Azure 信息保护审核日志参考(公共预览版)
注意
你是否正在寻找 Microsoft Purview 信息保护? Azure 信息保护统一标记客户端当前处于维护模式。 建议为 Office 365 应用程序启用 Microsoft Purview 信息保护的内置标记功能。 了解详细信息。
自 2022 年 3 月 18 日起,我们将停用 AIP 审核日志和分析,完全停用日期为 2022 年 9 月 30 日。 有关详细信息,请参阅已删除和停用的服务。
本文列出了会为其生成 Azure 信息保护审核日志的活动事件。 Azure 信息保护仅从桌面应用收集数据,不从移动设备收集数据。 有关详细信息,请参阅本文中的“平台”列中的详细信息。
Azure 信息保护审核日志功能目前以预览版提供。 Azure 预览版补充条款包含适用于 beta 版、预览版或其他尚未正式发布的 Azure 功能的其他法律条款。
访问审核日志
将为以下活动生成“访问”审核日志:
| 报告者 | 平台 | 应用程序 | 操作/说明 |
|---|---|---|---|
| Azure 信息保护统一标识客户端 | Windows、SharePoint、OneDrive | Office | 每次打开带标签的或受保护的文件时生成。 注意:对于受保护的文件,只有当文件被打开并且内容被成功解密并向用户公开时,才会生成访问审核日志。 对于 Outlook 中的受保护电子邮件,每当用户尝试打开加密的电子邮件时,也会生成访问审核日志,即使由于用户缺少权限而导致解密被阻止。 |
| Microsoft 信息保护 (MIP) SDK | 任意 | 第三方应用程序 | 每次通过支持带标签的或受保护的文件的第三方应用程序访问该文件时生成。 |
| RMS 服务 | Windows | Office | 每次访问带标签的或受保护的文档时生成。 |
“访问被拒绝”审核日志
将为以下活动生成“访问被拒绝”审核日志:
| 报告者 | 平台 | 应用程序 | 操作/说明 |
|---|---|---|---|
| RMS 服务 | Windows | Office | 在用户每次尝试访问其无权访问的受保护文档时生成。 |
“更改保护”审核日志
将为以下活动生成“更改保护”审核日志:
| 报告者 | 平台 | 应用程序 | 操作/说明 |
|---|---|---|---|
| Azure 信息保护统一标识客户端 | Windows、SharePoint、OneDrive | Office | 每次手动更改无标签文档的保护时生成。 |
| Microsoft 信息保护 (MIP) SDK | 任意 | 第三方应用程序 | 每次手动更改无标签文档的保护时生成。 只有在得到第三方应用程序支持的情况下才会生成。 |
“发现”审核日志
将为以下活动生成“发现”审核日志:
| 报告者 | 平台 | 应用程序 | 操作/说明 |
|---|---|---|---|
| Azure 信息保护统一标记扫描程序 | Windows | Office | 在文件每次被 AIP 扫描程序扫描时生成。 该日志包含以下详细信息: - 匹配的信息类型 - 标签 |
| Microsoft 信息保护 (MIP) SDK | 任意 | 第三方应用程序 | 在文件每次被支持该文件的第三方应用程序扫描时生成。 该日志包含以下详细信息: - 匹配的信息类型 - 标签 |
| Azure 信息保护统一标记查看器 | Windows | AIP 统一标记查看器 | 每次在组织中打开带标签的或受保护的文件时生成。 |
“降级标签”审核日志
将为以下活动生成“降级标签”审核日志:
| 报告者 | 平台 | 应用程序 | 操作/说明 |
|---|---|---|---|
| Azure 信息保护统一标记扫描程序和客户端 | Windows、SharePoint、One Drive | Office | 每次使用敏感度更低的标签更新文档标签时生成。 |
| Microsoft 信息保护 (MIP) SDK | 任意 | 第三方应用程序 | 每次使用敏感度更低的标签更新文档标签时生成。 只有在得到第三方应用程序支持的情况下才会生成。 |
“文件被删除”审核日志
注意
只有 Azure 信息保护扫描程序 2.7.96.0 版及更高版本支持“文件被删除”审核日志。
将为以下活动生成“文件被删除”审核日志:
| 报告者 | 平台 | 应用程序 | 操作/说明 |
|---|---|---|---|
| Azure 信息保护扫描程序、统一标记客户端 | Windows | Office 和受支持的文件类型 | 在 AIP 扫描程序每次检测到先前扫描的文件已被删除时生成。 |
“新标签”审核日志
将为以下活动生成“新标签”审核日志:
| 报告者 | 平台 | 应用程序 | 操作/说明 |
|---|---|---|---|
| Azure 信息保护统一标记扫描程序和客户端 | Windows、SharePoint、One Drive | Office | 每次应用新标签时生成。 |
| Microsoft 信息保护 (MIP) SDK | 任意 | 第三方应用程序 | 每次应用新文档标签时生成。 只有在受第三方应用程序支持时生成。 |
“新建保护”审核日志
将为以下活动生成“新建保护”审核日志:
| 报告者 | 平台 | 应用程序 | 操作/说明 |
|---|---|---|---|
| Azure 信息保护统一标识客户端 | Windows、SharePoint、One Drive | Office | 每次手动添加新的无标签的保护时生成。 |
| Microsoft 信息保护 (MIP) SDK | 任意 | 第三方应用程序 | 每次手动添加新的无标签的保护时生成。 只有在受第三方应用程序支持时生成。 |
“删除标签”审核日志
将为以下活动生成“删除标签”审核日志:
| 报告者 | 平台 | 应用程序 | 操作/说明 |
|---|---|---|---|
| Azure 信息保护统一标记扫描程序和客户端 | Windows、SharePoint、One Drive | Office | 每次删除标签时生成。 |
| Microsoft 信息保护 (MIP) SDK | 任意 | 第三方应用程序 | 每次删除标签时生成。 只有在受第三方应用程序支持时生成。 |
“删除保护”审核日志
将为以下活动生成“删除保护”审核日志:
| 报告者 | 平台 | 应用程序 | 操作/说明 |
|---|---|---|---|
| Azure 信息保护统一标识客户端 | Windows、SharePoint、One Drive | Office | 每次手动删除无标签的保护时生成。 |
| Microsoft 信息保护 (MIP) SDK | 任意 | 第三方应用程序 | 每次手动删除无标签的保护时生成。 只有在受第三方应用程序支持时生成。 |
“升级标签”审核日志
将为以下活动生成“升级标签”审核日志:
| 报告者 | 平台 | 应用程序 | 操作/说明 |
|---|---|---|---|
| Azure 信息保护统一标记扫描程序和客户端 | Windows、SharePoint、One Drive | Office | 每次使用敏感度更高的标签更新文档标签时生成。 |
| Microsoft 信息保护 (MIP) SDK | 任意 | 第三方应用程序 | 每次使用敏感度更高的标签更新文档标签时生成。 只有在受第三方应用程序支持时生成。 |
后续步骤
AIP 审核日志还将发送到 Microsoft 365 活动资源管理器中,在其中可能会以不同的名称显示。
有关详细信息,请参阅:
- 活动资源管理器入门
- 活动资源管理器中的标记活动参考,包括在 AIP 和 Microsoft 365 活动资源管理器中显示的名称之间的映射
- Azure 信息保护的中央报告(公共预览版)
若要阻止 Azure 信息保护统一标记客户端发送审核数据,请配置标签策略高级设置。