Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Utilisez ces informations pour vous aider à comprendre comment utiliser la journalisation de l’utilisation pour le service de chiffrement, Azure Rights Management à partir de Protection des données Microsoft Purview. Ce service de chiffrement fournit une protection supplémentaire des données pour les éléments de votre organization, tels que les documents et les e-mails, et il peut journaliser chaque demande. Ces demandes sont les suivantes :
- Lorsque les utilisateurs chiffrent des éléments pour les protéger, et déchiffrent pour les lire ou supprimer le chiffrement.
- Actions effectuées par vos administrateurs pour gérer le service Azure Rights Management et actions effectuées par les opérateurs Microsoft pour prendre en charge le service.
Vous pouvez ensuite utiliser ces journaux d’utilisation pour prendre en charge les scénarios métier suivants :
Analyser pour obtenir des insights métier
Les journaux générés par Azure Rights Management peuvent être importés dans un référentiel de votre choix (par exemple, une base de données, un système OLAP (Online Analytical Processing) ou un système map-reduce) pour analyser les informations et produire des rapports. Par exemple, vous pouvez identifier qui accède à vos données chiffrées. Vous pouvez déterminer les données chiffrées auxquelles les utilisateurs accèdent et à partir de quels appareils et d’où. Vous pouvez déterminer si les utilisateurs peuvent lire correctement le contenu chiffré. Vous pouvez également identifier les personnes qui ont lu un document important qui a été chiffré.
Surveiller les abus
Les informations de journalisation sur la façon dont le service Azure Rights Management est utilisé sont disponibles en quasi-temps réel, afin que vous puissiez surveiller en permanence l’utilisation du service par votre entreprise. 99,9 % des journaux d’activité sont disponibles dans les 15 minutes suivant une action lancée sur le service.
Par exemple, vous souhaiterez peut-être être alerté en cas d’augmentation soudaine du nombre de personnes lisant des données chiffrées en dehors des heures de travail standard, ce qui peut indiquer qu’un utilisateur malveillant collecte des informations pour les vendre à des concurrents. Ou, si le même utilisateur accède apparemment aux données de deux adresses IP différentes dans un laps de temps court, ce qui peut indiquer qu’un compte d’utilisateur a été compromis.
Effectuer une analyse légale
Si vous avez une fuite d’informations, vous êtes susceptible de vous demander qui a récemment accédé à des documents spécifiques et à quelles informations une personne suspecte a récemment accédé. Vous pouvez répondre à ces types de questions lorsque vous utilisez Azure Rights Management journalisation de l’utilisation, car les personnes qui utilisent du contenu chiffré doivent toujours obtenir une licence d’utilisation Rights Management pour ouvrir des éléments chiffrés par Azure Rights Management, même si ces éléments sont déplacés par e-mail ou copiés sur des lecteurs USB ou d’autres périphériques de stockage. Cela signifie que vous pouvez utiliser ces journaux comme source d’informations définitive pour l’analyse forensique lorsque vous protégez vos données à l’aide du service Azure Rights Management.
Options de journalisation supplémentaires pour le service Azure Rights Management :
| Option de journalisation | Description |
|---|---|
| journal Administration | Journalise les tâches d’administration pour le service Azure Rights Management. Par exemple, si le service est désactivé, lorsque la fonctionnalité de super utilisateur est activée et que les utilisateurs ont délégué des autorisations d’administrateur au service. Pour plus d’informations, consultez l’applet de commande PowerShell Get-AipServiceAdminLog. |
| Suivi des documents | Permet aux utilisateurs de suivre et de révoquer leurs documents chiffrés avec le client Protection des données Microsoft Purview. Les administrateurs généraux peuvent également suivre ces documents pour le compte des utilisateurs. Pour plus d’informations, consultez Suivre et révoquer l’accès aux documents. |
Utilisez les sections suivantes pour plus d’informations sur la journalisation de l’utilisation du service Azure Rights Management.
Comment accéder à vos journaux d’utilisation Azure Rights Management et les utiliser
Azure Rights Management journalisation de l’utilisation est activée par défaut pour tous les clients. Il n’y a aucun coût supplémentaire pour le stockage des journaux ou pour la fonctionnalité de journalisation.
Le service Azure Rights Management écrit les journaux sous la forme d’une série d’objets blob dans un compte de stockage Azure qu’il crée automatiquement pour votre locataire. Chaque objet blob contient un ou plusieurs enregistrements de journal, au format de journal étendu W3C. Les noms d’objets blob sont des nombres, dans l’ordre dans lequel ils ont été créés. La section Comment interpréter vos journaux d’utilisation Azure Rights Management plus loin dans ce document contient plus d’informations sur le contenu des journaux et leur création.
L’affichage des journaux dans votre compte de stockage peut prendre un certain temps après une action de Azure Rights Management. La plupart des journaux d’activité apparaissent dans les 15 minutes. Les journaux d’utilisation sont disponibles uniquement lorsque le nom du champ « date » contient la valeur d’une date précédente (en heure UTC). Les journaux d’utilisation de la date actuelle ne sont pas disponibles. Nous vous recommandons de télécharger les journaux dans un stockage local, tel qu’un dossier local, une base de données ou un dépôt map-reduce.
Pour télécharger vos journaux d’utilisation, vous utilisez le module PowerShell AIPService pour Protection des données Microsoft Purview. Pour obtenir des instructions d’installation, consultez Installer le module PowerShell AIPService pour le service Azure Right Management.
Pour télécharger vos journaux d’utilisation à l’aide de PowerShell
Démarrez Windows PowerShell avec l’option Exécuter en tant qu’administrateur et utilisez l’applet de commande Connect-AipService pour vous connecter au service Azure Rights Management :
Connect-AipServiceExécutez la commande suivante pour télécharger les journaux pour une date spécifique :
Get-AipServiceUserLog -Path <location> -fordate <date>Par exemple, après avoir créé un dossier appelé Journaux sur votre lecteur E : :
Pour télécharger les journaux d’activité pour une date spécifique (par exemple, le 1/02/02/2025), exécutez la commande suivante :
Get-AipServiceUserLog -Path E:\Logs -fordate 2/1/2025Pour télécharger les journaux d’activité d’une plage de dates (par exemple du 1/02/02/2025 au 14/02/2025), exécutez la commande suivante :
Get-AipServiceUserLog -Path E:\Logs -fromdate 2/1/2025 –todate 2/14/2025
Lorsque vous spécifiez le jour uniquement, comme dans nos exemples, l’heure est supposée être 00:00:00 dans votre heure locale, puis convertie en UTC. Lorsque vous spécifiez une heure avec vos paramètres -fromdate ou -todate (par exemple, -fordate « 1/02/2025 15:00:00 »), cette date et cette heure sont converties au format UTC. La commande Get-AipServiceUserLog obtient ensuite les journaux de cette période UTC.
Vous ne pouvez pas spécifier moins d’une journée entière à télécharger.
Par défaut, cette applet de commande utilise trois threads pour télécharger les journaux. Si vous disposez d’une bande passante réseau suffisante et que vous souhaitez réduire le temps nécessaire au téléchargement des journaux, utilisez le paramètre -NumberOfThreads, qui prend en charge une valeur comprise entre 1 et 32. Par exemple, si vous exécutez la commande suivante, l’applet de commande génère 10 threads pour télécharger les journaux : Get-AipServiceUserLog -Path E:\Logs -fromdate 2/1/2025 –todate 2/14/2025 -numberofthreads 10
Conseil
Vous pouvez agréger tous vos fichiers journaux téléchargés dans un format CSV à l’aide de l’analyseur de journaux de Microsoft, qui est un outil permettant de convertir entre différents formats de journal connus. Vous pouvez également utiliser cet outil pour convertir des données au format SYSLOG ou les importer dans une base de données. Une fois que vous avez installé l’outil, exécutez pour obtenir LogParser.exe /? de l’aide et des informations pour utiliser cet outil.
Par exemple, vous pouvez exécuter la commande suivante pour importer toutes les informations dans un format de fichier .log : logparser –i:w3c –o:csv "SELECT * INTO AllLogs.csv FROM *.log"
Comment interpréter vos journaux d’utilisation
Utilisez les informations suivantes pour vous aider à interpréter les journaux d’utilisation Azure Rights Management.
Séquence de journaux
Le service Azure Rights Management écrit les journaux sous la forme d’une série d’objets blob.
Chaque entrée du journal a un horodatage UTC. Étant donné que le service s’exécute sur plusieurs serveurs dans plusieurs centres de données, les journaux peuvent parfois sembler hors d’ordre, même lorsqu’ils sont triés par horodatage. Cependant, la différence est faible et généralement dans une minute. Dans la plupart des cas, il ne s’agit pas d’un problème qui poserait problème pour l’analyse des journaux.
Format d’objet blob
Chaque objet blob est au format de journal étendu W3C. Il commence par les deux lignes suivantes :
#Software : RMS
#Version : 1.1
La première ligne identifie qu’il s’agit des journaux d’utilisation de Azure Rights Management. La deuxième ligne identifie que le reste de l’objet blob suit la spécification de la version 1.1. Nous recommandons que toutes les applications qui analysent ces journaux vérifient ces deux lignes avant de poursuivre l’analyse du reste de l’objet blob.
La troisième ligne énumère les noms de champs séparés par des onglets :
#Fields : date et heure row-id request-type user-id result correlation-id content-id owner-email issuer template-id file-id file-name date-published c-info c-ip admin-action acting-as-user
Chacune des lignes suivantes est un enregistrement de journal. Les valeurs des champs sont dans le même ordre que la ligne précédente et sont séparées par des tabulations. Utilisez le tableau suivant pour interpréter les champs.
| Nom du champ | Type de données W3C | Description | Exemple de valeur |
|---|---|---|---|
| date | Date | Date UTC à laquelle la demande a été traitée. La source est l’horloge locale sur le serveur qui a traité la requête. |
2013-06-25 |
| time | Time | Heure UTC au format 24 heures lorsque la demande a été traitée. La source est l’horloge locale sur le serveur qui a traité la requête. |
21:59:28 |
| row-id | Texte | GUID unique pour cet enregistrement de journal. Si aucune valeur n’est présente, utilisez la valeur correlation-id pour identifier l’entrée. Cette valeur est utile lorsque vous agrégez des journaux ou copiez des journaux dans un autre format. |
1c3fe7a9-d9e0-4654-97b7-14fafa72ea63 |
| request-type | Nom | Nom de l’API RMS demandée. | AcquireLicense |
| user-id | String | Utilisateur qui a effectué la demande. La valeur est placée entre guillemets simples. Les appels à partir d’une clé de locataire Azure Rights Management qui est gérée par vous (BYOK) ont la valeur « , qui s’applique également lorsque les types de requête sont anonymes. |
‘joe@contoso.com’ |
| result | String | « Réussite » si la demande a été traitée avec succès. Type d’erreur entre guillemets simples si la demande a échoué. |
'Success' |
| correlation-id | Texte | GUID commun entre le journal client correspondant et le journal du serveur pour une requête donnée. Cette valeur peut être utile pour vous aider à résoudre les problèmes du client. |
cab52088-8925-4371-be34-4b71a3112356 |
| content-id | Texte | GUID, entouré d’accolades qui identifient le contenu chiffré (par exemple, un document). Ce champ a une valeur uniquement si request-type est AcquireLicense et est vide pour tous les autres types de requête. |
{bb4af47b-cfed-4719-831d-71b98191a4f2} |
| owner-email | String | Email’adresse du propriétaire du document. Ce champ est vide si le type de demande est RevokeAccess. |
alice@contoso.com |
| émetteur | String | Email adresse de l’émetteur du document. Ce champ est vide si le type de demande est RevokeAccess. |
alice@contoso.com (ou) FederatedEmail.4c1f4d-93bf-00a95fa1e042@contoso.onmicrosoft.com' |
| template-id | String | ID du modèle de gestion des droits utilisé pour chiffrer le document. Ce champ est vide si le type de demande est RevokeAccess. |
{6d9371a6-4e2d-4e97-9a38-202233fed26e} |
| nom_fichier | String | Nom de fichier d’un document chiffré suivi à l’aide du client Protection des données Microsoft Purview. Actuellement, certains fichiers (tels que les documents Office) s’affichent sous forme de GUID plutôt que de nom de fichier réel. Ce champ est vide si le type de demande est RevokeAccess. |
TopSecretDocument.docx |
| date de publication | Date | Date à laquelle le document a été chiffré. Ce champ est vide si le type de demande est RevokeAccess. |
2015-10-15T21:37:00 |
| c-info | String | Informations sur la plateforme cliente qui effectue la demande. La chaîne spécifique varie en fonction de l’application (par exemple, le système d’exploitation ou le navigateur). |
'MSIPC ; version=1.0.623.47 ; AppName=WINWORD.EXE ; AppVersion=15.0.4753.1000 ; AppArch=x86 ; OSName=Windows ; OSVersion=6.1.7601 ; OSArch=amd64' |
| c-ip | Address | Adresse IP du client qui effectue la demande. | 64.51.202.144 |
| admin-action | Bool | Indique si un administrateur a accédé au site de suivi des documents en mode Administrateur. | Vrai |
| agissant en tant qu’utilisateur | String | Adresse e-mail de l’utilisateur pour lequel un administrateur accède au site de suivi des documents. | 'joe@contoso.com' |
Exceptions pour le champ user-id
Bien que le champ user-id indique généralement l’utilisateur qui a effectué la demande, il existe deux exceptions où la valeur ne correspond pas à un utilisateur réel :
Valeur 'microsoftrmsonline@<YourTenantID.rms>.<region.aadrm.com>'.
Cela indique qu’un service Microsoft 365, tel qu’Exchange ou SharePoint, effectue la demande. Dans la chaîne, <YourTenantID> est le GUID de votre locataire et <la région> est la région où votre locataire est inscrit. Par exemple, na représente Amérique du Nord, eu représente l’Europe et ap représente l’Asie.
Si vous utilisez le connecteur Rights Management.
Les demandes de ce connecteur sont consignées avec le nom de principal de service Aadrm_S-1-7-0, qui est généré automatiquement lorsque vous installez le connecteur Rights Management.
Types de requêtes classiques
Il existe de nombreux types de requêtes pour le service Azure Rights Management, mais le tableau suivant identifie certains des types de requête les plus couramment utilisés.
| Type de demande | Description |
|---|---|
| AcquireLicense | Un client à partir d’un ordinateur Windows demande une licence d’utilisation pour du contenu chiffré. |
| AcquirePreLicense | Un client, au nom de l’utilisateur, demande une licence d’utilisation pour le contenu chiffré. |
| AcquireTemplates | Un appel a été effectué pour acquérir des modèles de gestion des droits basés sur des ID de modèle |
| AcquireTemplateInformation | Un appel a été effectué pour obtenir les ID du modèle de gestion des droits à partir du service. |
| AddTemplate | Un appel est effectué à partir d’un portail d’administration pour ajouter un modèle de gestion des droits. |
| AllDocsCsv | Un appel est effectué à partir du site de suivi des documents pour télécharger le fichier CSV à partir de la page Tous les documents . |
| BECreateEndUserLicenseV1 | Un appel est effectué à partir d’un appareil mobile pour créer une licence d’utilisateur final. |
| BEGetAllTemplatesV1 | Un appel est effectué à partir d’un appareil mobile (back-end) pour obtenir tous les modèles de gestion des droits. |
| Certifier | Le client certifie l’utilisateur pour la consommation et la création de contenu chiffré. |
| FECreateEndUserLicenseV1 | Similaire à la requête AcquireLicense, mais à partir d’appareils mobiles. |
| FECreatePublishingLicenseV1 | Identique à Certify et GetClientLicensorCert combinés, à partir de clients mobiles. |
| FEGetAllTemplates | Un appel est effectué à partir d’un appareil mobile (front-end) pour obtenir les modèles de gestion des droits. |
| FindServiceLocationsForUser | Un appel est effectué pour rechercher des URL, qui est utilisé pour appeler Certify ou AcquireLicense. |
| GetClientLicensorCert | Le client demande un certificat de publication (qui sera ensuite utilisé pour chiffrer le contenu) à partir d’un ordinateur Windows. |
| GetConfiguration | Une applet de commande PowerShell est appelée pour obtenir la configuration du locataire pour le service Azure Rights Management. |
| GetConnectorAuthorizations | Un appel est effectué à partir des connecteurs Rights Management pour obtenir leur configuration à partir du cloud. |
| GetRecipients | Un appel est effectué à partir du site de suivi des documents pour accéder à l’affichage liste d’un document unique. |
| GetTenantFunctionalState | Un portail d’administration vérifie si le service Azure Rights Management est activé. |
| KeyVaultDecryptRequest | Le client tente de déchiffrer le contenu chiffré rights management. Applicable uniquement à une clé de locataire gérée par le client (BYOK) dans Azure Key Vault. |
| KeyVaultGetKeyInfoRequest | Un appel est effectué pour vérifier que la clé spécifiée à utiliser dans Azure Key Vault pour la clé de locataire Azure Rights Management est accessible et n’est pas déjà utilisée. |
| KeyVaultSignDigest | Un appel est effectué lorsqu’une clé gérée par le client (BYOK) dans Azure Key Vault est utilisée à des fins de signature. Cela est généralement appelé une fois par AcquireLicence (ou FECreateEndUserLicenseV1), Certify et GetClientLicensorCert (ou FECreatePublishingLicenseV1). |
| KMSPDecrypt | Le client tente de déchiffrer le contenu chiffré rights management. Applicable uniquement à une clé de locataire gérée par le client (BYOK) héritée. |
| KMSPSignDigest | Un appel est effectué lorsqu’une clé gérée par le client (BYOK) héritée est utilisée à des fins de signature. Cela est généralement appelé une fois par AcquireLicence (ou FECreateEndUserLicenseV1), Certify et GetClientLicensorCert (ou FECreatePublishingLicenseV1). |
| ServerCertify | Un appel est effectué à partir d’un client rights management (tel que SharePoint) pour certifier le serveur. |
| SetUsageLogFeatureState | Un appel est effectué pour activer la journalisation de l’utilisation. |
| SetUsageLogStorageAccount | Un appel est effectué pour spécifier l’emplacement des journaux du service Azure Rights Management. |
| UpdateTemplate | Un appel est effectué à partir d’un portail d’administration pour mettre à jour un modèle de gestion des droits existant. |
Azure Rights Management les journaux d’utilisation et l’audit Microsoft Purview
L’accès aux fichiers et les événements refusés n’incluent pas le nom du fichier et ne sont pas accessibles dans le journal d’audit unifié Microsoft Purview.
Informations de référence sur PowerShell
Une fois que vous vous êtes connecté au service Azure Rights Management, la seule applet de commande PowerShell dont vous avez besoin pour accéder à votre journalisation de l’utilisation Azure Rights Management est Get-AipServiceUserLog.
Pour plus d’informations sur l’utilisation de PowerShell pour le service Azure Rights Management, consultez Administration du service Azure Rights Management à l’aide de PowerShell.