Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Utilize estas informações para o ajudar a compreender como pode utilizar o registo de utilização para o serviço de encriptação, o Azure Rights Management do Proteção de Informações do Microsoft Purview. Este serviço de encriptação fornece proteção de dados adicional para os itens da sua organização, como documentos e e-mails, e pode registar todos os pedidos. Estes pedidos incluem:
- Quando os utilizadores encriptam itens para os proteger e desencriptar para os ler ou remover a encriptação.
- Ações realizadas pelos administradores para gerir o serviço Azure Rights Management e ações executadas pelos operadores da Microsoft para suportar o serviço.
Em seguida, pode utilizar estes registos de utilização para suportar os seguintes cenários empresariais:
Analisar informações empresariais
Os registos gerados pelo Azure Rights Management podem ser importados para um repositório à sua escolha (como uma base de dados, um sistema de processamento analítico online (OLAP) ou um sistema de redução de mapas) para analisar as informações e produzir relatórios. Por exemplo, pode identificar quem está a aceder aos seus dados encriptados. Pode determinar a que dados encriptados as pessoas estão a aceder e a partir de que dispositivos e a partir de onde. Pode saber se as pessoas conseguem ler conteúdo encriptado com êxito. Também pode identificar as pessoas que leram um documento importante que foi encriptado.
Monitorar abuso
As informações de registo sobre a forma como o serviço Azure Rights Management é utilizado estão disponíveis em tempo quase real, para que possa monitorizar continuamente a utilização do serviço pela sua empresa. 99,9% dos registos estão disponíveis no prazo de 15 minutos após uma ação iniciada ao serviço.
Por exemplo, poderá querer ser alertado se houver um aumento repentino de pessoas que leem dados encriptados fora do horário de trabalho padrão, o que pode indicar que um utilizador malicioso está a recolher informações para vender aos concorrentes. Ou, se o mesmo utilizador aparentemente aceder a dados de dois endereços IP diferentes num curto espaço de tempo, o que pode indicar que uma conta de utilizador foi comprometida.
Executar análise forense
Se tiver uma fuga de informação, é provável que lhe seja perguntado quem acedeu recentemente a documentos específicos e a que informações uma pessoa suspeita acedeu recentemente. Pode responder a este tipo de perguntas quando utiliza o registo de utilização do Azure Rights Management porque as pessoas que utilizam conteúdo encriptado têm sempre de obter uma licença de utilização do Rights Management para abrir itens encriptados pelo Azure Rights Management, mesmo que estes itens sejam movidos por e-mail ou copiados para unidades USB ou outros dispositivos de armazenamento. Isto significa que pode utilizar estes registos como uma origem definitiva de informações para análise forense quando protege os seus dados através do serviço Azure Rights Management.
Opções de registo adicionais para o serviço Azure Rights Management:
| Opção de registo | Descrição |
|---|---|
| Administração registo | Regista tarefas administrativas para o serviço Azure Rights Management. Por exemplo, se o serviço estiver desativado, quando a funcionalidade de superutilizador estiver ativada e quando os utilizadores tiverem permissões de administrador delegadas para o serviço. Para obter mais informações, veja o cmdlet do PowerShell, Get-AipServiceAdminLog. |
| Controlo de documentos | Permite que os utilizadores controlem e revoguem os documentos que encriptaram com o cliente Proteção de Informações do Microsoft Purview. Os administradores globais também podem controlar estes documentos em nome dos utilizadores. Para obter mais informações, veja Controlar e revogar o acesso ao documento. |
Utilize as secções seguintes para obter mais informações sobre o registo de utilização do serviço Azure Rights Management.
Como aceder e utilizar os registos de utilização do Azure Rights Management
O registo de utilização do Azure Rights Management está ativado por predefinição para todos os clientes. Não existem custos adicionais para o armazenamento de registos ou para a funcionalidade de funcionalidade de registo.
O serviço Azure Rights Management escreve registos como uma série de blobs numa conta de armazenamento do Azure que cria automaticamente para o seu inquilino. Cada blob contém um ou mais registos, no formato de registo expandido do W3C. Os nomes dos blobs são números, pela ordem em que foram criados. A secção Como interpretar os registos de utilização do Azure Rights Management mais adiante neste documento contém mais informações sobre os conteúdos de registo e a respetiva criação.
Os registos podem demorar algum tempo a aparecer na sua conta de armazenamento após uma ação do Azure Rights Management. A maioria dos registos aparece dentro de 15 minutos. Os registos de utilização só estão disponíveis quando o nome do campo "date" contém um valor de uma data anterior (na hora UTC). Os registos de utilização da data atual não estão disponíveis. Recomendamos que transfira os registos para o armazenamento local, como uma pasta local, uma base de dados ou um repositório de redução de mapas.
Para transferir os registos de utilização, utilize o módulo AIPService powerShell para Proteção de Informações do Microsoft Purview. Para obter instruções de instalação, veja Instalar o módulo AIPService do PowerShell para o serviço Azure Right Management.
Para transferir os registos de utilização com o PowerShell
Comece Windows PowerShell com a opção Executar como administrador e utilize o cmdlet Connect-AipService para ligar ao serviço Azure Rights Management:
Connect-AipServiceExecute o seguinte comando para transferir os registos para uma data específica:
Get-AipServiceUserLog -Path <___location> -fordate <date>Por exemplo, depois de criar uma pasta denominada Registos na unidade E:
Para transferir registos para uma data específica (como 01/02/2025), execute o seguinte comando:
Get-AipServiceUserLog -Path E:\Logs -fordate 2/1/2025Para transferir registos para um intervalo de datas (como de 01/02/2025 a 14/02/2025), execute o seguinte comando:
Get-AipServiceUserLog -Path E:\Logs -fromdate 2/1/2025 –todate 2/14/2025
Quando especifica apenas o dia, como nos nossos exemplos, a hora é assumida como 00:00:00 na hora local e, em seguida, convertida em UTC. Quando especifica uma hora com os parâmetros -fromdate ou -todate (por exemplo, -fordate "1/2/2025 15:00:00"), essa data e hora são convertidas em UTC. Em seguida, o comando Get-AipServiceUserLog obtém os registos desse período de tempo UTC.
Não pode especificar menos de um dia inteiro para transferir.
Por predefinição, este cmdlet utiliza três threads para transferir os registos. Se tiver largura de banda de rede suficiente e quiser diminuir o tempo necessário para transferir os registos, utilize o parâmetro -NumberOfThreads, que suporta um valor de 1 a 32. Por exemplo, se executar o seguinte comando, o cmdlet gera 10 threads para transferir os registos: Get-AipServiceUserLog -Path E:\Logs -fromdate 2/1/2025 –todate 2/14/2025 -numberofthreads 10
Dica
Pode agregar todos os ficheiros de registo transferidos num formato CSV através do Analisador de Registos da Microsoft, que é uma ferramenta para converter entre vários formatos de registo conhecidos. Também pode utilizar esta ferramenta para converter dados em formato SYSLOG ou importá-los para uma base de dados. Depois de instalar a ferramenta, execute LogParser.exe /? para obter ajuda e informações para utilizar esta ferramenta.
Por exemplo, pode executar o seguinte comando para importar todas as informações para um formato de ficheiro .log: logparser –i:w3c –o:csv "SELECT * INTO AllLogs.csv FROM *.log"
Como interpretar os registos de utilização
Utilize as seguintes informações para o ajudar a interpretar os registos de utilização do Azure Rights Management.
A sequência de registos
O serviço Azure Rights Management escreve os registos como uma série de blobs.
Cada entrada no registo tem um carimbo de data/hora UTC. Uma vez que o serviço é executado em vários servidores em vários datacenters, por vezes os registos podem parecer estar fora de sequência, mesmo quando estão ordenados pelo carimbo de data/hora. No entanto, a diferença é pequena e geralmente dentro de um minuto. Na maioria dos casos, este não é um problema que seria um problema para a análise de registos.
O formato de blob
Cada blob está no formato de registo expandido W3C. Começa com as duas linhas seguintes:
#Software: RMS
#Version: 1.1
A primeira linha identifica que se tratam de registos de utilização do Azure Rights Management. A segunda linha identifica que o resto do blob segue a especificação da versão 1.1. Recomendamos que todas as aplicações que analisam estes registos verifiquem estas duas linhas antes de continuar a analisar o resto do blob.
A terceira linha enumera uma lista de nomes de campos separados por separadores:
#Fields: date time row-id request-type user-id result correlation-id content-id owner-email issuer template-id file-name date-published c-info c-ip admin-action acting-as-user
Cada uma das linhas subsequentes é um registo. Os valores dos campos estão na mesma ordem que a linha anterior e são separados por separadores. Utilize a tabela seguinte para interpretar os campos.
| Nome do campo | Tipo de dados W3C | Descrição | Valor de exemplo |
|---|---|---|---|
| data | Data | Data UTC em que o pedido foi servido. A origem é o relógio local no servidor que serviu o pedido. |
2013-06-25 |
| time | Time | Hora UTC no formato de 24 horas quando o pedido foi servido. A origem é o relógio local no servidor que serviu o pedido. |
21:59:28 |
| row-id | Texto | GUID exclusivo para este registo. Se um valor não estiver presente, utilize o valor correlation-id para identificar a entrada. Este valor é útil quando agrega registos ou copia registos para outro formato. |
1c3fe7a9-d9e0-4654-97b7-14fafa72ea63 |
| tipo de pedido | Nome | Nome da API RMS pedida. | AdquirirLicense |
| user-id | Cadeia de caracteres | O utilizador que efetuou o pedido. O valor está entre plicas. As chamadas de uma chave de inquilino do Azure Rights Management geridas por si (BYOK) têm um valor de ", que também se aplica quando os tipos de pedido são anónimos. |
‘joe@contoso.com’ |
| result | Cadeia de caracteres | "Êxito" se o pedido tiver sido servido com êxito. O tipo de erro entre aspas únicas se o pedido falhar. |
"Êxito" |
| correlation-id | Texto | GUID que é comum entre o registo de cliente correspondente e o registo do servidor para um determinado pedido. Este valor pode ser útil para ajudar a resolver problemas do cliente. |
cab52088-8925-4371-be34-4b71a3112356 |
| content-id | Texto | GUID, entre chavetas que identifica o conteúdo encriptado (por exemplo, um documento). Este campo só tem um valor se o tipo de pedido for AcquireLicense e estiver em branco para todos os outros tipos de pedido. |
{bb4af47b-cfed-4719-831d-71b98191a4f2} |
| proprietário-e-mail | Cadeia de caracteres | Email endereço do proprietário do documento. Este campo está em branco se o tipo de pedido for RevokeAccess. |
alice@contoso.com |
| emissor | Cadeia de caracteres | Email endereço do emissor do documento. Este campo está em branco se o tipo de pedido for RevokeAccess. |
alice@contoso.com (ou) FederatedEmail.4c1f4d-93bf-00a95fa1e042@contoso.onmicrosoft.com' |
| template-id | Cadeia de caracteres | ID do modelo de gestão de direitos utilizado para encriptar o documento. Este campo está em branco se o tipo de pedido for RevokeAccess. |
{6d9371a6-4e2d-4e97-9a38-202233fed26e} |
| nome do ficheiro | Cadeia de caracteres | Nome de ficheiro de um documento encriptado que é controlado com o cliente Proteção de Informações do Microsoft Purview. Atualmente, alguns ficheiros (como documentos do Office) são apresentados como GUIDs em vez do nome de ficheiro real. Este campo está em branco se o tipo de pedido for RevokeAccess. |
TopSecretDocument.docx |
| data de publicação | Data | Data em que o documento foi encriptado. Este campo está em branco se o tipo de pedido for RevokeAccess. |
10-10-15T21:37:00 |
| c-info | Cadeia de caracteres | Informações sobre a plataforma cliente que está a fazer o pedido. A cadeia específica varia consoante a aplicação (por exemplo, o sistema operativo ou o browser). |
"MSIPC; version=1.0.623.47; AppName=WINWORD.EXE; AppVersion=15.0.4753.1000; AppArch=x86; OSName=Windows; OSVersion=6.1.7601; OSArch=amd64' |
| c-ip | Endereço | Endereço IP do cliente que efetua o pedido. | 64.51.202.144 |
| ação de administrador | Bool | Se um administrador acedeu ao site de controlo de documentos no modo de Administrador. | Verdadeiro |
| agir como utilizador | Cadeia de caracteres | O endereço de e-mail do utilizador ao qual um administrador está a aceder ao site de controlo de documentos. | 'joe@contoso.com' |
Exceções para o campo user-id
Embora o campo user-id indique normalmente o utilizador que efetuou o pedido, existem duas exceções em que o valor não mapeia para um utilizador real:
O valor "microsoftrmsonline@<YourTenantID.rms>.<region.aadrm.com>".
Isto indica que um serviço do Microsoft 365, como o Exchange ou o SharePoint, está a fazer o pedido. Na cadeia, <YourTenantID> é o GUID do seu inquilino e <a região> é a região onde o inquilino está registado. Por exemplo, na representa América do Norte, eu representa a Europa e ap representa a Ásia.
Se estiver a utilizar o conector Rights Management.
Os pedidos deste conector são registados com o nome principal do serviço Aadrm_S-1-7-0, que é gerado automaticamente quando instala o conector Rights Management.
Tipos de pedido típicos
Existem muitos tipos de pedidos para o serviço Azure Rights Management, mas a tabela seguinte identifica alguns dos tipos de pedidos mais utilizados.
| Tipo de solicitação | Descrição |
|---|---|
| AdquirirLicense | Um cliente de um computador baseado no Windows está a pedir uma licença de utilização para conteúdo encriptado. |
| AcquirePreLicense | Um cliente, em nome do utilizador, está a pedir uma licença de utilização para conteúdo encriptado. |
| AcquireTemplates | Foi efetuada uma chamada para adquirir modelos de gestão de direitos com base em IDs de modelo |
| AcquireTemplateInformation | Foi feita uma chamada para obter os IDs do modelo de gestão de direitos do serviço. |
| AddTemplate | É efetuada uma chamada a partir de um portal de administração para adicionar um modelo de gestão de direitos. |
| AllDocsCsv | É efetuada uma chamada a partir do site de controlo de documentos para transferir o ficheiro CSV a partir da página Todos os Documentos . |
| BECreateEndUserLicenseV1 | É efetuada uma chamada a partir de um dispositivo móvel para criar uma licença de utilizador final. |
| BEGetAllTemplatesV1 | É efetuada uma chamada a partir de um dispositivo móvel (back-end) para obter todos os modelos de gestão de direitos. |
| Certificar | O cliente está a certificar o utilizador para o consumo e criação de conteúdo encriptado. |
| FECreateEndUserLicenseV1 | Semelhante ao pedido AcquireLicense, mas a partir de dispositivos móveis. |
| FECreatePublishingLicenseV1 | O mesmo que Certifi e GetClientLicensorCert combinados, a partir de clientes móveis. |
| FEGetAllTemplates | É efetuada uma chamada a partir de um dispositivo móvel (front-end) para obter os modelos de gestão de direitos. |
| FindServiceLocationsForUser | É efetuada uma chamada para consultar URLs, que são utilizados para chamar Certify ou AcquireLicense. |
| GetClientLicensorCert | O cliente está a pedir um certificado de publicação (que é posteriormente utilizado para encriptar conteúdo) a partir de um computador baseado no Windows. |
| GetConfiguration | É chamado um cmdlet do PowerShell para obter a configuração do inquilino do serviço Azure Rights Management. |
| GetConnectorAuthorizations | É efetuada uma chamada a partir dos conectores do Rights Management para obter a respetiva configuração a partir da cloud. |
| GetRecipients | É efetuada uma chamada a partir do site de controlo de documentos para navegar para a vista de lista de um único documento. |
| GetTenantFunctionalState | Um portal de administração está a verificar se o serviço Azure Rights Management está ativado. |
| KeyVaultDecryptRequest | O cliente está a tentar desencriptar o conteúdo encriptado do Rights Management. Aplicável apenas a uma chave de inquilino gerida pelo cliente (BYOK) no Azure Key Vault. |
| KeyVaultGetKeyInfoRequest | É efetuada uma chamada para verificar se a chave especificada para ser utilizada no Azure Key Vault para a chave de inquilino do Azure Rights Management está acessível e ainda não está a ser utilizada. |
| KeyVaultSignDigest | É efetuada uma chamada quando uma chave gerida pelo cliente (BYOK) no Azure Key Vault é utilizada para fins de assinatura. Este nome é normalmente chamado uma vez por AcquireLicence (ou FECreateEndUserLicenseV1), Certify e GetClientLicensorCert (ou FECreatePublishingLicenseV1). |
| KMSPDecrypt | O cliente está a tentar desencriptar o conteúdo encriptado do Rights Management. Aplicável apenas a uma chave de inquilino gerida pelo cliente (BYOK) legada. |
| KMSPSignDigest | É efetuada uma chamada quando uma chave gerida pelo cliente (BYOK) legada é utilizada para fins de assinatura. Este nome é normalmente chamado uma vez por AcquireLicence (ou FECreateEndUserLicenseV1), Certify e GetClientLicensorCert (ou FECreatePublishingLicenseV1). |
| ServerCertify | É efetuada uma chamada a partir de um cliente compatível com o Rights Management (como o SharePoint) para certificar o servidor. |
| SetUsageLogFeatureState | É efetuada uma chamada para ativar o registo de utilização. |
| SetUsageLogStorageAccount | É efetuada uma chamada para especificar a localização dos registos do serviço Azure Rights Management. |
| UpdateTemplate | É efetuada uma chamada a partir de um portal de administração para atualizar um modelo de gestão de direitos existente. |
Registos de utilização do Azure Rights Management e auditoria do Microsoft Purview
O acesso a ficheiros e eventos negados não incluem o nome do ficheiro e não estão acessíveis no registo de auditoria unificado do Microsoft Purview.
Referência do PowerShell
Depois de ligar ao serviço Azure Rights Management, o único cmdlet do PowerShell de que precisa para aceder ao registo de utilização do Azure Rights Management é Get-AipServiceUserLog.
Para obter mais informações sobre como utilizar o PowerShell para o serviço Azure Rights Management, veja Administrar o serviço Azure Rights Management com o PowerShell.