Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Le journal d’audit unifié fournit l’accès aux événements d’audit. Ces événements indiquent les étiquettes que les utilisateurs appliquent, manuellement ou automatiquement, sur toutes les applications ou services intégrés au SDK Microsoft Information Protection (MIP). Les partenaires de développement utilisant le Kit de développement logiciel (SDK) peuvent permettre à cette fonctionnalité d’exposer des informations à partir de leurs applications dans les rapports clients.
Activation de l’audit
Par défaut, le SDK MIP n’envoie pas d’événements d’audit. L’audit doit être activé dans une ou plusieurs stratégies d’étiquette pour que les événements d’audit se déclenchent à partir d’applications compatibles avec le SDK MIP.
Pour envoyer des données d’audit, activez le paramètre avancé suivant.
Ajoutez le paramètre avancé de stratégie suivant à l’aide du Centre de sécurité et de conformité PowerShell :
- Clé : EnableAudit
- Valeur : True
Par exemple, si votre stratégie d’étiquette est nommée « Global » :
Set-LabelPolicy -Identity Global -AdvancedSettings @{EnableAudit="True"}Note
Par défaut, ce paramètre avancé n’est pas présent dans la stratégie et les journaux d’audit ne sont pas envoyés.
Types d’événements
Il existe trois types d’événements qui peuvent être envoyés via le Kit de développement logiciel (SDK) à Microsoft Purview. Événements de pulsation, événements de découverte et événements de modification
Événements de pulsation
Les événements de pulsation sont générés automatiquement pour n’importe quelle application intégrée au Kit de développement logiciel (SDK) File. Les événements Heartbeat apparaissent dans le journal d’audit unifié sous la forme d’événements AipHeartBeat. Les événements de pulsation sont les suivants :
- Id de locataire
- Heure générée
- Nom d’utilisateur principal
- Nom de l’ordinateur sur lequel l’audit a été généré
- Nom du processus
- Platform
- ID d’application : correspond à l’ID d’application Microsoft Entra.
Ces événements sont utiles pour détecter les applications de votre entreprise qui utilisent le Kit de développement logiciel (SDK) Microsoft Information Protection.
Événements de découverte
Les événements de découverte fournissent des informations sur les informations étiquetées lues ou consommées avec le Kit de développement logiciel (SDK) File. Ces événements sont utiles, car ils exposent les appareils, l’emplacement et les utilisateurs qui accèdent aux informations au sein d’une organisation. Les événements de découverte apparaissent dans le journal d’audit unifié en tant qu’événements AipDiscover.
Ces événements sont envoyés à l’audit, en définissant le paramètre sur true lors de la AuditDiscoveryEnabled création d’un nouveau mip::FileHandler. En outre, un identificateur de contenu qui identifie le fichier dans un format lisible par l’homme est fourni. Le chemin d’accès au fichier doit généralement être utilisé pour cet identificateur.
L’exemple suivant crée un(e) mip::FileHandler avec la découverte d’audit activée. La méthode CreateFileHandler() est appelée sur mip::FileEngine, avec AuditDiscoveryEnabled défini sur true. Une fois l’étiquette FileHandler lue, un audit de découverte est généré.
// Create FileHandler with discovery enabled
auto handlerPromise = std::make_shared<std::promise<std::shared_ptr<FileHandler>>>();
auto handlerFuture = handlerPromise->get_future();
fileEngine->CreateFileHandlerAsync(inputFilePath, actualFilePath, true /*AuditDiscoveryEnabled*/, make_shared<FileHandlerObserver>(), createFileHandlerPromise);
auto handler = handlerFuture.get();
// Read label. This generates the discovery audit.
auto label = handler->GetLabel();
Modifier les événements
Les événements de modification fournissent des informations sur le fichier, l’étiquette qui a été appliquée ou modifiée et toutes les justifications fournies par l’utilisateur. Les événements de modification sont générés en appelant NotifyCommitSuccessful() sur le mip::FileHandler, après qu’une modification a été validée avec succès dans un fichier. Les événements de modification peuvent apparaître dans l’audit unifié sous la forme de AipSensitivityLabelAction, AipProtectionAction ou AipFileDeleted.
// Create labeling options, set label
string contentId = "C:\\users\\myuser\\Documents\\MyPlan.docx";
mip::LabelingOptions labelingOptions(mip::AssignmentMethod::PRIVILEGED);
handler->SetLabel(labelId, labelingOptions, mip::ProtectionSettings());
auto commitPromise = std::make_shared<std::promise<bool>>();
auto commitFuture = commitPromise->get_future();
// CommitAsync() returns a bool. If the change was successful, call NotifyCommitSuccessful().
fileHandler->CommitAsync(outputFile, commitPromise);
if(commitFuture.get()) {
// Submit audit event.
handler->NotifyCommitSuccessful(contentId);
}