在 Purview 中使用 Power Platform 审核解决方案查看 Microsoft 管理日志
Power Platform 产品和服务的管理会影响各种功能,例如环境设置和操作、数据策略以及与集成相关的设置。 对有助于减少故障、帮助控制安全约束系统、遵守合规性要求以及对安全威胁采取行动的行为进行审核是非常重要的。
在本文中,你将了解使用 Power Platform Purview 合规门户对用户体验和可编程接口具有管理访问权限的用户在 Microsoft 环境中执行的活动。 这些活动分为以下几类:
重要提示
- 默认情况下,在所有租户上启用 Power Platform 环境的管理活动。 您不能禁用活动收集。
- 至少有一个用户具有分配的 Microsoft 365 E5 或更高版本的许可证,如 Purview 所要求 Microsoft 。 详细信息: Purview 中的 Microsoft 审核解决方案
审核活动包括管理员 Power Platform 、Dynamics 365 管理员、系统管理员角色的成员(对于 Power Platform 具有 Dataverse的环境)、环境创建者或所有者(对于 Power Platform 没有 Dataverse环境)以及映射到这些角色中的任何一个的模拟用户执行的操作。
每个活动事件都包含一个在 Office 365 管理活动 API 架构中定义的通用架构。 该模式定义了元数据的有效负载,该负载对于每个活动都是唯一的。
活动类别:环境生命周期操作
每个活动事件都包含特定于单个事件的元数据的有效负载。 以下 环境生命周期操作 活动将交付给 Microsoft Purview。
| 事件 | 说明 |
|---|---|
| 预配的环境 | 环境已创建。 |
| 删除的环境 | 环境已删除。 |
| 恢复的环境 | 七天内删除的环境已恢复。 |
| 硬删除的环境 | 环境被硬删除。 |
| 移动的环境 | 环境被转移到不同的租户。 |
| 复制的环境 | 已复制环境,包括应用程序数据、用户、自定义和模式等特定属性。 |
| 备份的环境 | 已备份的环境。 |
| 恢复的环境 | 环境已从备份中恢复。 |
| 转换的环境类型 | 环境已转换为不同的环境类型,如生产或沙盒。 |
| 重置环境 | 沙盒环境已重置。 |
| 升级的环境 | 环境的某个组件已升级到新版本。 |
| CMK-更新的环境 | 客户托管密钥 (CMK) 已在环境中更新。 |
| CMK-复原的环境 | 已从企业策略中删除环境,并将加密返回到 Microsoft托管密钥。 |
活动类别:环境属性和设置更改活动
每个活动事件都包含特定于单个事件的元数据的有效负载。 以下 环境属性和设置 活动将交付到 Microsoft Purview。
| 事件 | 说明 |
|---|---|
| 环境的属性已更改 | 当环境中的属性发生变更时进行通信。 通常,属性是与环境相关联的元数据(名称)。 包括对以下内容的更改:
|
活动类别:业务模式和许可
每个活动事件都包含特定于单个事件的元数据的有效负载。 以下业务模式和许可活动将交付给 Microsoft Purview。
| 类别 | 事件 | 说明 |
|---|---|---|
| 计费策略 | BillingPolicyCreate | 创建新计费策略时发出。 |
| 计费策略 | BillingPolicyDelete | 删除计费策略时发出。 |
| 计费策略 | BillingPolicyUpdate | 当链接到计费策略的环境发生更改(添加、删除)时发出。 |
| ISV | IsvContractConsent | 租户管理员同意 ISV 合同时发出。 |
| 许可证自动申请 | AssignLicenseAutoClaim | 通过自动申请策略将许可证自动分配给用户时发出。 |
| 许可证自动申请 | AssignLicenseAutoClaimPolicyCreate | 创建新的自动申请策略时发出。 |
| 货币 | CurrencyEnvironmentAllocate | 向环境分配或取消分配货币(加载项)时发出。 |
| 试用 | TrialConvertToProduction | 当试用计划转换为生产计划时发出。 |
| 试用 | TrialEnforce | 当客户试图设置超出试用限制的环境时发出。 |
| 试用 | TrialProvision | 设置新的试用计划时发出。 |
| 试用 | TrialSignUpEligibilityCheck | 当进行检查以确定试用资格时,在试用设置之前发出。 |
| 试用 | TrialViralConsent | 当租户更改其同意的计划类型时发出,并反映新状态。 |
| 试用 | AssignLicenseToUser | 将试用许可证分配给用户时发出。 |
| 环境生命周期 | EnvironmentDisabledByMiser | 由于数据库容量不足而自动禁用环境时发出。 |
活动类别:管理操作
每个活动事件都包含特定于单个事件的元数据的有效负载。 以下管理活动将交付给 Microsoft Purview。
| 事件 | 说明 |
|---|---|
| 应用管理员角色 | 当租户管理员请求环境中 Dataverse 的系统管理员角色时发出。 |
活动类别:密码箱操作
所有密码箱活动都在活动 LockboxRequestOperation 下。 当创建或更新密码箱请求时,每个活动事件都包含具有以下属性的元数据有效负载:
- 密码箱请求 ID
- 密码箱请求状态
- 密码箱支持工单 ID
- 密码箱请求到期时间。
- 密码箱数据访问持续时间
- 环境 ID
- 执行操作的用户(创建加密箱请求时)
| 类别 | 事件 | 说明 |
|---|---|---|
| 创建加密箱请求 | LockboxRequestOperation | 创建新的密码箱请求时发出。 |
| 更新密码箱请求 | LockboxRequestOperation | 批准或拒绝加密箱请求时发出。 |
| 密码箱请求访问结束 | LockboxRequestOperation | 当密码箱请求过期或访问结束时发出。 |
下面是一个元数据有效负载的示例,可从表中列出的事件之一中获得。
[
{
"Name": "powerplatform.analytics.resource.tenant.lockbox.data_access.duration",
"Value": "8"
},
{
"Name": "powerplatform.analytics.resource.tenant.lockbox.support_ticket.id",
"Value": "MSFT initiated"
},
{
"Name": "powerplatform.analytics.resource.tenant.lockbox.request.state",
"Value": "Created"
},
{
"Name": "powerplatform.analytics.resource.tenant.lockbox.request.expiration_time",
"Value": "6/1/2024 11:59:15 PM +00:00"
},
{
"Name": "powerplatform.analytics.resource.tenant.lockbox.request.id",
"Value": "dfdead68-3263-4c05-9e8a-5b61ddb5878c"
},
{
"Name": "version",
"Value": "1.0"
},
{
"Name": "type",
"Value": "PowerPlatformAdministratorActivityRecord"
},
{
"Name": "powerplatform.analytics.activity.name",
"Value": "LockboxRequestOperation"
},
{
"Name": "powerplatform.analytics.activity.id",
"Value": "cb18351c-fa1c-4f34-a6d9-f8cb91636009"
},
{
"Name": "powerplatform.analytics.resource.environment.id",
"Value": "ed92c80e-89ef-e0c8-a9eb-98559ca07809"
},
{
"Name": "enduser.id",
"Value": ""
},
{
"Name": "enduser.principal_name",
"Value": "Test user"
},
{
"Name": "enduser.role",
"Value": "Admin"
},
{
"Name": "powerplatform.analytics.resource.tenant.id",
"Value": "3a568f62-11ff-4e89-bee8-4d47041b0003"
}
]
活动类别:数据策略事件
备注
数据策略的活动日志记录目前在主权云中不可用。
备注
目前,拥有 E5 许可证的用户可以查看这些审核事件。
所有数据策略事件都显示在 GovernanceApiPolicyOperation 活动下 。 每个活动事件都包含一个属性集合,该集合发出以下属性:
- 操作名称
- 策略 ID
- 策略显示名称
- 其他资源(如适用)
| 类别 | 说明 |
|---|---|
| 创建 DLP 策略 | 创建新数据策略时发出。 |
| 更新 DLP 策略 | 更新数据策略时发出。 |
| 删除 DLP 策略 | 删除数据策略时发出。 |
| 创建自定义连接器模式 | 创建新的自定义连接器 URL 模式时发出。 |
| 更新自定义连接器模式 | 更新自定义连接器 URL 模式时发出。 |
| 删除自定义连接器模式 | 删除自定义连接器 URL 模式时发出。 |
| 创建连接器配置 | 为数据策略创建连接器配置时发出。 |
| 更新连接器配置 | 在更新数据策略的连接器配置时发出。 |
| 删除连接器配置 | 删除数据策略的连接器配置时发出。 |
| 创建策略范围 | 创建新策略范围时发出。 |
| 更新策略范围 | 更新策略范围时发出。 |
| 删除策略范围 | 删除策略范围时发出。 |
| 创建豁免资源 | 在为数据策略创建豁免资源列表时发出。 |
| 更新豁免资源 | 在更新数据策略的豁免资源列表时发出。 |
| 删除豁免资源 | 删除数据策略的豁免资源列表时发出。 |
| 创建连接器阻止策略 | 创建新的连接器阻止策略时发出。 |
| 更新连接器阻止策略 | 更新连接器阻止策略时发出。 |
| 删除连接器阻止策略 | 删除连接器阻止策略时发出。 |
以下是表中某个事件的预期元数据负载示例。
[
{
"Name": "powerplatform.analytics.resource.tenant.governance.api_policy.additional_resources",
"Value": "<<json>>"
},
{
"Name": "powerplatform.analytics.resource.display_name",
"Value": "ConnectorBlockingPolicy"
},
{
"Name": "powerplatform.analytics.resource.tenant.governance.api_policy.operation_result",
"Value": "True"
},
{
"Name": "powerplatform.analytics.resource.id",
"Value": "ConnectorBlockingPolicy"
},
{
"Name": "powerplatform.analytics.resource.type",
"Value": "ApiPolicy"
},
{
"Name": "powerplatform.analytics.resource.tenant.governance.api_policy.operation_name",
"Value": "DeleteDlpPolicy"
},
{
"Name": "version",
"Value": "1.0"
},
{
"Name": "type",
"Value": "PowerPlatformAdministratorActivityRecord"
},
{
"Name": "powerplatform.analytics.activity.name",
"Value": "GovernanceApiPolicyOperation"
},
{
"Name": "powerplatform.analytics.activity.id",
"Value": "99ac5d50-a0f4-4878-8ff4-e02b7da3a510"
},
{
"Name": "enduser.id",
"Value": "888c1bf5-3127-4c8c-84ee-b6a9c684e315"
},
{
"Name": "enduser.principal_name",
"Value": admin@contosotest.onmicrosoft.com
},
{
"Name": "enduser.role",
"Value": "Admin"
},
{
"Name": "powerplatform.analytics.resource.tenant.id",
"Value": "ce65293a-e07d-4638-9dfa-79483fcd5136"
}
]
查看 Purview 中的 Microsoft 活动
在 Microsoft Purview 合规门户中启用审核日志搜索后,组织的管理员活动将记录在 Purview 审核日志中 Microsoft 。
您可以使用多种方法在 Purview 中 Microsoft 搜索事件。
在 Purview 用户体验中使用 Microsoft 通配符卡片搜索上下文信息。
缩小特定于单个事件的搜索范围。
当您搜索时,会显示单个活动。 实施一个公共模式来支持跨活动的搜索结构。 PropertyCollection 字段中的值特定于每种活动类型。
有关 Microsoft Purview 审核日志、数据保留策略和功能的详细信息,请参阅 Purview Microsoft 中的审核解决方案。