Exibir logs administrativos do Power Platform usando soluções de auditoria no Microsoft Purview
A administração de produtos e serviços do Power Platform pode afetar vários recursos, como configurações e operações de ambiente, políticas de dados e configurações relacionadas à integração. É importante auditar essas ações que ajudam a mitigar falhas, ajudam a conter sistemas de restrições de segurança, a aderir aos requisitos de conformidade e a atuar sobre ameaças à segurança.
Neste artigo, você aprende sobre atividades que são executadas em ambientes do Power Platform por aqueles que têm acesso administrativo em experiências de usuário e interfaces programáveis usando o portal de conformidade do Microsoft Purview. As atividades se enquadram nas seguintes categorias:
- Operações do ciclo de vida do ambiente
- Propriedade do ambiente e atividades de alteração de configuração
Importante
- As atividades administrativas para ambientes do Power Platform são habilitadas por padrão em todos os locatários. Você não pode desativar a coleta de atividades.
- Pelo menos um usuário com uma licença do Microsoft 365 E5 ou superior atribuída, conforme exigido pelo Microsoft Purview. Mais informações: Auditando soluções no Microsoft Purview
As atividades de auditoria incluem ações realizadas por Power Platform administradores, administradores do Dynamics 365, membros da função Administrador do Sistema (para Power Platform ambientes com Dataverse), o criador ou proprietário do ambiente (para Power Platform ambientes sem Dataverse) e usuários personificados que mapeiam para qualquer uma dessas funções.
Cada evento de atividade consiste em um esquema comum definido em Esquema da API da Atividade de Gerenciamento do Office 365. O esquema define o payload de metadados exclusivo para cada atividade.
Categoria de atividade: Operações do ciclo de vida do ambiente
Cada evento de atividade contém um conteúdo de metadados específico para o evento individual. As atividades da operação do ciclo de vida do ambiente a seguir são entregues ao Microsoft Purview.
| Evento | Descrição |
|---|---|
| Ambiente provisionado | O ambiente foi criado. |
| Ambiente excluído | O ambiente foi excluído. |
| Ambiente recuperado | Um ambiente que foi excluído em sete dias foi recuperado. |
| Ambiente excluído permanentemente | O ambiente foi excluído permanentemente. |
| Ambiente movido | O ambiente foi movido para um locatário diferente. |
| Ambiente copiado | O ambiente, incluindo atributos específicos como dados de aplicativos, usuários, customizações e esquemas foram copiados. |
| Ambiente com backup | O ambiente que foi submetido ao backup. |
| Ambiente restaurado | O ambiente foi restaurado a partir de um backup. |
| Tipo de ambiente convertido | O ambiente foi convertido para um tipo de ambiente diferente, como produção ou área restrita. |
| Redefinir ambiente | Um ambiente de área restrita foi redefinido. |
| Ambiente atualizado | Um componente de um ambiente foi atualizado para uma nova versão. |
| CMK-Ambiente renovado | A chave gerenciada pelo cliente (CMK) foi renovada no ambiente. |
| CMK-Ambiente revertido | O ambiente foi removido da política corporativa e a criptografia foi retornada para a chave gerenciada pela Microsoft. |
Categoria da atividade: propriedade do ambiente e atividades de alteração de configuração
Cada evento de atividade contém um conteúdo de metadados específico para o evento individual. As atividades da propriedade e configuração do ambiente a seguir são entregues ao Microsoft Purview.
| Evento | Descrição |
|---|---|
| Propriedade alterada no ambiente | Comunica quando uma propriedade em um ambiente foi alterada. Em geral, propriedades são metadados (nomes) associados a um ambiente. Inclui alterações em:
|
Categoria da atividade: modelo de negócios e licenciamento
Cada evento de atividade contém um conteúdo de metadados específico para o evento individual. As atividades de modelo de negócios e licenciamento e a seguir são entregues ao Microsoft Purview.
| Categoria | Evento | Descrição |
|---|---|---|
| Política de Cobrança | BillingPolicyCreate | Emitido quando uma nova política de cobrança é criada. |
| Política de Cobrança | BillingPolicyDelete | Emitido quando uma nova política de cobrança é excluída. |
| Política de Cobrança | BillingPolicyUpdate | Emitido quando os ambientes vinculados a uma política de cobrança são alterados (adicionados, removidos). |
| ISV | IsvContractConsent | Emitido quando um administrador de locatário consente um contrato ISV. |
| Reivindicação automática de licença | AssignLicenseAutoClaim | Emitido quando uma licença é atribuída a um usuário automaticamente por meio de uma política de reivindicação automática. |
| Reivindicação automática de licença | AssignLicenseAutoClaimPolicyCreate | Emitido quando uma nova política de reivindicação automática é criada. |
| Moeda | CurrencyEnvironmentAllocate | Emitido quando a moeda (complemento) é alocada ou desalocada, para um ambiente. |
| Avaliações | TrialConvertToProduction | Emitido quando um plano de avaliação é convertido em um plano de produção. |
| Avaliações | TrialEnforce | Emitido quando um cliente tenta provisionar ambientes além do limite de avaliação. |
| Avaliações | TrialProvision | Emitido quando um novo plano de avaliação é provisionado. |
| Avaliações | TrialSignUpEligibilityCheck | Emitido antes do provisionamento da avaliação, quando ocorre uma verificação para determinar a elegibilidade da avaliação. |
| Avaliações | TrialViralConsent | Emitido quando um locatário altera seus tipos de plano consentidos e reflete o novo estado. |
| Avaliações | AssignLicenseToUser | Emitido quando uma licença de avaliação é atribuída a um usuário. |
| Ciclo de vida do ambiente | EnvironmentDisabledByMiser | Emitido quando um ambiente é desabilitado automaticamente devido à capacidade insuficiente do banco de dados. |
Categoria da atividade: ações do administrador
Cada evento de atividade contém um conteúdo de metadados específico para o evento individual. As atividades administrativas a seguir são entregues ao Microsoft Purview.
| Evento | Descrição |
|---|---|
| Aplicar Função de Administrador | Emitido quando um administrador de locatários solicitou a função de administrador do sistema no ambiente do Dataverse. |
Categoria da atividade: operações do sistema de proteção de dados
Todas as atividades do sistema de proteção de dados estão sob a atividade LockboxRequestOperation. Cada evento de atividade contém um conteúdo de metadados com as seguintes propriedades quando a solicitação do sistema de proteção de dados é criada ou atualizada:
- ID da solicitação do Sistema de Proteção de Dados
- Estado da solicitação do Sistema de Proteção de Dados
- ID do tíquete de suporte do Sistema de Proteção de Dados
- Hora de expiração da solicitação do Sistema de Proteção de Dados.
- Duração do acesso a dados do Sistema de Proteção de Dados
- ID do Ambiente
- Usuário que executou a operação (quando a solicitação do sistema de proteção de dados foi criada)
| Categoria | Evento | Descrição |
|---|---|---|
| Criar solicitação do Sistema de Proteção de Dados | LockboxRequestOperation | Emitido quando uma nova solicitação do sistema de proteção de dados é criada. |
| Atualizar solicitação do Sistema de Proteção de Dados | LockboxRequestOperation | Emitido quando uma solicitação do sistema de proteção de dados é aprovada ou negada. |
| Acesso à solicitação do Sistema de Proteção de Dados finalizado | LockboxRequestOperation | Emitido quando uma solicitação do sistema de proteção de dados expirou ou o acesso terminou. |
Aqui está um exemplo do conteúdo de metadados que pode ser esperado de um dos eventos listados na tabela.
[
{
"Name": "powerplatform.analytics.resource.tenant.lockbox.data_access.duration",
"Value": "8"
},
{
"Name": "powerplatform.analytics.resource.tenant.lockbox.support_ticket.id",
"Value": "MSFT initiated"
},
{
"Name": "powerplatform.analytics.resource.tenant.lockbox.request.state",
"Value": "Created"
},
{
"Name": "powerplatform.analytics.resource.tenant.lockbox.request.expiration_time",
"Value": "6/1/2024 11:59:15 PM +00:00"
},
{
"Name": "powerplatform.analytics.resource.tenant.lockbox.request.id",
"Value": "dfdead68-3263-4c05-9e8a-5b61ddb5878c"
},
{
"Name": "version",
"Value": "1.0"
},
{
"Name": "type",
"Value": "PowerPlatformAdministratorActivityRecord"
},
{
"Name": "powerplatform.analytics.activity.name",
"Value": "LockboxRequestOperation"
},
{
"Name": "powerplatform.analytics.activity.id",
"Value": "cb18351c-fa1c-4f34-a6d9-f8cb91636009"
},
{
"Name": "powerplatform.analytics.resource.environment.id",
"Value": "ed92c80e-89ef-e0c8-a9eb-98559ca07809"
},
{
"Name": "enduser.id",
"Value": ""
},
{
"Name": "enduser.principal_name",
"Value": "Test user"
},
{
"Name": "enduser.role",
"Value": "Admin"
},
{
"Name": "powerplatform.analytics.resource.tenant.id",
"Value": "3a568f62-11ff-4e89-bee8-4d47041b0003"
}
]
Categoria de atividade: Eventos de política de dados
Observação
O registro de atividades para políticas de dados não está disponível atualmente em nuvens soberanas.
Observação
Atualmente, usuários com uma licença E5 podem visualizar esses eventos de auditoria.
Todos os eventos de política de dados aparecem na atividade GovernanceApiPolicyOperation . Cada evento de atividade contém uma coleção de propriedades, que emite as seguintes propriedades:
- Nome da Operação
- ID da Política
- Nome de exibição da política
- Recursos adicionais (se aplicável)
| Categoria | Descrição |
|---|---|
| Criar política DLP | Emitido quando uma nova política de dados é criada. |
| Atualizar Política DLP | Emitido quando uma política de dados é atualizada. |
| Excluir política DLP | Emitido quando uma política de dados é excluída. |
| Crie padrões de conectores personalizados | Emitido quando um novo padrão de URL de conector personalizado é criado. |
| Atualizar padrões de conectores personalizados | Emitido quando um padrão de URL de conector personalizado é atualizado. |
| Excluir padrões de conectores personalizados | Emitido quando um padrão de URL de conector personalizado é excluído. |
| Criar configurações de conectores | Emitido quando uma configuração de conector é criada para a política de dados. |
| Atualizar configurações do conector | Emitido quando uma configuração de conector é atualizada para a política de dados. |
| Excluir configurações do conector | Emitido quando uma configuração de conector é excluída para a política de dados. |
| Criar escopo de política | Emitido quando um novo escopo de política é criado. |
| Atualizar escopo da política | Emitido quando um escopo de política é atualizado. |
| Excluir escopo da política | Emitido quando um escopo de política é excluído. |
| Criar recursos isentos | Emitido quando uma lista de recursos isentos é criada para a política de dados. |
| Atualizar recursos isentos | Emitido quando uma lista de recursos isentos é atualizada para a política de dados. |
| Excluir recursos isentos | Emitido quando uma lista de recursos isentos é excluída para a política de dados. |
| Criar política de bloqueio de conectores | Emitido quando uma nova política de bloqueio de conector é criada. |
| Atualizar política de bloqueio de conectores | Emitido quando a política de bloqueio do conector é atualizada. |
| Excluir política de bloqueio de conectores | Emitido quando a política de bloqueio do conector é excluída. |
Here é um exemplo de carga útil de metadados que pode ser esperada de um dos eventos na tabela.
[
{
"Name": "powerplatform.analytics.resource.tenant.governance.api_policy.additional_resources",
"Value": "<<json>>"
},
{
"Name": "powerplatform.analytics.resource.display_name",
"Value": "ConnectorBlockingPolicy"
},
{
"Name": "powerplatform.analytics.resource.tenant.governance.api_policy.operation_result",
"Value": "True"
},
{
"Name": "powerplatform.analytics.resource.id",
"Value": "ConnectorBlockingPolicy"
},
{
"Name": "powerplatform.analytics.resource.type",
"Value": "ApiPolicy"
},
{
"Name": "powerplatform.analytics.resource.tenant.governance.api_policy.operation_name",
"Value": "DeleteDlpPolicy"
},
{
"Name": "version",
"Value": "1.0"
},
{
"Name": "type",
"Value": "PowerPlatformAdministratorActivityRecord"
},
{
"Name": "powerplatform.analytics.activity.name",
"Value": "GovernanceApiPolicyOperation"
},
{
"Name": "powerplatform.analytics.activity.id",
"Value": "99ac5d50-a0f4-4878-8ff4-e02b7da3a510"
},
{
"Name": "enduser.id",
"Value": "888c1bf5-3127-4c8c-84ee-b6a9c684e315"
},
{
"Name": "enduser.principal_name",
"Value": admin@contosotest.onmicrosoft.com
},
{
"Name": "enduser.role",
"Value": "Admin"
},
{
"Name": "powerplatform.analytics.resource.tenant.id",
"Value": "ce65293a-e07d-4638-9dfa-79483fcd5136"
}
]
Exibir atividades no Microsoft Purview
Quando a pesquisa do log de auditoria é ativada no portal de conformidade do Microsoft Purview, a atividade do administrador da sua organização é registrada no log de auditoria do Microsoft Purview.
Você pode usar vários métodos para pesquisar eventos no Microsoft Purview.
Utilize a pesquisa curinga para obter informações contextuais na experiência do usuário do Microsoft Purview.
Limite as construções de pesquisa específicas para eventos individuais.
À medida que você pesquisa, atividades individuais são mostradas. Um esquema comum é aplicado para permitir construções de pesquisa em todas as atividades. O valor no campo PropertyCollection é específico para cada tipo de atividade.
Para obter mais informações sobre o registro de auditoria, políticas de retenção de dados e recursos do Microsoft Purview, consulte Soluções de auditoria no Microsoft Purview.
Confira também
- Auditando soluções no Microsoft Purview
- Esquema de API da Atividade de Gerenciamento do Office 365
- Propriedades detalhadas no log de auditoria
- Log de atividades do Power Apps
- Log de atividades do Power Automate
- Log de atividades do conector do Power Platform (versão preliminar)
- Log de atividades de prevenção de perda de dados
- Gerenciar auditorias do Dataverse
- Dataverse e aplicativo baseado em modelo