Microsoft Purview 資訊保護，先前稱為 Microsoft 資訊保護 （MIP）？

Azure 資訊保護 載入宏已淘汰，並以 Microsoft 365 應用程式和服務內建的標籤取代。 深入瞭解其他 Azure 資訊保護元件的支持狀態。

新的 Microsoft Purview 資訊保護 用戶端（不含載入宏）目前處於預覽狀態，並排程正式運作。

安裝 Azure 資訊保護 統一標籤客戶端之後，您可能需要知道檔案位於何處，並監視用戶端的使用方式。

Azure 資訊保護 統一卷標用戶端 2.12.62 版和更新版本支援使用量記錄。

開啟使用量記錄

若要開啟統一標籤和掃描器的使用記錄支援，請設定登錄機碼，如下所示：

• 登錄路徑： HKEY_CURRENT_USER\SOFTWARE\Microsoft\MSIP\EnableLoggingAuditEventsToEventLog
• 類型： DWORD
• 值：1

記錄檔位置

用戶端和掃描器記錄檔位於統一標籤上的下列位置：

• \ProgramFiles （x86）\Microsoft Azure 資訊保護 （僅限 64 位操作系統）
• \Program Files\Microsoft Azure 資訊保護 （僅限 32 位操作系統）
• %localappdata%\Microsoft\MSIP

用戶端使用記錄

注意

用戶端使用量記錄目前處於預覽狀態。 Azure 預覽補充條款 包含適用於 Azure 功能 (搶鮮版 (Beta)、預覽版，或尚未發行的版本) 的其他法律條款。

統一標籤用戶端會將用戶活動記錄到本機 Windows 事件記錄應用程式和服務記錄> Azure 資訊保護。

用戶端的記錄事件包含下列資訊：

• 用戶端版本

• 已登入使用者的IP位址

• 檔名和位置

• 動作：

  • 設定標籤：資訊標識碼 101

  • 拿掉標籤：資訊標識碼 104

  • 探索標籤：資訊標識碼 106

  • 套用自定義保護：資訊標識碼 201

  • 拿掉自定義保護：資訊標識碼 202

Outlook 的事件會警告、證明和封鎖訊息需要進階客戶端設定。 如需詳細資訊，請參閱 在 Outlook 中實作快顯訊息，以警告、證明或封鎖傳送的電子郵件。

掃描儀端使用記錄

掃描儀活動會記錄到下列本機 Windows 事件記錄檔：應用程式和服務記錄>Azure 資訊保護 掃描器

掃描器的記錄事件包含下列資訊：

• 掃描器電腦的電腦名稱

• 已登入掃描器使用者的 SID （安全性識別子）

• 動作，下列其中一種訊息類型：

  • 資訊訊息，下列其中一則訊息：

    • 掃描已啟動：資訊標識碼 1001

    • 掃描完成：資訊標識碼 1002

    • 變更事件：資訊標識碼 1003

    • 探索事件：資訊標識碼 1004

    • 已移除檔案：資訊標識碼 1005

    • 符合 DLP 規則：資訊標識碼 1006

    • 許可權報告：資訊標識碼 1007

  • 警告訊息：

    • 警告訊息：信息標識碼 2001

    • 掃描已取消：資訊標識碼 2002

  • 錯誤訊息，下列其中一則訊息：

    • 未知的錯誤：資訊標識碼 3001

    • 無自動套用標籤條件：資訊標識碼 3002

    • 資料庫錯誤：資訊標識碼 3003

    • 資料庫架構錯誤：資訊標識碼 3004

    • 找不到原則：信息標識碼 3005

    • 找不到 DLP 原則：資訊標識碼 3006

    • 找不到內容掃描作業：資訊標識碼 3007

• 事件數據，如需詳細資訊，視動作類型而定

下一步

如需詳細資訊，請參閱

• 自訂

• 支援的檔案類型

• PowerShell 命令