在 Microsoft Purview 中使用审核解决方案查看 Power Platform 管理日志
Power Platform 产品和服务的管理会影响各种功能,例如环境设置和操作、数据策略以及与集成相关的设置。 对有助于减少故障、帮助控制安全约束系统、遵守合规性要求以及对安全威胁采取行动的行为进行审核是非常重要的。
在本文中,您将了解那些使用 Microsoft Purview 合规性门户跨用户体验和可编程界面拥有管理访问权限的人员在 Power Platform 环境中执行的活动。 这些活动分为以下几类:
重要提示
- 默认情况下,在所有租户上启用 Power Platform 环境的管理活动。 您不能禁用活动收集。
- 根据 Microsoft Purview 的要求,至少有一个用户拥有分配的 Microsoft 365 E5 或更高版本的许可证。 更多信息:Microsoft Purview 中的审核解决方案
审核活动包括管理员、Dynamics 365 管理员、系统管理员角色成员(适用于 Power Platform 具有 Power Platform 环境的环境)、环境创建者或所有者(对于 Dataverse没有 Power Platform 的环境)以及映射到其中任何角色的模拟用户执行 Dataverse的操作。
每个活动事件都包含一个在 Office 365 管理活动 API 架构中定义的通用架构。 该模式定义了元数据的有效负载,该负载对于每个活动都是唯一的。
活动类别:环境生命周期操作
每个活动事件都包含特定于单个事件的元数据的有效负载。 以下环境生命周期运营活动由 Microsoft 负责。
| 事件 | 描述 |
|---|---|
| 预配的环境 | 环境已创建。 |
| 删除的环境 | 环境已删除。 |
| 恢复的环境 | 七天内删除的环境已恢复。 |
| 硬删除的环境 | 环境被硬删除。 |
| 移动的环境 | 环境被转移到不同的租户。 |
| 复制的环境 | 已复制环境,包括应用程序数据、用户、自定义和模式等特定属性。 |
| 备份的环境 | 已备份的环境。 |
| 恢复的环境 | 环境已从备份中恢复。 |
| 转换的环境类型 | 环境已转换为不同的环境类型,如生产或沙盒。 |
| 重置环境 | 沙盒环境已重置。 |
| 升级的环境 | 环境的某个组件已升级到新版本。 |
| CMK-更新的环境 | 客户托管密钥 (CMK) 已在环境中更新。 |
| CMK-复原的环境 | 环境已从企业策略中删除,加密已返回到 Microsoft 管理的密钥。 |
活动类别:环境属性和设置更改活动
每个活动事件都包含特定于单个事件的元数据的有效负载。 以下环境属性和设置活动将交付给 Microsoft。
| 事件 | 描述 |
|---|---|
| 环境的属性已更改 | 当环境中的属性发生变更时进行通信。 通常,属性是与环境相关联的元数据(名称)。 包括对以下内容的更改:
|
活动类别:业务模式和许可
每个活动事件都包含特定于单个事件的元数据的有效负载。 以下业务模式和许可活动交付给 Microsoft Purview。
| 类别 | 事件 | 描述 |
|---|---|---|
| 计费策略 | BillingPolicyCreate | 创建新计费策略时发出。 |
| 计费策略 | BillingPolicyDelete | 删除计费策略时发出。 |
| 计费策略 | BillingPolicyUpdate | 当链接到计费策略的环境发生更改(添加、删除)时发出。 |
| ISV | IsvContractConsent | 租户管理员同意 ISV 合同时发出。 |
| 许可证自动申请 | AssignLicenseAutoClaim | 通过自动申请策略将许可证自动分配给用户时发出。 |
| 许可证自动申请 | AssignLicenseAutoClaimPolicyCreate | 创建新的自动申请策略时发出。 |
| 货币 | CurrencyEnvironmentAllocate | 向环境分配或取消分配货币(加载项)时发出。 |
| 试用 | TrialConvertToProduction | 当试用计划转换为生产计划时发出。 |
| 试用 | TrialEnforce | 当客户试图设置超出试用限制的环境时发出。 |
| 试用 | TrialProvision | 设置新的试用计划时发出。 |
| 试用 | TrialSignUpEligibilityCheck | 当进行检查以确定试用资格时,在试用设置之前发出。 |
| 试用 | TrialViralConsent | 当租户更改其同意的计划类型时发出,并反映新状态。 |
| 试用 | AssignLicenseToUser | 将试用许可证分配给用户时发出。 |
| 环境生命周期 | EnvironmentDisabledByMiser | 由于数据库容量不足而自动禁用环境时发出。 |
活动类别:管理操作
每个活动事件都包含特定于单个事件的元数据的有效负载。 以下管理活动交付给 Microsoft Purview。
| 事件 | 描述 |
|---|---|
| 应用管理员角色 | 当租户管理员请求环境中 Dataverse 的系统管理员角色时发出。 |
活动类别:密码箱操作
所有密码箱活动都在活动 LockboxRequestOperation 下。 当创建或更新密码箱请求时,每个活动事件都包含具有以下属性的元数据有效负载:
- 密码箱请求 ID
- 密码箱请求状态
- 密码箱支持工单 ID
- 密码箱请求到期时间。
- 密码箱数据访问持续时间
- 环境 ID
- 执行操作的用户(创建加密箱请求时)
| 类别 | 事件 | 描述 |
|---|---|---|
| 创建加密箱请求 | LockboxRequestOperation | 创建新的密码箱请求时发出。 |
| 更新密码箱请求 | LockboxRequestOperation | 批准或拒绝加密箱请求时发出。 |
| 密码箱请求访问结束 | LockboxRequestOperation | 当密码箱请求过期或访问结束时发出。 |
下面是一个元数据有效负载的示例,可从表中列出的事件之一中获得。
[
{
"Name": "powerplatform.analytics.resource.tenant.lockbox.data_access.duration",
"Value": "8"
},
{
"Name": "powerplatform.analytics.resource.tenant.lockbox.support_ticket.id",
"Value": "MSFT initiated"
},
{
"Name": "powerplatform.analytics.resource.tenant.lockbox.request.state",
"Value": "Created"
},
{
"Name": "powerplatform.analytics.resource.tenant.lockbox.request.expiration_time",
"Value": "6/1/2024 11:59:15 PM +00:00"
},
{
"Name": "powerplatform.analytics.resource.tenant.lockbox.request.id",
"Value": "dfdead68-3263-4c05-9e8a-5b61ddb5878c"
},
{
"Name": "version",
"Value": "1.0"
},
{
"Name": "type",
"Value": "PowerPlatformAdministratorActivityRecord"
},
{
"Name": "powerplatform.analytics.activity.name",
"Value": "LockboxRequestOperation"
},
{
"Name": "powerplatform.analytics.activity.id",
"Value": "cb18351c-fa1c-4f34-a6d9-f8cb91636009"
},
{
"Name": "powerplatform.analytics.resource.environment.id",
"Value": "ed92c80e-89ef-e0c8-a9eb-98559ca07809"
},
{
"Name": "enduser.id",
"Value": ""
},
{
"Name": "enduser.principal_name",
"Value": "Test user"
},
{
"Name": "enduser.role",
"Value": "Admin"
},
{
"Name": "powerplatform.analytics.resource.tenant.id",
"Value": "3a568f62-11ff-4e89-bee8-4d47041b0003"
}
]
活动类别:数据策略事件
备注
数据策略的活动日志记录目前在主权云中不可用。
备注
目前,拥有 E5 许可证的用户可以查看这些审核事件。
所有数据策略事件都显示在 GovernanceApiPolicyOperation 活动下 。 每个活动事件都包含一个属性集合,该属性集合发出以下属性:
- 操作名称
- 策略 ID
- 策略显示名称
- 其他资源(如适用)
| 类别 | 描述 |
|---|---|
| 创建 DLP 策略 | 在创建新数据策略时发出。 |
| 更新 DLP 策略 | 更新数据策略时发出。 |
| 删除 DLP 策略 | 删除数据策略时发出。 |
| 创建自定义连接器模式 | 在创建新的自定义连接器 URL 模式时发出。 |
| 更新自定义连接器模式 | 在更新自定义连接器 URL 模式时发出。 |
| 删除自定义连接器模式 | 在删除自定义连接器 URL 模式时发出。 |
| 创建连接器配置 | 在为数据策略创建连接器配置时发出。 |
| 更新连接器配置 | 在更新数据策略的连接器配置时发出。 |
| 删除连接器配置 | 在删除数据策略的连接器配置时发出。 |
| 创建策略范围 | 在创建新的策略范围时发出。 |
| 更新策略范围 | 在更新策略范围时发出。 |
| 删除策略范围 | 在删除策略范围时发出。 |
| 创建豁免资源 | 在为数据策略创建免责资源列表时发出。 |
| 更新豁免资源 | 在更新数据策略的豁免资源列表时发出。 |
| 删除豁免资源 | 在删除数据策略的豁免资源列表时发出。 |
| 创建连接器阻止策略 | 在创建新的连接器阻止策略时发出。 |
| 更新连接器阻止策略 | 更新连接器阻止策略时发出。 |
| 删除连接器阻止策略 | 删除连接器阻止策略时发出。 |
下面是可以从表中的某个事件中预期的元数据有效负载示例。
[
{
"Name": "powerplatform.analytics.resource.tenant.governance.api_policy.additional_resources",
"Value": "<<json>>"
},
{
"Name": "powerplatform.analytics.resource.display_name",
"Value": "ConnectorBlockingPolicy"
},
{
"Name": "powerplatform.analytics.resource.tenant.governance.api_policy.operation_result",
"Value": "True"
},
{
"Name": "powerplatform.analytics.resource.id",
"Value": "ConnectorBlockingPolicy"
},
{
"Name": "powerplatform.analytics.resource.type",
"Value": "ApiPolicy"
},
{
"Name": "powerplatform.analytics.resource.tenant.governance.api_policy.operation_name",
"Value": "DeleteDlpPolicy"
},
{
"Name": "version",
"Value": "1.0"
},
{
"Name": "type",
"Value": "PowerPlatformAdministratorActivityRecord"
},
{
"Name": "powerplatform.analytics.activity.name",
"Value": "GovernanceApiPolicyOperation"
},
{
"Name": "powerplatform.analytics.activity.id",
"Value": "99ac5d50-a0f4-4878-8ff4-e02b7da3a510"
},
{
"Name": "enduser.id",
"Value": "888c1bf5-3127-4c8c-84ee-b6a9c684e315"
},
{
"Name": "enduser.principal_name",
"Value": admin@contosotest.onmicrosoft.com
},
{
"Name": "enduser.role",
"Value": "Admin"
},
{
"Name": "powerplatform.analytics.resource.tenant.id",
"Value": "ce65293a-e07d-4638-9dfa-79483fcd5136"
}
]
查看 Microsoft Purview 中的活动
当在 Microsoft Purview 合规门户中打开审核日志搜索时,来自贵组织的管理活动将记录在 Microsoft Purview 审核日志中。
您可以使用多种方法在 Microsoft Purview 中搜索事件。
在 Microsoft Purview 用户体验中使用通配符搜索上下文信息。
缩小特定于单个事件的搜索范围。
当您搜索时,会显示单个活动。 实施一个公共模式来支持跨活动的搜索结构。 PropertyCollection 字段中的值特定于每种活动类型。
有关 Microsoft Purview 审核日志、数据保留政策和功能的更多信息,请参阅 Microsoft Purview 中的审核解决方案。