Configurer un connecteur pour importer des données d’audit Epic EHR (préversion)

Vous pouvez configurer un connecteur de données pour importer des enregistrements d’audit pour l’activité des utilisateurs dans le système Epic Electronic Healthcare Records (EHR) de votre organization. Les enregistrements d’audit de votre système Epic EHR incluent des enregistrements pour les événements liés à l’accès aux dossiers médicaux d’un patient. Les enregistrements d’audit epic EHR peuvent être utilisés par la solution de gestion des risques internes Microsoft Purview pour protéger vos organization contre tout accès non autorisé aux informations des patients.

La configuration d’un connecteur Epic comprend les tâches suivantes :

• La création d’une application dans Microsoft Entra ID pour accéder à un point de terminaison d’API qui accepte un fichier texte séparé par des tabulations contenant des enregistrements d’audit Epic EHR.

• Création d’un fichier texte avec tous les champs obligatoires tels que définis dans le schéma du connecteur.

• La création d’un connecteur Epic instance dans le portail Microsoft Purview ou dans le portail de conformité Microsoft Purview.

• Exécution d’un script pour envoyer (push) des enregistrements d’audit Epic EHR au point de terminaison d’API.

• Si vous le souhaitez, planifiez l’exécution automatique du script pour importer des enregistrements d’audit.

Si vous souhaitez participer à la préversion, contactez l’équipe à l’adresse dcfeedback@microsoft.com.

Conseil

Si vous n’êtes pas un client E5, utilisez la version d’évaluation de 90 jours des solutions Microsoft Purview pour découvrir comment des fonctionnalités Supplémentaires purview peuvent aider vos organization à gérer les besoins en matière de sécurité et de conformité des données. Commencez dès maintenant au hub d’essais portail de conformité Microsoft Purview. En savoir plus sur les conditions d’inscription et d’essai.

Avant de configurer le connecteur

• L’utilisateur qui crée le connecteur Epic à l’étape 3 doit se voir attribuer le rôle de Administration connecteur de données. Ce rôle est nécessaire pour ajouter des connecteurs sur la page Connecteurs de données du portail Microsoft Purview ou du portail de conformité. Ce rôle est ajouté par défaut à plusieurs groupes de rôles. Pour obtenir la liste de ces groupes de rôles, consultez Rôles dans Microsoft Defender pour Office 365 et Conformité Microsoft Purview. Un administrateur de votre organization peut également créer un groupe de rôles personnalisé, attribuer le rôle de Administration connecteur de données, puis ajouter les utilisateurs appropriés en tant que membres. Pour plus d’informations, voir :

  • Autorisations dans le portail Microsoft Purview
  • Autorisations dans le portail de conformité
  • Rôles et groupes de rôles dans la conformité Microsoft Defender pour Office 365 et Microsoft Purview

• Vous devez déterminer comment récupérer ou exporter les données à partir du système epic EHR de votre organization (sur une base quotidienne) et créer un fichier texte décrit à l’étape 2. Le script que vous exécutez à l’étape 4 envoie les données du fichier texte au point de terminaison de l’API.

• L’exemple de script que vous exécutez à l’étape 4 envoie (push) les enregistrements d’audit Epic EHR du fichier texte à l’API du connecteur afin qu’il puisse être utilisé par la solution de gestion des risques internes. Cet exemple de script n’est pris en charge dans aucun programme ou service de support standard Microsoft. L’exemple de script est fourni tel quel, sans garantie d’aucune sorte. Microsoft Corporation décline aussi toute garantie implicite, y compris et sans limitation, les garanties implicites de qualité marchande ou d’adéquation à un usage particulier. La totalité des risques découlant de l’utilisation ou de la performance de l’exemple de script et de la documentation repose sur vous. En aucun cas Microsoft, ses auteurs ou quiconque impliqué dans la création, la production ou la livraison des scripts ne sera responsable de tous dommages quels qu’ils soient (y compris, sans limitation, les dommages pour perte de profits, interruption d’activité, perte d’informations commerciales ou toute autre perte pécuniaire) découlant de l’utilisation ou de l’impossibilité d’utiliser les exemples de scripts ou la documentation, même si Microsoft a été informé de la possibilité de tels dommages.

Étape 1 : Créer une application dans Microsoft Entra ID

La première étape consiste à créer et inscrire une application dans Microsoft Entra ID. L’application correspond au connecteur Epic que vous créez à l’étape 3. La création de cette application permet Microsoft Entra ID d’authentifier la demande Push pour le fichier texte contenant des enregistrements d’audit Epic EHR. Lors de la création de cette application Microsoft Entra, veillez à enregistrer les informations suivantes. Ces valeurs seront utilisées dans les étapes ultérieures.

• Microsoft Entra’ID d’application (également appelé ID d’application ou ID client)
• Microsoft Entra secret d’application (également appelé secret client)
• ID de locataire (également appelé ID d’annuaire)

Pour obtenir des instructions pas à pas sur la création d’une application dans Microsoft Entra ID, consultez Inscrire une application auprès du Plateforme d'identités Microsoft.

Étape 2 : Préparer un fichier texte avec des enregistrements d’audit Epic EHR

L’étape suivante consiste à créer un fichier texte qui contient des informations sur l’accès des employés aux dossiers médicaux des patients dans le système Epic EHR de votre organization. Comme expliqué précédemment, vous devez déterminer comment générer ce fichier texte à partir de votre système Epic EHR. Le flux de travail du connecteur Epic nécessite un fichier texte avec des valeurs séparées par des tabulations pour mapper ces données dans le fichier texte avec le schéma de connecteur requis. Le format de fichier pris en charge est un fichier .txt séparé par des barres verticales ou des onglets.

Remarque

La taille maximale du fichier texte qui contient les données d’audit est de 3 Go. Le nombre maximal de lignes est de 5 millions. Veillez également à inclure uniquement les données d’audit pertinentes de votre système de DSE de santé.

Le tableau suivant répertorie les champs requis pour activer les scénarios de gestion des risques internes. Un sous-ensemble de ces champs est obligatoire. Ces champs sont mis en surbrillance avec un astérisque (*). Si l’un des champs obligatoires est manquant dans le fichier texte, le fichier ne sera pas validé et les données du fichier ne seront pas importées.

Field	Catégorie
ACCESS_LOG. ACCESS_TIME* ACCESS_LOG_METRIC. METRIC_NAME* ACCESS_LOG. WORKSTATION_ID ZC_METRIC_GROUP.NAME ZC_ACCESS_ACTION.NAME	Ces champs sont utilisés pour identifier les événements d’activité d’accès dans votre système Epic EHR.
PATIENT. PAT_MRN_ID PATIENT. PAT_FIRST_NAME* PATIENT. PAT_MIDDLE_NAME PATIENT. PAT_LAST_NAME* PATIENT. ADD_LINE_1* PATIENT. ADD_LINE_2 PATIENT. VILLE* PATIENT.ZIP* ZC_STATE.NAME ZC_COUNTRY.NAME CLARITY_DEP. DEPARTMENT_NAME	Ces champs sont utilisés pour identifier les informations de profil des patients.
ZC_BTG_REASON.NAME* PAT_BTG_AUDIT. BTG_EXPLANATION	Ces champs sont utilisés pour identifier l’accès aux enregistrements restreints.
EMP. SYSTEM_LOGIN* CLARITY_EMP. USER_ID employee_last_name1 employee_first_name1	Ces champs sont utilisés pour identifier les informations de profil de l’employé pour les correspondances d’adresse et de nom requises pour déterminer l’accès aux enregistrements famille/voisin/employé.

Remarque

Vérifiez que vous exportez uniquement les métriques de journal pertinentes à partir d’Epic. ¹Ce champ n’est pas disponible par défaut dans Epic. Vous devez configurer l’exportation pour vous assurer que le fichier texte contient ce champ.

Étape 3 : Créer le connecteur Epic

L’étape suivante consiste à créer un connecteur Epic dans le portail Microsoft Purview ou le portail de conformité. Après avoir exécuté le script à l’étape 4, le fichier texte que vous avez créé à l’étape 2 est traité et envoyé au point de terminaison d’API que vous avez configuré à l’étape 1. Dans cette étape, veillez à copier le JobId généré lorsque vous créez le connecteur. Vous utiliserez le JobId lorsque vous exécuterez le script.

Sélectionnez l’onglet approprié pour le portail que vous utilisez. Pour en savoir plus sur le portail Microsoft Purview, consultez Portail Microsoft Purview. Pour en savoir plus sur le portail de conformité, consultez portail de conformité Microsoft Purview.

Portail Microsoft Purview

1. Connectez-vous au portail Microsoft Purview.

2. Sélectionnez Paramètres Connecteurs>de données.

3. Sélectionnez Mes connecteurs, puis Ajouter un connecteur.

4. Dans la liste, choisissez Connecteur Epic.

5. Dans la page Configurer la connexion , procédez comme suit, puis sélectionnez Suivant :

   1. Tapez ou collez l’ID d’application Microsoft Entra de l’application Azure que vous avez créée à l’étape 2.
   2. Tapez un nom pour le connecteur Epic.

6. Dans la page Révision , passez en revue vos paramètres, puis sélectionnez Terminer pour créer le connecteur.

   Une page status qui confirme que le connecteur a été créé s’affiche. Cette page contient deux éléments importants dont vous avez besoin pour effectuer l’étape suivante pour exécuter l’exemple de script afin de charger vos données d’enregistrements d’audit Epic EHR.

   Page de révision avec l’ID de travail et le lien vers GitHub pour l’exemple de script

   1. ID du travail. Vous aurez besoin de cet ID de travail pour exécuter le script à l’étape suivante. Vous pouvez le copier à partir de cette page ou à partir de la page de menu volant du connecteur.
   2. Schéma de référence. Reportez-vous au schéma pour comprendre quels champs de votre système Epic sont acceptés par le connecteur. Cela vous aidera à créer un fichier avec tous les champs de base de données Epic requis.
   3. Lien vers l’exemple de script. Sélectionnez le lien ici pour accéder au site GitHub afin d’accéder à l’exemple de script (le lien ouvre une nouvelle fenêtre). Gardez cette fenêtre ouverte afin de pouvoir copier le script à l’étape 4. Vous pouvez également ajouter un signet à la destination ou copier l’URL pour y accéder à nouveau lorsque vous exécutez le script. Ce lien est également disponible sur la page de menu volant du connecteur.

7. Sélectionnez Terminé.

   Le nouveau connecteur s’affiche dans la liste sous l’onglet Connecteurs .

8. Sélectionnez le connecteur Epic que vous venez de créer pour afficher la page de menu volant, qui contient des propriétés et d’autres informations sur le connecteur.

Si vous ne l’avez pas déjà fait, vous pouvez copier les valeurs de l’ID Azure App et de l’ID de travail du connecteur. Vous en aurez besoin pour exécuter le script à l’étape suivante. Vous pouvez également télécharger le script à partir de la page de menu volant (ou le télécharger à l’aide du lien à l’étape suivante).)

Vous pouvez également sélectionner Modifier pour modifier l’ID Azure App ou les noms d’en-têtes de colonne que vous avez définis dans la page Mappage de fichiers.

Portail de conformité

1. Accédez à https://compliance.microsoft.com , puis sélectionnez Connecteurs de données dans la navigation de gauche.

2. Dans la page Connecteurs de données sous Connecteur Epic, sélectionnez Afficher.

3. Dans la page Connecteur Epic , sélectionnez Ajouter un connecteur.

4. Dans la page Configurer la connexion , procédez comme suit, puis sélectionnez Suivant :

   1. Tapez ou collez l’ID d’application Microsoft Entra de l’application Azure que vous avez créée à l’étape 2.
   2. Tapez un nom pour le connecteur Epic.

5. Dans la page Révision , passez en revue vos paramètres, puis sélectionnez Terminer pour créer le connecteur.

   Une page status qui confirme que le connecteur a été créé s’affiche. Cette page contient deux éléments importants dont vous avez besoin pour effectuer l’étape suivante pour exécuter l’exemple de script afin de charger vos données d’enregistrements d’audit Epic EHR.

   Page de révision avec l’ID de travail et le lien vers GitHub pour l’exemple de script

   1. ID du travail. Vous aurez besoin de cet ID de travail pour exécuter le script à l’étape suivante. Vous pouvez le copier à partir de cette page ou à partir de la page de menu volant du connecteur.
   2. Schéma de référence. Reportez-vous au schéma pour comprendre quels champs de votre système Epic sont acceptés par le connecteur. Cela vous aidera à créer un fichier avec tous les champs de base de données Epic requis.
   3. Lien vers l’exemple de script. Sélectionnez le lien ici pour accéder au site GitHub afin d’accéder à l’exemple de script (le lien ouvre une nouvelle fenêtre). Gardez cette fenêtre ouverte afin de pouvoir copier le script à l’étape 4. Vous pouvez également ajouter un signet à la destination ou copier l’URL pour y accéder à nouveau lorsque vous exécutez le script. Ce lien est également disponible sur la page de menu volant du connecteur.

6. Sélectionnez Terminé.

   Le nouveau connecteur s’affiche dans la liste sous l’onglet Connecteurs .

7. Sélectionnez le connecteur Epic que vous venez de créer pour afficher la page de menu volant, qui contient des propriétés et d’autres informations sur le connecteur.

Si vous ne l’avez pas déjà fait, vous pouvez copier les valeurs de l’ID Azure App et de l’ID de travail du connecteur. Vous en aurez besoin pour exécuter le script à l’étape suivante. Vous pouvez également télécharger le script à partir de la page de menu volant (ou le télécharger à l’aide du lien à l’étape suivante).)

Vous pouvez également sélectionner Modifier pour modifier l’ID Azure App ou les noms d’en-têtes de colonne que vous avez définis dans la page Mappage de fichiers.

Étape 4 : Exécuter l’exemple de script pour charger vos enregistrements d’audit Epic EHR

La dernière étape de la configuration d’un connecteur Epic consiste à exécuter un exemple de script qui charge les données des enregistrements d’audit Epic EHR dans le fichier texte (que vous avez créé à l’étape 1) dans le cloud Microsoft. Plus précisément, le script charge les données sur le connecteur Epic. Après avoir exécuté le script, le connecteur Epic que vous avez créé à l’étape 3 importe les données des enregistrements d’audit Epic EHR dans votre organization Microsoft 365, où ils sont accessibles par d’autres outils de conformité, tels que la solution de gestion des risques internes. Après avoir exécuté le script, envisagez de planifier une tâche pour l’exécuter automatiquement quotidiennement afin que les données d’arrêt des employés les plus actuelles soient chargées dans le cloud Microsoft. Consultez (Facultatif) Étape 6 : Planifier l’exécution automatique du script.

Remarque

Comme indiqué précédemment, la taille maximale du fichier texte qui contient les données d’audit est de 3 Go. Le nombre maximal de lignes est de 5 millions. Le script que vous exécutez dans cette étape prend environ 30 à 40 minutes pour importer les données d’audit à partir de fichiers texte volumineux. En outre, le script divise les fichiers texte volumineux en blocs plus petits de 100 000 lignes, puis importe ces blocs séquentiellement.

1. Accédez à la fenêtre que vous avez laissée ouverte à l’étape précédente pour accéder au site GitHub avec l’exemple de script. Vous pouvez également ouvrir le site avec signet ou utiliser l’URL que vous avez copiée. Vous pouvez également accéder au script ici.

2. Sélectionnez le bouton Brut pour afficher le script en mode texte.

3. Copiez toutes les lignes de l’exemple de script, puis enregistrez-les dans un fichier texte.

4. Modifiez l’exemple de script pour votre organization, si nécessaire.

5. Enregistrez le fichier texte en tant que fichier de script Windows PowerShell en utilisant un suffixe de nom de fichier de .ps1; par exemple, EpicConnector.ps1.

6. Ouvrez une invite de commandes sur votre ordinateur local, puis accédez au répertoire où vous avez enregistré le script.

7. Exécutez la commande suivante pour charger les données d’audit Epic dans le fichier texte dans le cloud Microsoft . par exemple :

   .\EpicConnector.ps1 -tenantId <tenantId> -appId <appId>  -appSecret <appSecret>  -jobId <jobId>  -filePath '<filePath>'
   

Le tableau suivant décrit les paramètres à utiliser avec ce script et leurs valeurs requises. Les informations que vous avez obtenues dans les étapes précédentes sont utilisées dans les valeurs de ces paramètres.

Paramètre	Description
tenantId	Il s’agit de l’ID de votre organization Microsoft 365 que vous avez obtenu à l’étape 1. Vous pouvez également obtenir l’ID de locataire de votre organization dans le panneau Vue d’ensemble du centre d'administration Microsoft Entra. Cela permet d’identifier vos organization.
appId	Il s’agit de l’ID d’application Microsoft Entra de l’application que vous avez créée dans Microsoft Entra ID à l’étape 1. Il est utilisé par Microsoft Entra ID pour l’authentification lorsque le script tente d’accéder à votre organization Microsoft 365.
appSecret	Il s’agit du secret d’application Microsoft Entra pour l’application que vous avez créée dans Microsoft Entra ID à l’étape 1. Il est également utilisé pour l’authentification.
jobId	Il s’agit de l’ID de travail pour le connecteur Epic que vous avez créé à l’étape 3. Il permet d’associer les enregistrements d’audit Epic EHR chargés dans le cloud Microsoft au connecteur Epic.
Filepath	Il s’agit du chemin d’accès du fichier texte (stocké sur le même système que le script) que vous avez créé à l’étape 2. Essayez d’éviter les espaces dans le chemin d’accès au fichier ; sinon, utilisez des guillemets simples.

Voici un exemple de syntaxe pour le script de connecteur Epic utilisant des valeurs réelles pour chaque paramètre :

.\EpicConnector.ps1 -tenantId d5723623-11cf-4e2e-b5a5-01d1506273g9 -appId 29ee526e-f9a7-4e98-a682-67f41bfd643e -appSecret MNubVGbcQDkGCnn -jobId b8be4a7d-e338-43eb-a69e-c513cd458eba -filePath 'C:\Users\contosoadmin\Desktop\Data\epic_audit_records.txt'

Si le chargement réussit, le script affiche le message Chargement réussi .

Remarque

Si vous rencontrez des problèmes lors de l’exécution de la commande précédente en raison de stratégies d’exécution, consultez À propos des stratégiesd’exécution et Set-ExecutionPolicy pour obtenir des conseils sur la définition des stratégies d’exécution.

Étape 5 : Surveiller le connecteur Epic

Après avoir créé le connecteur Epic et envoyé (push) vos enregistrements d’audit EHR, vous pouvez afficher le connecteur et charger status dans le portail Microsoft Purview ou le portail de conformité. Si vous planifiez l’exécution automatique du script régulièrement, vous pouvez également afficher le status actuel après la dernière exécution du script.

Sélectionnez l’onglet approprié pour le portail que vous utilisez. Pour en savoir plus sur le portail Microsoft Purview, consultez Portail Microsoft Purview. Pour en savoir plus sur le portail de conformité, consultez portail de conformité Microsoft Purview.

Portail Microsoft Purview

1. Connectez-vous au portail Microsoft Purview.

2. Sélectionnez Paramètres Connecteurs>de données.

3. Sélectionnez Mes connecteurs, puis choisissez le connecteur Epic que vous avez créé pour afficher la page de menu volant. Cette page contient les propriétés et les informations relatives au connecteur.

4. Sous Dernière importation, sélectionnez le lien Télécharger le journal pour ouvrir (ou enregistrer) le journal status pour le connecteur. Ce journal contient des informations sur chaque fois que le script s’exécute et charge les données du fichier texte dans le cloud Microsoft.

   Le fichier journal du connecteur Epic affiche les lignes numériques du fichier texte qui ont été chargées

   Le RecordsSaved champ indique le nombre de lignes dans le fichier texte chargé. Par exemple, si le fichier texte contient quatre lignes, la valeur des RecordsSaved champs est 4, si le script a correctement chargé toutes les lignes du fichier texte.

Si vous n’avez pas exécuté le script à l’étape 4, un lien pour télécharger le script s’affiche sous Dernière importation. Vous pouvez télécharger le script, puis suivre les étapes pour exécuter le script.

Portail de conformité

1. Accédez à https://compliance.microsoft.com et sélectionnez Connecteurs de données dans la navigation de gauche.

2. Sélectionnez l’onglet Connecteurs , puis sélectionnez le connecteur Epic pour afficher la page de menu volant. Cette page contient les propriétés et les informations relatives au connecteur.

3. Sous Dernière importation, sélectionnez le lien Télécharger le journal pour ouvrir (ou enregistrer) le journal status pour le connecteur. Ce journal contient des informations sur chaque fois que le script s’exécute et charge les données du fichier texte dans le cloud Microsoft.

   Le fichier journal du connecteur Epic affiche les lignes numériques du fichier texte qui ont été chargées

   Le RecordsSaved champ indique le nombre de lignes dans le fichier texte chargé. Par exemple, si le fichier texte contient quatre lignes, la valeur des RecordsSaved champs est 4, si le script a correctement chargé toutes les lignes du fichier texte.

Si vous n’avez pas exécuté le script à l’étape 4, un lien pour télécharger le script s’affiche sous Dernière importation. Vous pouvez télécharger le script, puis suivre les étapes pour exécuter le script.

(Facultatif) Étape 6 : Planifier l’exécution automatique du script

Pour vous assurer que les derniers enregistrements d’audit de votre système Epic EHR sont disponibles pour des outils tels que la solution de gestion des risques internes, nous vous recommandons de planifier l’exécution automatique du script quotidiennement. Cela nécessite également que vous mettez à jour les données d’enregistrement d’audit Epic dans le même fichier texte selon une planification similaire (sinon identique) afin qu’elle contienne les dernières informations sur les activités d’accès aux dossiers des patients par vos employés. L’objectif est de charger les enregistrements d’audit les plus actuels afin que le connecteur Epic puisse les mettre à la disposition de la solution de gestion des risques internes.

Vous pouvez utiliser l’application Planificateur de tâches dans Windows pour exécuter automatiquement le script tous les jours.

1. Sur votre ordinateur local, sélectionnez le bouton Démarrer de Windows, puis tapez Planificateur de tâches.

2. Sélectionnez l’application Planificateur de tâches pour l’ouvrir.

3. Dans la section Actions , sélectionnez Créer une tâche.

4. Sous l’onglet Général , tapez un nom descriptif pour la tâche planifiée. par exemple, script de connecteur Epic. Vous pouvez également ajouter une description facultative.

5. Sous Options de sécurité, procédez comme suit :

   1. Déterminez s’il faut exécuter le script uniquement lorsque vous êtes connecté à l’ordinateur ou l’exécuter lorsque vous êtes connecté ou non.
   2. Vérifiez que la case Exécuter avec les privilèges les plus élevés est cochée.

6. Sélectionnez l’onglet Déclencheurs , sélectionnez Nouveau, puis procédez comme suit :

   1. Sous Paramètres, sélectionnez l’option Quotidien , puis choisissez une date et une heure pour exécuter le script pour la première fois. Le script s’exécute tous les jours à la même heure spécifiée.
   2. Sous Paramètres avancés, vérifiez que la case Activé est cochée .
   3. Sélectionnez OK.

7. Sélectionnez l’onglet Actions , sélectionnez Nouveau, puis procédez comme suit :

   

   1. Dans la liste déroulante Action , vérifiez que l’option Démarrer un programme est sélectionnée.
   2. Dans la zone Programme/script , sélectionnez Parcourir, puis accédez à l’emplacement suivant et sélectionnez-le afin que le chemin d’accès s’affiche dans la zone : C:.0.exe.
   3. Dans la zone Ajouter des arguments (facultatif), collez la même commande de script que celle que vous avez exécutée à l’étape 4. Par exemple, .\EpicConnector.ps1 -tenantId "d5723623-11cf-4e2e-b5a5-01d1506273g9" -appId "c12823b7-b55a-4989-faba-02de41bb97c3" -appSecret "MNubVGbcQDkGCnn" -jobId "e081f4f4-3831-48d6-7bb3-fcfab1581458" -filePath "C:\Epic\audit\records.txt"
   4. Dans la zone Démarrer dans (facultatif), collez l’emplacement du dossier du script que vous avez exécuté à l’étape 4. Par exemple, C :\Epic\audit.
   5. Sélectionnez OK pour enregistrer les paramètres de la nouvelle action.

8. Dans la fenêtre Créer une tâche , sélectionnez OK pour enregistrer la tâche planifiée. Vous serez peut-être invité à entrer les informations d’identification de votre compte d’utilisateur.

   La nouvelle tâche s’affiche dans la bibliothèque du planificateur de tâches.

   

   La dernière fois que le script a été exécuté et la prochaine fois qu’il est planifié pour s’exécuter sont affichés. Vous pouvez double-sélectionner la tâche pour la modifier.

   Vous pouvez également vérifier la dernière fois que le script a été exécuté sur la page volante du connecteur Epic correspondant dans le centre de conformité.