Wyświetlanie dzienników administracyjnych Power Platform przy użyciu rozwiązań audytu w Microsoft Purview

Administracja produktami i usługami Power Platform może wpływać na różne możliwości, takie jak ustawienia i operacje środowiska, zasady dotyczące danych i ustawienia związane z integracją. Ważne jest, aby audytować takie działania, które pomagają złagodzić awarie, pomagają powstrzymać systemy ograniczeń bezpieczeństwa, przestrzegać wymogów zgodności i działać w przypadku zagrożeń bezpieczeństwa.

W tym artykule dowiesz się o działaniach wykonywanych w środowiskach Power Platform przez osoby mające dostęp administracyjny do środowisk użytkowników i programowalnych interfejsów przy użyciu portalu zgodności Microsoft Purview. Działania te należą do następujących kategorii:

• Operacje cyklu życia środowiska
• Działania związane ze zmianą właściwości środowiska i ustawień

Ważne

• Działania administracyjne dla środowisk Power Platform są domyślnie włączone we wszystkich dzierżawach. Nie można wyłączyć gromadzenia aktywności.
• Co najmniej jeden użytkownik z przypisaną licencją Microsoft 365 E5 lub wyższą, zgodnie z wymaganiami Microsoft Purview. Więcej informacji: Rozwiązania do audytu w Microsoft Purview

Działania inspekcji obejmują akcje wykonywane przez Power Platform administratorów, administratorów Dynamics 365, członków roli System Administrator (dla Power Platform środowisk z Dataverse), twórcę lub właściciela środowiska (dla Power Platform środowisk bez Dataverse) oraz personifikowanych użytkowników, którzy są mapowani na dowolną z tych ról.

Każde zdarzenie aktywności składa się ze wspólnego schematu zdefiniowanego pod adresem Schemat interfejsu API aktywności zarządzania pakietu Office 365. Schemat definiuje ładunek metadanych, który jest unikalny dla każdej aktywności.

Kategoria aktywności: Operacje w cyklu życia środowiska

Każde zdarzenie aktywności zawiera ładunek metadanych, które są specyficzne dla danego zdarzenia. Następujące działania operacja cyklu życia środowiska są dostarczane do Microsoft Purview.

Zdarzenie	Podpis
Udostępnione środowisko	Środowisko zostało stworzone.
Usunięte środowisko	Środowisko zostało usunięte.
Odzyskane środowisko	Środowisko, które zostało usunięte w ciągu siedmiu dni, zostało odzyskane.
Trudne do usunięcia środowisko	Środowisko zostało usunięte.
Przeniesione środowisko	Środowisko zostało przeniesione do innej dzierżawy.
Skopiowane środowisko	Środowisko, w tym określone atrybuty, takie jak dane aplikacji, użytkownicy, dostosowania i schematy, zostały skopiowane.
Kopia zapasowa środowiska	Środowisko, którego kopia zapasowa została utworzona.
Przywrócone środowisko	Środowisko zostało przywrócone z kopii zapasowej.
Przekształcony typ środowiska	Środowisko zostało przekonwertowane na inny typ środowiska, taki jak środowisko produkcyjne lub piaskownica.
Resetuj środowisko	Środowisko piaskownicy zostało zresetowane.
Zmodernizowane środowisko	Składnik środowiska został zaktualizowany do nowej wersji.
Środowisko CMK-Renewed	Klucz zarządzany przez klienta (CMK) został odnowiony w środowisku.
Środowisko CMK-Reverted	Środowisko zostało usunięte z zasad przedsiębiorstwa, a szyfrowanie zostało zwrócone do klucza zarządzanego przez firmę Microsoft.

Kategoria aktywności: Działania związane ze zmianą właściwości i ustawień środowiska

Każde zdarzenie aktywności zawiera ładunek metadanych, które są specyficzne dla danego zdarzenia. Następujące właściwości i ustawienia środowiska są dostarczane do Microsoft Purview.

Zdarzenie	Podpis
Zmienione właściwości środowiska	Informuje o zmianie właściwości środowiska. Ogólnie rzecz biorąc, właściwości to metadane (nazwy), które są powiązane ze środowiskiem. Zawiera zmiany w: Display name Nazwa domeny Identyfikator grupy zabezpieczeń Tryb administratora Stan operacji w tle

Kategoria działania: model biznesowy i licencjonowanie

Każde zdarzenie aktywności zawiera ładunek metadanych, które są specyficzne dla danego zdarzenia. Następujące działania powiązane z modelem biznesowym i licencjonowaniem są dostarczane do Microsoft Purview.

Kategoria	Zdarzenie	Podpis
Zasady rozliczania	BillingPolicyCreate	Emitowane po utworzeniu nowych zasad rozliczania.
Zasady rozliczania	BillingPolicyDelete	Emitowane po usunięciu zasad rozliczania.
Zasady rozliczania	BillingPolicyUpdate	Emitowane, gdy środowiska połączone z zasadami rozliczania zmienią się (zostaną dodane lub usunięte).
ISV	IsvContractConsent	Emitowane, gdy administrator dzierżawcy zgadza się na kontrakt ISV.
Automatyczne oświadczenie licencyjne	AssignLicenseAutoClaim	Emitowane, gdy licencja jest przypisywana do użytkownika automatycznie przez zasady automatycznych oświadczeń.
Automatyczne oświadczenie licencyjne	AssignLicenseAutoClaimPolicyCreate	Emitowane po utworzeniu nowych zasad automatycznych oświadczeń.
Waluta	CurrencyEnvironmentAllocate	Emitowane, gdy waluta (dodatek) jest alokowana do środowiska lub gdy ta alokacja jest anulowana.
Wersje próbne	TrialConvertToProduction	Emitowane, gdy plan w wersji próbnej jest konwertowany na plan produkcji.
Wersje próbne	TrialEnforce	Emitowane, gdy klient próbuje ustanowić środowiska poza limitem wersji próbnej.
Wersje próbne	TrialProvision	Emitowane po zainicjowaniu obsługi nowego planu wersji próbnej.
Wersje próbne	TrialSignUpEligibilityCheck	Emitowane przed zainicjowaniem obsługi wersji próbnej, kiedy ma miejsce sprawdzanie w celu ustalenia kwalifikowalności do wersji próbnej.
Wersje próbne	TrialViralConsent	Emitowane, gdy dzierżawca zmieni typy planu, na które wyrażono zgodę, i odzwierciedlają nowy stan.
Wersje próbne	AssignLicenseToUser	Emitowane podczas przypisywania licencji próbnej do użytkownika.
Cykl życia środowiska	EnvironmentDisabledByMiser	Emitowane, gdy środowisko jest automatycznie wyłączone z powodu niewystarczającej wydajności bazy danych.

Kategoria działania: akcje administracyjne

Każde zdarzenie aktywności zawiera ładunek metadanych, które są specyficzne dla danego zdarzenia. Poniższe działania administratora są dostarczane do Microsoft Purview.

Zdarzenie	Podpis
Stosowanie roli administratora	Emitowane, gdy administrator dzierżawcy zażądał roli Administrator systemu w środowisku Dataverse.

Kategoria działania: operacje skrytki

Wszystkie działania skrzynki odbiorczej są pod działaniem LockboxRequestOperation. Każde zdarzenie działania zawiera ład metadanych o następujących właściwościach podczas tworzenia lub aktualizowania żądania skrzynki odbiorczej:

• Identyfikator żądania skrytki
• Stan żądania skrytki
• Identyfikator zgłoszenia pomocy technicznej skrytki
• Czas wygaśnięcia żądania skrytki.
• Czas trwania dostępu do danych skrytki
• Identyfikator środowiska
• Użytkownik, który przeprowadził operację (podczas tworzenia żądania skrzynki odbiorczej)

Następujące zdarzenia są dostarczane do firmy Microsoft Purview.

Kategoria	Zdarzenie	Podpis
Tworzenie żądania skrytki	LockboxRequestOperation	Wydane po utworzeniu nowego żądania skrytki.
Aktualizacja żądania skrytki	LockboxRequestOperation	Wiadomość e-mail po zatwierdzeniu lub odmowie żądania skrzynki odbiorczej.
Zakończenie zażądania dostępu skrytki	LockboxRequestOperation	Wiadomość e-mail wygasła lub zakończyła się dostęp do skrzynki odbiorczej.

Poniżej podano przykład ładunku metadanych, których można się spodziewać po jednym ze zdarzeń wymienionych w tabeli.

[
    {
        "Name": "powerplatform.analytics.resource.tenant.lockbox.data_access.duration",
        "Value": "8"
    },
    {
        "Name": "powerplatform.analytics.resource.tenant.lockbox.support_ticket.id",
        "Value": "MSFT initiated"
    },
    {
        "Name": "powerplatform.analytics.resource.tenant.lockbox.request.state",
        "Value": "Created"
    },
    {
        "Name": "powerplatform.analytics.resource.tenant.lockbox.request.expiration_time",
        "Value": "6/1/2024 11:59:15 PM +00:00"
    },
    {
        "Name": "powerplatform.analytics.resource.tenant.lockbox.request.id",
        "Value": "dfdead68-3263-4c05-9e8a-5b61ddb5878c"
    },
    {
        "Name": "version",
        "Value": "1.0"
    },
    {
        "Name": "type",
        "Value": "PowerPlatformAdministratorActivityRecord"
    },
    {
        "Name": "powerplatform.analytics.activity.name",
        "Value": "LockboxRequestOperation"
    },
    {
        "Name": "powerplatform.analytics.activity.id",
        "Value": "cb18351c-fa1c-4f34-a6d9-f8cb91636009"
    },
    {
        "Name": "powerplatform.analytics.resource.environment.id",
        "Value": "ed92c80e-89ef-e0c8-a9eb-98559ca07809"
    },
    {
        "Name": "enduser.id",
        "Value": ""
    },
    {
        "Name": "enduser.principal_name",
        "Value": "Test user"
    },
    {
        "Name": "enduser.role",
        "Value": "Admin"
    },
    {
        "Name": "powerplatform.analytics.resource.tenant.id",
        "Value": "3a568f62-11ff-4e89-bee8-4d47041b0003"
    }
]

Kategoria działania: zdarzenia związane z zasadami dotyczącymi danych

Notatka

Rejestrowanie aktywności dla zasad danych nie jest obecnie dostępne w suwerennych chmurach.

Notatka

Obecnie użytkownicy z licencją E5 mogą wyświetlać te zdarzenia inspekcji.

Wszystkie zdarzenia zasad danych są wyświetlane w obszarze działania GovernanceApiPolicyOperation . Każde zdarzenie działania zawiera kolekcję właściwości, która emituje następujące właściwości:

• Nazwa operacji
• Identyfikator zasad
• Wyświetlana nazwa zasad
• Dodatkowe zasoby (jeśli dotyczy)

Następujące zdarzenia zasad danych są dostarczane do Microsoft usługi Purview.

Kategoria	Podpis
Tworzenie zasad DLP	Emitowane po utworzeniu nowej zasady danych.
Aktualizowanie zasad DLP	Emitowane po zaktualizowaniu zasad dotyczących danych.
Usuwanie zasad DLP	Emitowane po usunięciu zasady danych.
Tworzenie niestandardowych wzorców łączników	Emitowany po utworzeniu nowego wzorca adresu URL łącznika niestandardowego.
Aktualizowanie niestandardowych wzorców łączników	Emitowany po zaktualizowaniu niestandardowego wzorca adresu URL łącznika.
Usuwanie niestandardowych wzorców łączników	Emitowane po usunięciu niestandardowego wzorca adresu URL łącznika.
Tworzenie konfiguracji łączników	Emitowane podczas tworzenia konfiguracji łącznika dla zasad danych.
Aktualizowanie konfiguracji łączników	Emitowane, gdy konfiguracja łącznika jest aktualizowana dla zasad danych.
Usuwanie konfiguracji łączników	Emitowane, gdy konfiguracja łącznika zostanie usunięta dla zasad danych.
Tworzenie zakresu zasad	Emitowane po utworzeniu nowego zakresu zasad.
Aktualizuj zakres zasad	Emitowane po zaktualizowaniu zakresu zasad.
Usuwanie zakresu zasad	Emitowane po usunięciu zakresu zasad.
Tworzenie wykluczonych zasobów	Emitowane, gdy dla zasad danych jest tworzona lista wykluczonych zasobów.
Aktualizowanie zasobów wykluczonych	Emitowane, gdy lista wykluczonych zasobów jest aktualizowana dla zasad danych.
Usuwanie wykluczonych zasobów	Emitowane, gdy lista wykluczonych zasobów zostanie usunięta dla zasad danych.
Tworzenie zasad blokowania łączników	Emitowane po utworzeniu nowych zasad blokowania łącznika.
Aktualizowanie zasad blokowania łączników	Emitowane po zaktualizowaniu zasad blokowania łącznika.
Usuwanie zasad blokowania łączników	Emitowane po usunięciu zasad blokowania łącznika.

Oto przykładowy ładunek metadanych, którego można oczekiwać od jednego ze zdarzeń w tabeli.

[
    {
        "Name": "powerplatform.analytics.resource.tenant.governance.api_policy.additional_resources",
        "Value": "<<json>>"
    },
    {
        "Name": "powerplatform.analytics.resource.display_name",
        "Value": "ConnectorBlockingPolicy"
    },
    {
        "Name": "powerplatform.analytics.resource.tenant.governance.api_policy.operation_result",
        "Value": "True"
    },
    {
        "Name": "powerplatform.analytics.resource.id",
        "Value": "ConnectorBlockingPolicy"
    },
    {
        "Name": "powerplatform.analytics.resource.type",
        "Value": "ApiPolicy"
    },
    {
        "Name": "powerplatform.analytics.resource.tenant.governance.api_policy.operation_name",
        "Value": "DeleteDlpPolicy"
    },
    {
        "Name": "version",
        "Value": "1.0"
    },
    {
        "Name": "type",
        "Value": "PowerPlatformAdministratorActivityRecord"
    },
    {
        "Name": "powerplatform.analytics.activity.name",
        "Value": "GovernanceApiPolicyOperation"
    },
    {
        "Name": "powerplatform.analytics.activity.id",
        "Value": "99ac5d50-a0f4-4878-8ff4-e02b7da3a510"
    },
    {
        "Name": "enduser.id",
        "Value": "888c1bf5-3127-4c8c-84ee-b6a9c684e315"
    },
    {
        "Name": "enduser.principal_name",
        "Value": admin@contosotest.onmicrosoft.com
    },
    {
        "Name": "enduser.role",
        "Value": "Admin"
    },
    {
        "Name": "powerplatform.analytics.resource.tenant.id",
        "Value": "ce65293a-e07d-4638-9dfa-79483fcd5136"
    }
]

Wyświetlanie działań w Microsoft Purview

Po włączeniu wyszukiwania dziennika audytu w portalu zgodności Microsoft Purview aktywność administratora z organizacji jest rejestrowana w dzienniku audytu Microsoft Purview.

Do wyszukiwania zdarzeń w Microsoft Purview można użyć kilku metod.

Użyj wyszukiwania wieloznacznego, aby uzyskać informacje kontekstowe w środowisku użytkownika Microsoft Purview.

Zawęź konstrukcje wyszukiwania, które są specyficzne dla poszczególnych wydarzeń.

Podczas wyszukiwania wyświetlane są poszczególne aktywności. Wspólny schemat jest wymuszany, aby umożliwić wyszukiwanie konstrukcji w różnych działaniach. Wartość w polu PropertyCollection jest specyficzna dla każdego typu aktywności.

Aby uzyskać więcej informacji na temat dziennika audytu Microsoft Purview, zasad przechowywania danych i możliwości, zobacz Rozwiązania do audytu w Microsoft Purview.

Zobacz też

• Rozwiązania do inspekcji w usłudze Microsoft Purview
• Office 365 Schemat interfejsu API działań zarządzania
• Szczegółowe właściwości w dzienniku inspekcji
• Power Apps Rejestrowanie aktywności
• Power Automate Rejestrowanie aktywności
• Power Platform Rejestrowanie aktywności łącznika (wersja zapoznawcza)
• Rejestrowanie działań związanych z ochroną przed utratą danych
• Zarządzanie Dataverse inspekcją
• Dataverse i aplikacje oparte na modelu