この情報を使用して、暗号化サービスの使用状況ログを使用する方法を理解するのに役立ちます。Azure Rights Management from Microsoft Purview Information Protection。 この暗号化サービスは、ドキュメントや電子メールなどのorganizationのアイテムに対して追加のデータ保護を提供し、すべての要求をログに記録できます。 これらの要求には、次のものが含まれます。
- ユーザーがアイテムを暗号化して保護し、暗号化を解除して読み取りまたは暗号化を削除する場合。
- Azure Rights Management サービスを管理するために管理者によって実行されるアクションと、サービスをサポートするために Microsoft オペレーターによって実行されるアクション。
その後、これらの使用状況ログを使用して、次のビジネス シナリオをサポートできます。
ビジネス分析情報の分析
Azure Rights Management によって生成されたログは、情報を分析してレポートを生成するために、任意のリポジトリ (データベース、オンライン分析処理 (OLAP) システム、マップ削減システムなど) にインポートできます。 たとえば、暗号化されたデータにアクセスしているユーザーを特定できます。 ユーザーがアクセスしている暗号化されたデータと、どのデバイスから、どこからアクセスするかを判断できます。 暗号化されたコンテンツをユーザーが正常に読み取ることができるかどうかを確認できます。 また、暗号化された重要なドキュメントを読んだユーザーを特定することもできます。
不正使用の監視
Azure Rights Management サービスの使用方法に関するログ情報をほぼリアルタイムで利用できるため、会社のサービスの使用を継続的に監視できます。 ログの 99.9% は、サービスに対して開始されたアクションから 15 分以内に使用できます。
たとえば、標準勤務時間外に暗号化されたデータを読み取るユーザーが突然増加した場合にアラートを受け取る必要があります。これは、悪意のあるユーザーが競合他社に販売する情報を収集していることを示している可能性があります。 または、同じユーザーが短い期間内に 2 つの異なる IP アドレスからデータにアクセスすると、ユーザー アカウントが侵害されたことを示す可能性があります。
フォレンジック解析の実行
情報漏えいが発生した場合は、最近特定のドキュメントにアクセスしたユーザーと、最近、疑わしいユーザーがアクセスした情報が尋ねられる可能性があります。 暗号化されたコンテンツを使用するユーザーは、電子メールで移動したり、USB ドライブやその他のストレージ デバイスにコピーした場合でも、Azure Rights Management によって暗号化されたアイテムを開くには、常に Rights Management を使用する必要があるため、Azure Rights Management の使用状況ログを使用する場合は、これらの種類の質問に回答できます。 つまり、Azure Rights Management サービスを使用してデータを保護するときに、これらのログをフォレンジック分析の決定的な情報源として使用できます。
Azure Rights Management サービスの追加のログ オプション:
| [ログ記録] オプション | 説明 |
|---|---|
| ログの管理 | Azure Rights Management サービスの管理タスクをログに記録します。 たとえば、サービスが非アクティブ化されている場合、スーパー ユーザー機能が有効になっている場合、およびユーザーがサービスに管理者アクセス許可を委任されている場合などです。 詳細については、PowerShell コマンドレット Get-AipServiceAdminLog に関するページを参照してください。 |
| ドキュメントの追跡 | ユーザーがMicrosoft Purview Information Protection クライアントで暗号化したドキュメントを追跡および取り消すことができます。 グローバル管理者は、ユーザーの代わりにこれらのドキュメントを追跡することもできます。 詳細については、「 ドキュメント アクセスの追跡と取り消し」を参照してください。 |
Azure Rights Management サービスの使用状況ログの詳細については、次のセクションを参照してください。
Azure Rights Management の使用状況ログにアクセスして使用する方法
Azure Rights Management の使用状況ログは、すべての顧客に対して既定で有効になっています。 ログ ストレージまたはログ機能の追加コストは発生しません。
Azure Rights Management サービスは、テナント用に自動的に作成される Azure ストレージ アカウントに一連の BLOB としてログを書き込みます。 各 BLOB には、W3C 拡張ログ形式の 1 つ以上のログ レコードが含まれています。 BLOB 名は、作成された順序で数値です。 このドキュメントの後半の「 Azure Rights Management の使用状況ログを解釈する方法 」セクションには、ログの内容とその作成に関する詳細情報が含まれています。
Azure Rights Management アクションの後、ストレージ アカウントにログが表示されるまでに時間がかかる場合があります。 ほとんどのログは 15 分以内に表示されます。 使用状況ログは、"date" フィールド名に前の日付の値 (UTC 時刻) が含まれている場合にのみ使用できます。 現在の日付の使用状況ログは使用できません。 ログは、ローカル フォルダー、データベース、map-reduce リポジトリなどのローカル ストレージにダウンロードすることをお勧めします。
使用状況ログをダウンロードするには、Microsoft Purview Information Protection用の AIPService PowerShell モジュールを使用します。 インストール手順については、「 Azure Right Management サービスの AIPService PowerShell モジュールをインストールする」を参照してください。
PowerShell を使用して使用状況ログをダウンロードするには
[管理者として実行] オプションを使用してWindows PowerShellを開始し、Connect-AipService コマンドレットを使用して Azure Rights Management サービスに接続します。
Connect-AipService次のコマンドを実行して、特定の日付のログをダウンロードします。
Get-AipServiceUserLog -Path <___location> -fordate <date>たとえば、E: ドライブに Logs という名前のフォルダーを作成した後、
特定の日付 (2025 年 2 月 1 日など) のログをダウンロードするには、次のコマンドを実行します。
Get-AipServiceUserLog -Path E:\Logs -fordate 2/1/2025日付範囲 (2025 年 2 月 1 日から 2025 年 14 月 14 日など) のログをダウンロードするには、次のコマンドを実行します。
Get-AipServiceUserLog -Path E:\Logs -fromdate 2/1/2025 –todate 2/14/2025
この例のように日のみを指定した場合、時刻は現地時間の 00:00:00 と見なされ、UTC に変換されます。 -fromdate パラメーターまたは -todate パラメーターを使用して時刻を指定すると (たとえば、-fordate "2/1/2025 15:00:00")、その日付と時刻は UTC に変換されます。 Get-AipServiceUserLog コマンドは、その UTC 期間のログを取得します。
ダウンロードする 1 日未満を指定することはできません。
既定では、このコマンドレットは 3 つのスレッドを使用してログをダウンロードします。 十分なネットワーク帯域幅があり、ログのダウンロードに必要な時間を短縮する場合は、1 から 32 までの値をサポートする -NumberOfThreads パラメーターを使用します。 たとえば、次のコマンドを実行すると、コマンドレットは 10 個のスレッドを生成してログをダウンロードします。 Get-AipServiceUserLog -Path E:\Logs -fromdate 2/1/2025 –todate 2/14/2025 -numberofthreads 10
ヒント
ダウンロードしたすべてのログ ファイルを CSV 形式に集計するには、 Microsoft の Log Parser を使用します。これは、さまざまな既知のログ形式間で変換するツールです。 このツールを使用して、データを SYSLOG 形式に変換したり、データベースにインポートしたりすることもできます。 ツールをインストールしたら、 LogParser.exe /? を実行して、このツールを使用するためのヘルプと情報を確認します。
たとえば、次のコマンドを実行して、すべての情報を.logファイル形式にインポートできます。 logparser –i:w3c –o:csv "SELECT * INTO AllLogs.csv FROM *.log"
使用状況ログを解釈する方法
Azure Rights Management の使用状況ログを解釈するには、次の情報を使用します。
ログ シーケンス
Azure Rights Management サービスは、ログを一連の BLOB として書き込みます。
ログ内の各エントリには、UTC タイムスタンプがあります。 サービスは複数のデータ センター間で複数のサーバーで実行されるため、タイムスタンプで並べ替えられた場合でも、ログの順序がずれているように見えることがあります。 ただし、違いは小さく、通常は 1 分以内です。 ほとんどの場合、これはログ分析の問題ではありません。
BLOB 形式
各 BLOB は W3C 拡張ログ形式です。 次の 2 行から始まります。
#Software: RMS
#Version: 1.1
最初の行では、これらは Azure Rights Management の使用状況ログであることを示します。 2 行目は、BLOB の残りの部分がバージョン 1.1 の仕様に従っていることを示します。 これらのログを解析するアプリケーションでは、BLOB の残りの部分を解析する前に、これらの 2 行を確認することをお勧めします。
3 行目は、タブで区切られたフィールド名の一覧を列挙します。
#Fields: 日付時刻行 id request-type user-id result correlation-id content-id owner-email issuer template-id file-name date-published c-info c-ip admin-action acting-as-user
後続の各行はログ レコードです。 フィールドの値は、前の行と同じ順序で、タブで区切られます。 フィールドを解釈するには、次の表を使用します。
| フィールド名 | W3C データ型 | Description | 値の例 |
|---|---|---|---|
| date | Date | 要求が処理された UTC 日付。 ソースは、要求を処理したサーバー上のローカル クロックです。 |
2013-06-25 |
| time | Time | 要求が処理された 24 時間形式の UTC 時刻。 ソースは、要求を処理したサーバー上のローカル クロックです。 |
21:59:28 |
| row-id | テキスト | このログ レコードの一意の GUID。 値が存在しない場合は、correlation-id 値を使用してエントリを識別します。 この値は、ログを集計したり、ログを別の形式にコピーしたりする場合に便利です。 |
1c3fe7a9-d9e0-4654-97b7-14fafa72ea63 |
| request-type | Name | 要求された RMS API の名前。 | AcquireLicense |
| user-id | 文字列 | 要求を行ったユーザー。 値は単一引用符で囲まれています。 ユーザーが管理する Azure Rights Management テナント キーからの呼び出し (BYOK) の値は "で、要求の種類が匿名の場合にも適用されます。 |
‘joe@contoso.com’ |
| result | 文字列 | 要求が成功した場合は "成功" です。 要求が失敗した場合のエラーの種類を単一引用符で囲みます。 |
'Success' |
| correlation-id | テキスト | 特定の要求の対応するクライアント ログとサーバー ログの間で一般的な GUID。 この値は、クライアントの問題のトラブルシューティングに役立ちます。 |
cab52088-8925-4371-be34-4b71a3112356 |
| content-id | テキスト | 暗号化されたコンテンツ (ドキュメントなど) を識別する中かっこで囲まれた GUID。 このフィールドの値は、request-type が AcquireLicense で、他のすべての要求の種類に対して空白である場合のみです。 |
{bb4af47b-cfed-4719-831d-71b98191a4f2} |
| owner-email | 文字列 | ドキュメントの所有者のアドレスをEmailします。 要求の種類が RevokeAccess の場合、このフィールドは空白です。 |
alice@contoso.com |
| 発行者 | 文字列 | ドキュメント発行者のアドレスをEmailします。 要求の種類が RevokeAccess の場合、このフィールドは空白です。 |
alice@contoso.com (または) FederatedEmail.4c1f4d-93bf-00a95fa1e042@contoso.onmicrosoft.com' |
| template-id | 文字列 | ドキュメントの暗号化に使用される権限管理テンプレートの ID。 要求の種類が RevokeAccess の場合、このフィールドは空白です。 |
{6d9371a6-4e2d-4e97-9a38-202233fed26e} |
| file-name | 文字列 | Microsoft Purview Information Protection クライアントを使用して追跡される暗号化されたドキュメントのファイル名。 現在、一部のファイル (Office ドキュメントなど) は、実際のファイル名ではなく GUID として表示されます。 要求の種類が RevokeAccess の場合、このフィールドは空白です。 |
TopSecretDocument.docx |
| date-published | Date | ドキュメントが暗号化された日付。 要求の種類が RevokeAccess の場合、このフィールドは空白です。 |
2015-10-15T21:37:00 |
| c-info | 文字列 | 要求を行っているクライアント プラットフォームに関する情報。 特定の文字列は、アプリケーション (オペレーティング システムやブラウザーなど) によって異なります。 |
'MSIPC;version=1.0.623.47;AppName=WINWORD.EXE;AppVersion=15.0.4753.1000;AppArch=x86;OSName=Windows;OSVersion=6.1.7601;OSArch=amd64' |
| c-ip | アドレス | 要求を行うクライアントの IP アドレス。 | 64.51.202.144 |
| admin-action | ブール | 管理者が管理者モードでドキュメント追跡サイトにアクセスしたかどうか。 | True |
| ユーザーとしての動作 | 文字列 | 管理者がドキュメント追跡サイトにアクセスしているユーザーのメール アドレス。 | 'joe@contoso.com' |
ユーザー ID フィールドの例外
user-id フィールドは通常、要求を行ったユーザーを示しますが、値が実際のユーザーにマップされない例外は 2 つあります。
値 'microsoftrmsonline@<YourTenantID>.rms.<region>.aadrm.com'。
これは、Exchange や SharePoint などの Microsoft 365 サービスが要求を行うことを示します。 文字列の <YourTenantID> はテナントの GUID であり、<region> はテナントが登録されているリージョンです。 たとえば、na は北米を表し、eu はヨーロッパを表し、ap はアジアを表します。
Rights Management コネクタを使用している場合。
このコネクタからの要求は、Rights Management コネクタのインストール時に自動的に生成される Aadrm_S-1-7-0 のサービス プリンシパル名でログに記録されます。
一般的な要求の種類
Azure Rights Management サービスには多くの要求の種類がありますが、次の表に、最も一般的に使用される要求の種類をいくつか示します。
| 要求の種類 | Description |
|---|---|
| AcquireLicense | Windows ベースのコンピューターのクライアントが、暗号化されたコンテンツの使用ライセンスを要求しています。 |
| AcquirePreLicense | クライアントは、ユーザーに代わって、暗号化されたコンテンツの使用ライセンスを要求しています。 |
| AcquireTemplates | テンプレート ID に基づいて権限管理テンプレートを取得するための呼び出しが行われました |
| AcquireTemplateInformation | サービスから権限管理テンプレートの ID を取得するための呼び出しが行われました。 |
| AddTemplate | 権限管理テンプレートを追加するために、管理ポータルから呼び出しが行われます。 |
| AllDocsCsv | [ すべてのドキュメント ] ページから CSV ファイルをダウンロードするために、ドキュメント追跡サイトから呼び出しが行われます。 |
| BECreateEndUserLicenseV1 | エンド ユーザー ライセンスを作成するために、モバイル デバイスから呼び出しが行われます。 |
| BEGetAllTemplatesV1 | すべての権限管理テンプレートを取得するために、モバイル デバイス (バックエンド) から呼び出しが行われます。 |
| 証明する | クライアントは、暗号化されたコンテンツの使用と作成についてユーザーを認定しています。 |
| FECreateEndUserLicenseV1 | AcquireLicense 要求に似ていますが、モバイル デバイスからの要求です。 |
| FECreatePublishingLicenseV1 | モバイル クライアントからの Certify と GetClientLicensorCert の組み合わせと同じです。 |
| FEGetAllTemplates | アクセス権管理テンプレートを取得するために、モバイル デバイス (フロントエンド) から呼び出しが行われます。 |
| FindServiceLocationsForUser | 呼び出しは、Certify または AcquireLicense を呼び出すために使用される URL を照会するために行われます。 |
| GetClientLicensorCert | クライアントは、Windows ベースのコンピューターから発行証明書 (後でコンテンツの暗号化に使用) を要求しています。 |
| GetConfiguration | PowerShell コマンドレットを呼び出して、Azure Rights Management サービスのテナントの構成を取得します。 |
| GetConnectorAuthorizations | Rights Management コネクタから呼び出しが行われ、クラウドから構成が取得されます。 |
| GetRecipients | 1 つのドキュメントのリスト ビューに移動するために、ドキュメント追跡サイトから呼び出しが行われます。 |
| GetTenantFunctionalState | 管理ポータルでは、Azure Rights Management サービスがアクティブ化されているかどうかを確認しています。 |
| KeyVaultDecryptRequest | クライアントが Rights Management で暗号化されたコンテンツの暗号化を解除しようとしています。 Azure Key Vaultのカスタマー マネージド テナント キー (BYOK) にのみ適用されます。 |
| KeyVaultGetKeyInfoRequest | Azure Rights Management テナント キーに対して Azure Key Vaultで使用するように指定されたキーにアクセス可能であり、まだ使用されていないことを確認するための呼び出しが行われます。 |
| KeyVaultSignDigest | Azure Key Vaultのカスタマー マネージド キー (BYOK) が署名目的で使用されると、呼び出しが行われます。 これは通常、AcquireLicence (または FECreateEndUserLicenseV1)、Certify、GetClientLicensorCert (または FECreatePublishingLicenseV1) ごとに 1 回呼び出されます。 |
| KMSPDecrypt | クライアントが Rights Management で暗号化されたコンテンツの暗号化を解除しようとしています。 従来のカスタマー マネージド テナント キー (BYOK) にのみ適用されます。 |
| KMSPSignDigest | 従来のカスタマー マネージド キー (BYOK) が署名目的で使用されると、呼び出しが行われます。 これは通常、AcquireLicence (または FECreateEndUserLicenseV1)、Certify、GetClientLicensorCert (または FECreatePublishingLicenseV1) ごとに 1 回呼び出されます。 |
| ServerCertify | Rights Management 対応クライアント (SharePoint など) からサーバーを認定する呼び出しが行われます。 |
| SetUsageLogFeatureState | 使用状況ログを有効にする呼び出しが行われます。 |
| SetUsageLogStorageAccount | Azure Rights Management サービス ログの場所を指定するための呼び出しが行われます。 |
| UpdateTemplate | 既存の権限管理テンプレートを更新するための呼び出しが管理ポータルから行われます。 |
Azure Rights Management の使用状況ログと Microsoft Purview 監査
ファイルへのアクセスと拒否されたイベントにはファイル名が含まれていないので、Microsoft Purview 統合監査ログではアクセスできません。
PowerShell リファレンス
Azure Rights Management サービスに接続した後、Azure Rights Management の使用状況ログにアクセスするために必要な PowerShell コマンドレットは 、Get-AipServiceUserLog だけです。
Azure Rights Management サービスに PowerShell を使用する方法の詳細については、「 PowerShell を使用した Azure Rights Management サービスの管理」を参照してください。