データ損失防止のアクティビティ ログ
警告
この記事に記載されているスキーマは非推奨であり、2024年7月以降は利用できなくなります。 アクティビティ カテゴリ: データ ポリシー イベントで利用可能な新しいスキーマを使用できます。
注意
現在、ソブリン クラウドでは、データ損失防止ポリシーのアクティビティ ログを利用できません。
データ損失防止 (DLP) ポリシーのアクティビティが、Microsoft 365 セキュリティおよびコンプライアンス センターから追跡されます。
DLP の活動を記録するには、次の手順に従います。
セキュリティ/コンプライアンス センターにテナント管理者としてサインインします。
検索>監査ログの検索を選択します。
検索>活動で、dlp と入力します。 活動の一覧が表示されます。
1 つの活動を選択し、検索ウィンドウの外側を選択して閉じた後、検索を選択します。
監査ログ検索画面では、eDiscovery、Exchange、Power BI、Microsoft Entra ID、Microsoft Teams、Customer Engagement アプリ (Dynamics 365 Sales、Dynamics 365 Customer Service、Dynamics 365 Field Service、Dynamics 365 Marketing、および Dynamics 365 Project Service Automation)、および Microsoft Power Platform などを含む様々なサービスの監査ログを検索することができます。
監査ログ検索にアクセスした後、特定の活動をフィルタリングするには、活動を展開し、次にスクロールして、Microsoft Power Platform 活動専用のセクションを探します。
監査される DLP イベント
監査できるユーザー アクションは次のとおりです。
- 作成された DLP ポリシー : 新しい DLP ポリシーが作成された場合
- 更新された DLP ポリシー : 既存の DLP ポリシーが更新された場合
- 削除された DLP ポリシー : DLP ポリシーが削除された場合
DLP 監査イベントの基本スキーマ
スキーマは、Microsoft 365 セキュリティおよびコンプライアンス センターに送信されるフィールドを定義します。 一部のフィールドは監査データを Microsoft 365 に送信するすべてのアプリケーションに共通ですが、その他のフィールドは DLP ポリシーに固有です。 次の表で、名前および追加情報は、DLP ポリシー特定の列です。
フィールド名 | タイプ | 必須 | 内容 |
---|---|---|---|
日 | Edm.Date | いいえ | ログが生成された日時 (UTC) |
アプリの名称 | Edm.String | いいえ | PowerApp の一意の識別子 |
ID | Edm.Guid | いいえ | ログに記録されるすべての行に対する一意の GUID |
結果の状態 | Edm.String | いいえ | ログに記録される行の状態。 ほとんどの場合、成功します。 |
組織 ID | Edm.Guid | はい | ログが生成された組織の一意識別子。 |
CreationTime | Edm.Date | いいえ | ログが生成された日時 (UTC) |
操作 | Edm.Date | いいえ | 操作名 |
UserKey | Edm.String | いいえ | Microsoft Entra ID におけるユーザーの一意識別子 |
UserType | Self.UserType | いいえ | 監査タイプ (Admin、Regular、System) |
Additional Info | Edm.String | いいえ | 詳細情報(例: 環境 の名前) |
Additional Info
追加情報フィールドは、操作指定のプロパティを含む JSON オブジェクトです。 DLP ポリシー操作の場合、次のプロパティが含まれます。
フィールド名 | タイプ | 必須? | 内容 |
---|---|---|---|
PolicyId | Edm.Guid | はい | ポリシーの GUID。 |
PolicyType | Edm.String | はい | ポリシーの種類。 許可された値は、AllEnvironments、SingleEnvironment、OnlyEnvironments、または ExceptEnvironments です。 |
DefaultConnectorClassification | Edm.String | はい | 既定のコネクタ分類。 許可された値は、一般、ブロック済み、または社外秘です。 |
EnvironmentName | Edm.String | いいえ | 環境の名前 (GUID)。 これは、SingleEnvironment ポリシーにのみ存在します。 |
Changeset | Edm.String | いいえ | ポリシーに加えられた変更。 これらは、更新操作にのみ存在します。 |
以下は、作成または削除イベントの追加情報 JSON の例です。
{
"policyId": "1aaaaaa1-2bb2-3cc3-4dd4-5eeeeeeeeee5",
"policyType": "SingleEnvironment",
"defaultConnectorClassification": "General",
"environmentName": "8a11a4a6-d8a4-4c47-96d7-3c2a60efe2f5"
}
以下は、更新操作の追加情報 JSON の例です。
- ポリシー名を oldPolicyName から newPolicyName に変更。
- 既定の分類を一般から社外秘に変更。
- ポリシーの種類を OnlyEnvironments から ExceptEnvironments に変更。
- Azure Blob Storage コネクタを一般から社外秘のバケットに移動。
- Bing Maps コネクタを一般からブロック済みのバケットに移動。
- Azure Automation コネクタを社外秘からブロック済みのバケットに移動。
{
"policyId": "1aaaaaa1-2bb2-3cc3-4dd4-5eeeeeeeeee5",
"policyType": "ExceptEnvironments",
"defaultConnectorClassification": "Confidential",
"changeSet": {
"changedProperties": [
{
"name": "ApiPolicyName",
"previousValue": "oldPolicyName",
"currentValue": "newPolicyName"
},
{
"name": "DefaultConnectorClassification",
"previousValue": "General",
"currentValue": "Confidential"
},
{
"name": "DlpPolicyType",
"previousValue": "OnlyEnvironments",
"currentValue": "ExceptEnvironments"
}
],
"connectorChanges": [
{
"name": "Azure Blob Storage",
"id": "/providers/Microsoft.PowerApps/apis/shared_azureblob",
"previousValue": {
"classification": "General"
},
"currentValue": {
"classification": "Confidential"
}
},
{
"name": "Bing Maps",
"id": "/providers/Microsoft.PowerApps/apis/shared_bingmaps",
"previousValue": {
"classification": "General"
},
"currentValue": {
"classification": "Blocked"
}
},
{
"name": "Azure Automation",
"id": "/providers/Microsoft.PowerApps/apis/shared_azureautomation",
"previousValue": {
"classification": "Confidential"
},
"currentValue": {
"classification": "Blocked"
}
}
]
}
}