管理員 指南:Azure 資訊保護 統一卷標用戶端檔案和用戶端使用量記錄
注意
您是否正在尋找 Microsoft Purview 資訊保護,先前稱為 Microsoft 資訊保護 (MIP)?
Azure 資訊保護 載入宏已淘汰,並以 Microsoft 365 應用程式和服務內建的標籤取代。 深入瞭解其他 Azure 資訊保護元件的支持狀態。
新的 Microsoft Purview 資訊保護 用戶端(不含載入宏)目前處於預覽狀態,並排程正式運作。
安裝 Azure 資訊保護 統一標籤客戶端之後,您可能需要知道檔案位於何處,並監視用戶端的使用方式。
Azure 資訊保護 統一卷標用戶端 2.12.62 版和更新版本支援使用量記錄。
開啟使用量記錄
若要開啟統一標籤和掃描器的使用記錄支援,請設定登錄機碼,如下所示:
- 登錄路徑: HKEY_CURRENT_USER\SOFTWARE\Microsoft\MSIP\EnableLoggingAuditEventsToEventLog
- 類型: DWORD
- 值:1
記錄檔位置
用戶端和掃描器記錄檔位於統一標籤上的下列位置:
- \ProgramFiles (x86)\Microsoft Azure 資訊保護 (僅限 64 位操作系統)
- \Program Files\Microsoft Azure 資訊保護 (僅限 32 位操作系統)
- %localappdata%\Microsoft\MSIP
用戶端使用記錄
注意
用戶端使用量記錄目前處於預覽狀態。 Azure 預覽補充條款 包含適用於 Azure 功能 (搶鮮版 (Beta)、預覽版,或尚未發行的版本) 的其他法律條款。
統一標籤用戶端會將用戶活動記錄到本機 Windows 事件記錄應用程式和服務記錄> Azure 資訊保護。
用戶端的記錄事件包含下列資訊:
用戶端版本
已登入使用者的IP位址
檔名和位置
動作:
設定標籤:資訊標識碼 101
拿掉標籤:資訊標識碼 104
探索標籤:資訊標識碼 106
套用自定義保護:資訊標識碼 201
拿掉自定義保護:資訊標識碼 202
Outlook 的事件會警告、證明和封鎖訊息需要進階客戶端設定。 如需詳細資訊,請參閱 在 Outlook 中實作快顯訊息,以警告、證明或封鎖傳送的電子郵件。
掃描儀端使用記錄
掃描儀活動會記錄到下列本機 Windows 事件記錄檔:應用程式和服務記錄>Azure 資訊保護 掃描器
掃描器的記錄事件包含下列資訊:
掃描器電腦的電腦名稱
已登入掃描器使用者的 SID (安全性識別子)
動作,下列其中一種訊息類型:
資訊訊息,下列其中一則訊息:
掃描已啟動:資訊標識碼 1001
掃描完成:資訊標識碼 1002
變更事件:資訊標識碼 1003
探索事件:資訊標識碼 1004
已移除檔案:資訊標識碼 1005
符合 DLP 規則:資訊標識碼 1006
許可權報告:資訊標識碼 1007
警告訊息:
警告訊息:信息標識碼 2001
掃描已取消:資訊標識碼 2002
錯誤訊息,下列其中一則訊息:
未知的錯誤:資訊標識碼 3001
無自動套用標籤條件:資訊標識碼 3002
資料庫錯誤:資訊標識碼 3003
資料庫架構錯誤:資訊標識碼 3004
找不到原則:信息標識碼 3005
找不到 DLP 原則:資訊標識碼 3006
找不到內容掃描作業:資訊標識碼 3007
事件數據,如需詳細資訊,視動作類型而定
下一步
如需詳細資訊,請參閱
意見反應
https://aka.ms/ContentUserFeedback。
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:提交並檢視相關的意見反應