Teilen über


Anzeigen Power Platform von Verwaltungsprotokollen mithilfe von Überwachungslösungen in Microsoft Purview

Die Verwaltung von Power Platform Produkten und Diensten kann sich auf verschiedene Funktionen auswirken, wie z. B. Umgebungseinstellungen und -vorgänge, Datenrichtlinien und Integrationseinstellungen. Es ist wichtig, solche Maßnahmen zu prüfen, die dazu beitragen, Fehler zu mindern, Systeme mit Sicherheitsbeschränkungen einzudämmen, Compliance-Anforderungen einzuhalten und auf Sicherheitsbedrohungen zu reagieren.

In diesem Artikel erfahren Sie mehr über Aktivitäten, die in Power Platform Umgebungen von Personen ausgeführt werden, die über das Microsoft Purview-Compliance-Portal administrativen Zugriff auf Benutzererfahrungen und programmierbare Schnittstellen haben. Die Aktivitäten fallen in die folgenden Kategorien:

Wichtig

  • Verwaltungsaktivitäten für Power Platform-Umgebungen sind standardmäßig auf allen Mandanten aktiviert. Sie können die Aktivitätserfassung nicht deaktivieren.
  • Mindestens ein Benutzer mit einer zugewiesenen Microsoft 365 E5-Lizenz oder höher, wie von Microsoft Purview gefordert. Weitere Informationen: Auditing-Lösungen in Microsoft Purview

Die Überwachungsaktivitäten umfassen Aktionen von Power Platform Administratoren, Dynamics 365-Administratoren, Mitgliedern der Systemrolle Administrator (für Power Platform Umgebungen mit Dataverse), dem Ersteller oder Besitzer von Umgebung (für Power Platform Umgebungen ohne Dataverse) und imitierten Benutzern, die einer dieser Rollen zugeordnet sind.

Jedes Aktivitätsereignis besteht aus einem gemeinsamen Schema, das unter Office 365 Verwaltungsaktivitäts-API-Schema definiert ist. Das Schema definiert die Nutzlast der Metadaten, die für jede Aktivität eindeutig ist.

Aktivitätskategorie: Umweltlebenszyklusvorgänge

Jedes Aktivitätsereignis enthält eine Nutzlast an Metadaten, die für das einzelne Ereignis spezifisch sind. Die folgenden Umgebung-Lebenszyklus-Operationen werden an Microsoft Purview übermittelt.

Ereignis Beschreibung
Bereitgestellte Umgebung Die Umgebung wurde erstellt.
Gelöschte Umgebung Die Umgebung wurde gelöscht.
Wiederhergestellte Umgebung Eine Umgebung, die innerhalb von sieben Tagen gelöscht wurde, wurde wiederhergestellt.
Dauerhaft gelöschte Umgebung Die Umgebung wurde dauerhaft gelöscht.
Verschobene Umgebung Die Umgebung wurde auf einen anderen Mandanten übertragen.
Kopierte Umgebung Die Umgebung, einschließlich spezifischer Attribute wie Anwendungsdaten, Benutzer, Anpassungen und Schemata, wurde kopiert.
Gesicherte Umgebung Die Umgebung, von der eine Sicherung erstellt wurde.
Wiederhergestellte Umgebung Die Umgebung wurde aus einer Sicherung wiederhergestellt.
Konvertierter Umgebungstyp Die Umgebung wurde in einen anderen Umgebungstyp konvertiert, z. B. Produktion oder Sandbox.
Umgebung zurücksetzen Eine Sandboxumgebung wurde zurückgesetzt.
Aktualisierte Umgebung Eine Komponente einer Umgebung wurde auf eine neue Version aktualisiert.
Erneuerte CMK-Umgebung Der vom Kunden verwaltete Schlüssel (CMK) wurde in der Umgebung erneuert.
Rückgängig gemachte CMK-Umgebung Umgebung wurde aus der Unternehmensrichtlinie entfernt und die Verschlüsselung wurde auf den Microsoft-verwalteten Schlüssel zurückgesetzt.

Aktivitätskategorie: Aktivitäten zur Änderung von Umwelteigenschaften und Einstellungen

Jedes Aktivitätsereignis enthält eine Nutzlast an Metadaten, die für das einzelne Ereignis spezifisch sind. Die folgenden Umgebung-Eigenschafts- und Einstellungsaktivitäten werden an Microsoft Purview übermittelt.

Ereignis Beschreibung
Eigenschaft der Umgebung geändert Kommuniziert, wenn sich eine Eigenschaft in einer Umgebung geändert hat. Im Allgemeinen handelt es sich bei Eigenschaften um Metadaten (Namen), die einer Umgebung zugeordnet sind. Enthält Änderungen an:
  • Anzeigenname
  • Domänenname
  • Sicherheitsgruppen-ID
  • Verwaltungsmodus
  • Hintergrundvorgangsstatus

Aktivitätskategorie: Geschäftsmodell und Lizenzierung

Jedes Aktivitätsereignis enthält eine Nutzlast an Metadaten, die für das einzelne Ereignis spezifisch sind. Die folgenden Geschäftsmodell- und Lizenzierungsaktivitäten werden an Microsoft Purview geliefert.

Kategorie Ereignis Beschreibung
Abrechnungsrichtlinien BillingPolicyCreate Wird ausgegeben, wenn eine neue Abrechnungsrichtlinie erstellt wird.
Abrechnungsrichtlinien BillingPolicyDelete Wird ausgegeben, wenn eine Abrechnungsrichtlinie gelöscht wird.
Abrechnungsrichtlinien BillingPolicyUpdate Wird ausgegeben, wenn sich die mit einer Abrechnungsrichtlinie verknüpften Umgebungen ändern (hinzugefügt, entfernt).
ISV IsvContractConsent Wird ausgegeben, wenn ein Mandantenadministrator einem ISV-Vertrag zustimmt.
Automatische Lizenzinanspruchnahme AssignLicenseAutoClaim Wird ausgegeben, wenn einem Benutzer automatisch eine Lizenz über eine Richtlinie zur automatischen Inanspruchnahme zugewiesen wird.
Automatische Lizenzinanspruchnahme AssignLicenseAutoClaimPolicyCreate Wird ausgegeben, wenn eine neue Richtlinie zur automatischen Inanspruchnahme erstellt wird.
Währungen CurrencyEnvironmentAllocate Wird ausgegeben, wenn Währung (Add-On) einer Umgebung zugewiesen wird oder die Zuordnung aufgehoben wird.
Testversionen TrialConvertToProduction Wird ausgegeben, wenn ein Testversionsplan in einen Produktionsplan umgewandelt wird.
Testversionen TrialEnforce Wird ausgegeben, wenn ein Kunde versucht, Umgebungen über das Testversionslimit hinaus bereitzustellen.
Testversionen TrialProvision Wird ausgegeben, wenn ein neuer Testversionsplan bereitgestellt wird.
Testversionen TrialSignUpEligibilityCheck Wird vor der Testversionsbereitstellung ausgegeben, wenn eine Überprüfung zur Feststellung der Testversionsberechtigung durchgeführt wird.
Testversionen TrialViralConsent Wird ausgegeben, wenn ein Mandant seine vereinbarten Plantypen ändert, und spiegelt den neuen Status wider.
Testversionen AssignLicenseToUser Wird ausgegeben, wenn einem Benutzer eine Testlizenz zugewiesen wird.
Umgebungslebenszyklus EnvironmentDisabledByMiser Wird ausgegeben, wenn eine Umgebung aufgrund unzureichender Datenbankkapazität automatisch deaktiviert wird.

Aktivitätskategorie: Administratoraktionen

Jedes Aktivitätsereignis enthält eine Nutzlast an Metadaten, die für das einzelne Ereignis spezifisch sind. Die folgenden Verwaltungsaktivitäten werden an Microsoft Purview übermittelt.

Ereignis Beschreibung
Administratorrolle anwenden Wird ausgegeben, wenn ein Mandantenadministrator die Systemadministratorrolle in Dataverse in der Umgebung angefordert hat.

Aktivitätskategorie: Lockbox-Vorgänge

Alle Lockbox-Aktivitäten befinden sich unter der Aktivität LockboxRequestOperation. Jedes Aktivitätsereignis enthält eine Ladung an Metadaten mit den folgenden Eigenschaften, wenn die Lockbox-Anforderung erstellt oder aktualisiert wird:

  • Lockbox-Anforderungs-ID
  • Lockbox-Anforderungsstatus
  • Lockbox-Supportticket-ID
  • Lockbox-Anforderungsablaufzeit.
  • Dauer des Lockbox-Datenzugriffs
  • Umgebungs-ID
  • Benutzender, der den Vorgang ausgeführt hat (wenn die Lockbox-Anforderung erstellt wird)
Die folgenden Ereignisse werden an Microsoft Purview übermittelt.

Kategorie Ereignis Beschreibung
Lockbox-Anforderung erstellen LockboxRequestOperation Wird ausgegeben, wenn eine Lockbox-Anforderung erstellt wird.
Lockbox-Anforderung aktualisieren LockboxRequestOperation Wird ausgegeben, wenn eine Lockbox-Anforderung genehmigt oder abgelehnt wird.
Lockbox-Anforderungszugriff beendet LockboxRequestOperation Wird ausgegeben, wenn eine Lockbox-Anforderung abgelaufen ist oder der Zugriff beendet wurde.

Hier ist ein Beispiel für die Ladung an Metadaten, die von einem der in der Tabelle aufgeführten Ereignisse erwartet werden kann.

[
    {
        "Name": "powerplatform.analytics.resource.tenant.lockbox.data_access.duration",
        "Value": "8"
    },
    {
        "Name": "powerplatform.analytics.resource.tenant.lockbox.support_ticket.id",
        "Value": "MSFT initiated"
    },
    {
        "Name": "powerplatform.analytics.resource.tenant.lockbox.request.state",
        "Value": "Created"
    },
    {
        "Name": "powerplatform.analytics.resource.tenant.lockbox.request.expiration_time",
        "Value": "6/1/2024 11:59:15 PM +00:00"
    },
    {
        "Name": "powerplatform.analytics.resource.tenant.lockbox.request.id",
        "Value": "dfdead68-3263-4c05-9e8a-5b61ddb5878c"
    },
    {
        "Name": "version",
        "Value": "1.0"
    },
    {
        "Name": "type",
        "Value": "PowerPlatformAdministratorActivityRecord"
    },
    {
        "Name": "powerplatform.analytics.activity.name",
        "Value": "LockboxRequestOperation"
    },
    {
        "Name": "powerplatform.analytics.activity.id",
        "Value": "cb18351c-fa1c-4f34-a6d9-f8cb91636009"
    },
    {
        "Name": "powerplatform.analytics.resource.environment.id",
        "Value": "ed92c80e-89ef-e0c8-a9eb-98559ca07809"
    },
    {
        "Name": "enduser.id",
        "Value": ""
    },
    {
        "Name": "enduser.principal_name",
        "Value": "Test user"
    },
    {
        "Name": "enduser.role",
        "Value": "Admin"
    },
    {
        "Name": "powerplatform.analytics.resource.tenant.id",
        "Value": "3a568f62-11ff-4e89-bee8-4d47041b0003"
    }
]

Aktivitätskategorie: Datenschutz-Ereignisse

Anmerkung

Die Aktivitätsprotokollierung für Datenrichtlinien ist derzeit in Sovereign Clouds nicht verfügbar.

Anmerkung

Derzeit können Benutzer mit einer E5-Lizenz diese Prüfereignisse anzeigen.

Alle Datenrichtlinienereignisse werden unter der Aktivität GovernanceApiPolicyOperation angezeigt. Jedes Aktivitätsereignis enthält eine Eigenschaftensammlung, die die folgenden Eigenschaften ausgibt:

  • Vorgangsname
  • Richtlinien-ID
  • Richtlinie Anzeigename
  • Zusätzliche Ressourcen (falls zutreffend)
Die folgenden Datenschutzereignisse werden an Microsoft Purview übermittelt.

Kategorie Beschreibung
DLP-Richtlinie erstellen Wird ausgegeben, wenn eine neue Datenrichtlinie erstellt wird.
DLP-Richtlinie aktualisieren Wird ausgegeben, wenn eine Datenrichtlinie aktualisiert wird.
DLP-Richtlinie löschen Wird ausgegeben, wenn eine Datenrichtlinie gelöscht wird.
Erstellen Sie benutzerdefinierte Konnektormuster Wird ausgegeben, wenn ein neues benutzerdefiniertes Connector-URL-Muster erstellt wird.
Aktualisieren benutzerdefinierter Connectormuster Wird ausgegeben, wenn ein benutzerdefiniertes Connector-URL-Muster aktualisiert wird.
Benutzerdefinierte Konnektormuster löschen Wird ausgegeben, wenn ein benutzerdefiniertes Connector-URL-Muster gelöscht wird.
Connector-Konfigurationen erstellen Wird ausgegeben, wenn eine Connector-Konfiguration für die Datenrichtlinie erstellt wird.
Connector-Konfigurationen aktualisieren Wird ausgegeben, wenn eine Connector-Konfiguration für die Datenrichtlinie aktualisiert wird.
Connector-Konfigurationen löschen Wird ausgegeben, wenn eine Connector-Konfiguration für die Datenrichtlinie gelöscht wird.
Richtlinienbereich erstellen Wird ausgegeben, wenn ein neuer Richtlinienbereich erstellt wird.
Geltungsbereich der Updaterichtlinie Wird ausgegeben, wenn ein Richtlinienbereich aktualisiert wird.
Richtlinienbereich löschen Wird ausgegeben, wenn ein Richtlinienbereich gelöscht wird.
Ausgenommene Ressourcen erstellen Wird ausgegeben, wenn eine Liste mit ausgenommenen Ressourcen für die Datenrichtlinie erstellt wird.
Ausgenommene Ressourcen aktualisieren Wird ausgegeben, wenn eine Liste ausgenommener Ressourcen für die Datenrichtlinie aktualisiert wird.
Ausgenommene Ressourcen löschen Wird ausgegeben, wenn eine Liste ausgenommener Ressourcen für die Datenrichtlinie gelöscht wird.
Erstellen einer Connector-Blockierungsrichtlinie Wird ausgegeben, wenn eine neue Connector-Blockierungsrichtlinie erstellt wird.
Connector-Blockierungsrichtlinie aktualisieren Wird ausgegeben, wenn die Connector-Blockierungsrichtlinie aktualisiert wird.
Connector-Blockierungsrichtlinie löschen Wird ausgegeben, wenn die Connector-Blockierungsrichtlinie gelöscht wird.

Hier ist ein Beispiel für die Nutzlast an Metadaten, die von einem der Ereignisse in der Tabelle erwartet werden kann.

[
    {
        "Name": "powerplatform.analytics.resource.tenant.governance.api_policy.additional_resources",
        "Value": "<<json>>"
    },
    {
        "Name": "powerplatform.analytics.resource.display_name",
        "Value": "ConnectorBlockingPolicy"
    },
    {
        "Name": "powerplatform.analytics.resource.tenant.governance.api_policy.operation_result",
        "Value": "True"
    },
    {
        "Name": "powerplatform.analytics.resource.id",
        "Value": "ConnectorBlockingPolicy"
    },
    {
        "Name": "powerplatform.analytics.resource.type",
        "Value": "ApiPolicy"
    },
    {
        "Name": "powerplatform.analytics.resource.tenant.governance.api_policy.operation_name",
        "Value": "DeleteDlpPolicy"
    },
    {
        "Name": "version",
        "Value": "1.0"
    },
    {
        "Name": "type",
        "Value": "PowerPlatformAdministratorActivityRecord"
    },
    {
        "Name": "powerplatform.analytics.activity.name",
        "Value": "GovernanceApiPolicyOperation"
    },
    {
        "Name": "powerplatform.analytics.activity.id",
        "Value": "99ac5d50-a0f4-4878-8ff4-e02b7da3a510"
    },
    {
        "Name": "enduser.id",
        "Value": "888c1bf5-3127-4c8c-84ee-b6a9c684e315"
    },
    {
        "Name": "enduser.principal_name",
        "Value": admin@contosotest.onmicrosoft.com
    },
    {
        "Name": "enduser.role",
        "Value": "Admin"
    },
    {
        "Name": "powerplatform.analytics.resource.tenant.id",
        "Value": "ce65293a-e07d-4638-9dfa-79483fcd5136"
    }
]

Aktivitäten in Microsoft Purview anzeigen

Wenn die Überwachungsprotokollsuche im Microsoft Purview-Compliance-Portal aktiviert ist, wird die Administratoraktivität Ihrer Organisation im Microsoft Purview-Überwachungsprotokoll aufgezeichnet.

Für die Suche nach Ereignissen in Microsoft Purview stehen Ihnen mehrere Methoden zur Verfügung.

Microsoft Purview-Suchüberwachungsseite

Verwenden Sie die wilde Karte-Suche nach Kontextinformationen in der Microsoft Purview-Benutzererfahrung.

Grenzen Sie Suchkonstrukte ein, die für einzelne Ereignisse spezifisch sind.

Filtern von Datensatztypen in der Microsoft Purview-Auditsuche

Während Sie suchen, werden einzelne Aktivitäten angezeigt. Es wird ein gemeinsames Schema erzwungen, um Suchkonstrukte über Aktivitäten hinweg zu ermöglichen. Der Wert im Feld PropertyCollection ist für jeden Aktivitätstyp spezifisch.

Weitere Informationen zum Microsoft Purview-Überwachungsprotokoll, zu den Richtlinien zur Datenaufbewahrung und zu den Funktionen finden Sie unter Überwachungslösungen in Microsoft Purview.

Siehe auch