分享方式:


設定連接器以匯入 Epic EHR 稽核數據 (預覽)

您可以設定數據連接器,以匯入組織 Epic 電子醫療保健記錄 (EHR) 系統中用戶活動的稽核記錄。 Epic EHR 系統的稽核記錄包含與存取病患健康記錄相關的事件記錄。 Microsoft Purview Insider Risk Management 解決方案 可以使用 Epic EHR 稽核記錄,協助保護貴組織免於未經授權存取病患資訊。

設定 Epic 連接器包含下列工作:

  • 在 Microsoft Entra ID 中建立應用程式,以存取接受包含 Epic EHR 稽核記錄之索引標籤分隔文本檔的 API 端點。

  • 建立文字檔,其中包含連接器架構中定義的所有必要欄位。

  • Microsoft Purview 入口網站或 Microsoft Purview 合規性入口網站 中建立 Epic 連接器實例

  • 執行腳本來將 Epic EHR 稽核記錄推送至 API 端點。

  • 選擇性地排程自動執行文本以匯入稽核記錄。

如果您想要參與預覽版,請在 與小組 dcfeedback@microsoft.com聯繫。

提示

如果您不是 E5 客戶,請使用 90 天的 Microsoft Purview 解決方案試用版來探索其他 Purview 功能如何協助貴組織管理數據安全性與合規性需求。 立即從 Microsoft Purview 合規性入口網站 試用中樞開始。 瞭解 有關註冊和試用版條款的詳細數據

設定連接器之前

  • 在步驟 3 中建立 Epic 連接器的用戶必須獲指派數據連接器 管理員 角色。 需要此角色,才能在 Microsoft Purview 入口網站或合規性入口網站的 [ 資料連接器 ] 頁面上新增連接器。 此角色預設會新增至多個角色群組。 如需這些角色群組的清單,請參閱 適用於 Office 365 的 Microsoft Defender 中的角色和 Microsoft Purview 合規性。 或者,組織中的系統管理員可以建立自定義角色群組、指派數據連接器 管理員 角色,然後將適當的使用者新增為成員。 如需詳細指示,請參閱:

  • 您必須決定如何每天從組織的 Epic EHR 系統 (擷取或匯出數據,) 並建立步驟 2 中所述的文字檔。 您在步驟 4 中執行的文稿會將文字檔中的數據推送至 API 端點。

  • 您在步驟 4 中執行的範例腳本會將 Epic EHR 稽核記錄從文本檔推送至連接器 API,讓測試人員風險管理解決方案可以使用它。 任何 Microsoft 標準支援計劃或服務都不支援此範例腳本。 範例指令碼係依「現狀」提供,不含任何種類的擔保方式。 Microsoft 另外不承擔任何明示或默示的擔保,包括但不限於適售性或適合某特定用途的默示擔保。 使用或操作範例指令碼和文件發生的所有風險,皆屬於您的責任。 Microsoft、其作者以及其他與建置、生產或交付程式碼相關的任何人在任何情況下皆完全不需對任何損失負責任,包括但不限於商業利潤損失、業務中斷、業務資訊損失、或其他錢財損失等因使用或無法使用範例指令碼或文件所發生的損失,即使 Microsoft 曾建議這些損失發生的可能性。

步驟 1:在 Microsoft Entra ID 中建立應用程式

第一個步驟是在 Microsoft Entra ID 中建立並註冊新的應用程式。 應用程式會對應至您在步驟 3 中建立的 Epic 連接器。 建立此應用程式可讓 Microsoft Entra ID 驗證包含 Epic EHR 稽核記錄之文字檔的推播要求。 在建立此 Microsoft Entra 應用程式期間,請務必儲存下列資訊。 這些值將在後續步驟中使用。

  • Microsoft Entra 應用程式識別碼 (也稱為應用程式識別碼或用戶端標識碼)
  • Microsoft Entra 應用程式秘密 (也稱為客戶端密碼)
  • 租用戶標識碼 (也稱為 目錄標識 碼)

如需在 Microsoft Entra ID 中建立應用程式的逐步指示,請參閱向 Microsoft 身分識別平台 註冊應用程式

步驟 2:使用 Epic EHR 稽核記錄準備文本檔

下一個步驟是建立文本檔,其中包含員工存取組織 Epic EHR 系統中病患健康記錄的相關信息。 如先前所述,您必須決定如何從 Epic EHR 系統產生此文字檔。 Epic 連接器工作流程需要具有索引標籤分隔值的文字檔,才能將文字檔中的數據與必要的連接器架構對應。 支援的檔案格式是管線或製表符分隔 .txt 檔案。

注意事項

包含稽核數據的文字檔大小上限為 3 GB。 數據列數目上限為5百萬。 此外,請務必只包含來自醫療保健 EHR 系統的相關稽核數據。

下表列出啟用內部風險管理案例所需的欄位。 這些欄位的子集是必要的。 這些欄位會以星號 (*) 醒目提示。 如果文本文件中遺漏任何必要字段,則不會驗證檔案,也不會匯入檔案中的數據。

欄位 類別
ACCESS_LOG。ACCESS_TIME*
ACCESS_LOG_METRIC。METRIC_NAME*
ACCESS_LOG。WORKSTATION_ID
ZC_METRIC_GROUP.NAME
ZC_ACCESS_ACTION.NAME
這些欄位可用來識別 Epic EHR 系統中的存取活動事件。
病人。PAT_MRN_ID
病人。PAT_FIRST_NAME*
病人。PAT_MIDDLE_NAME
病人。PAT_LAST_NAME*
病人。ADD_LINE_1*
病人。ADD_LINE_2
病人。城市*
PATIENT.ZIP*
ZC_STATE.NAME
ZC_COUNTRY.NAME
CLARITY_DEP。DEPARTMENT_NAME
這些欄位可用來識別病患配置檔資訊。
ZC_BTG_REASON.NAME*
PAT_BTG_AUDIT。BTG_EXPLANATION
這些欄位可用來識別受限制記錄的存取權。
Emp。SYSTEM_LOGIN*
CLARITY_EMP。USER_ID
employee_last_name1
employee_first_name1
這些欄位可用來識別地址和名稱比對所需的員工配置檔資訊,以判斷對家庭/芳鄰/員工記錄的存取權。

注意事項

請確定您只從 Epic 匯出相關的記錄計量。 1Epic 預設無法使用此欄位。 您必須設定匯出,以確保文字檔包含此欄位。

步驟 3:建立 Epic 連接器

下一個步驟是在 Microsoft Purview 入口網站或合規性入口網站中建立 Epic 連接器。 在步驟 4 中執行腳本之後,將會處理您在步驟 2 中建立的文字檔,並推送至您在步驟 1 中設定的 API 端點。 在此步驟中,請務必複製建立連接器時產生的JobId。 當您執行文稿時,將會使用 JobId。

針對您使用的入口網站選取適當的索引標籤。 若要深入瞭解 Microsoft Purview 入口網站,請參閱 Microsoft Purview 入口網站。 若要深入瞭解合規性入口網站,請參閱 Microsoft Purview 合規性入口網站

  1. 登入 Microsoft Purview 入口網站

  2. > [設定數據連接器]

  3. 選取 [我的連接器],然後選取 [ 新增連接器]

  4. 從清單中,選擇 [Epic 連接器]

  5. 在 [ 設定連線] 頁面上,執行下列動作,然後選取 [ 下一步]

    1. 輸入或貼上您在步驟 2 中建立的 Azure 應用程式 Microsoft Entra 應用程式識別碼。
    2. 輸入 Epic 連接器的名稱。
  6. 在 [ 檢閱] 頁面上,檢閱您的設定,然後選取 [ 完成 ] 以建立連接器。

    狀態頁面隨即顯示,確認連接器已建立。 此頁面包含兩個重要事項,您必須完成下一個步驟,才能執行範例腳本,以上傳 Epic EHR 稽核記錄數據。

    檢閱具有作業標識碼的頁面,並連結至 GitHub 以取得範例腳本

    1. 作業標識碼。 您需要此作業識別碼,才能在下一個步驟中執行腳本。 您可以從此頁面或從連接器飛出視窗頁面複製它。
    2. 參考架構。 請參閱架構,以了解連接器接受來自 Epic 系統的哪些欄位。 這可協助您建立包含所有必要 Epic 資料庫欄位的檔案。
    3. 連結至範例腳本。 選取 此處 連結以移至 GitHub 網站,以存取範例腳本 (鏈接會開啟新的視窗) 。 讓此視窗保持開啟,以便在步驟 4 中複製腳本。 或者,您可以將目的地設定為書籤或複製URL,以便在執行腳本時再次存取它。 此連結也可在連接器飛出視窗頁面上取得。
  7. 選取 [完成]

    新的連接器會顯示在 [ 連接器] 索 引標籤上的清單中。

  8. 選取您剛才建立的 Epic 連接器,以顯示飛出視窗頁面,其中包含連接器的屬性和其他資訊。

如果您尚未這麼做,您可以複製 Azure App識別碼和連接器作業標識碼的值。 您需要這些專案,才能在下一個步驟中執行腳本。 您也可以從飛出視窗頁面下載腳本 (或使用下一個步驟中的鏈接下載。)

您也可以選取 [編輯] 來變更 Azure App 識別碼或您在 [檔案對應] 頁面上定義的數據行標頭名稱。

步驟 4:執行範例腳本以上傳 Epic EHR 稽核記錄

設定 Epic 連接器的最後一個步驟是執行範例腳本,將 Epic EHR 稽核記錄數據上傳至您在步驟 1 中建立的文字檔 () 至 Microsoft 雲端。 具體而言,腳本會將數據上傳至 Epic 連接器。 執行腳本之後,您在步驟 3 中建立的 Epic 連接器會將 Epic EHR 稽核記錄數據匯入您的 Microsoft 365 組織,讓其他合規性工具可以存取該數據,例如測試人員風險管理解決方案。 執行腳本之後,請考慮排程每天自動執行的工作,以便將最新的員工離職數據上傳至 Microsoft 雲端。 請 參閱 (選擇性) 步驟 6:排程自動執行腳本

注意事項

如先前所述,包含稽核數據的文本檔大小上限為 3 GB。 數據列數目上限為5百萬。 您在此步驟中執行的腳本需要大約 30 到 40 分鐘的時間,才能從大型文本檔匯入稽核數據。 此外,腳本會將大型文本檔分割成 10 萬個數據列的較社區塊,然後循序匯入這些區塊。

  1. 移至您在上一個步驟中保持開啟的視窗,以使用範例腳本存取 GitHub 網站。 或者,開啟已加上書籤的網站,或使用您複製的URL。 您也可以 在這裡存取文稿。

  2. 選取 [原始] 按鈕以在文字檢視中顯示文稿。

  3. 複製範例文本中的所有行,然後將它們儲存至文本檔。

  4. 視需要修改組織的範例腳本。

  5. 使用的檔案名後綴 .ps1,將文字檔案儲存為 Windows PowerShell 文稿檔案,例如 EpicConnector.ps1

  6. 在本機計算機上開啟命令提示字元,然後移至您儲存腳本的目錄。

  7. 執行下列命令,將文本檔中的 Epic 稽核數據上傳至 Microsoft 雲端;例如:

    .\EpicConnector.ps1 -tenantId <tenantId> -appId <appId>  -appSecret <appSecret>  -jobId <jobId>  -filePath '<filePath>'
    

下表描述要搭配此腳本使用的參數及其必要值。 您在先前步驟中取得的資訊會用於這些參數的值中。

參數 描述
tenantId 這是您在步驟 1 中取得的 Microsoft 365 組織識別碼。 您也可以在 Microsoft Entra 系統管理中心 的 [概觀] 刀鋒視窗上取得組織的租用戶標識碼。 這是用來識別您的組織。
appId 這是您在步驟 1 中 Microsoft Entra ID 建立之應用程式的 Microsoft Entra 應用程式識別碼。 當腳本嘗試存取您的 Microsoft 365 組織時,Microsoft Entra ID 會使用此項目進行驗證。
appSecret 這是您在步驟 1 Microsoft Entra ID 中建立之應用程式的 Microsoft Entra 應用程式密碼。 這也用於驗證。
jobId 這是您在步驟 3 中建立之 Epic 連接器的作業標識碼。 這是用來將上傳至 Microsoft 雲端的 Epic EHR 稽核記錄與 Epic 連接器產生關聯。
filePath 這是文本文件的檔案路徑, (與您在步驟 2 中建立的腳本) 儲存在相同的系統上。 請嘗試避免檔案路徑中有空格;否則請使用單引號。

以下是針對每個參數使用實際值的 Epic 連接器文本語法範例:

.\EpicConnector.ps1 -tenantId d5723623-11cf-4e2e-b5a5-01d1506273g9 -appId 29ee526e-f9a7-4e98-a682-67f41bfd643e -appSecret MNubVGbcQDkGCnn -jobId b8be4a7d-e338-43eb-a69e-c513cd458eba -filePath 'C:\Users\contosoadmin\Desktop\Data\epic_audit_records.txt'

如果上傳成功,腳本會顯示 上傳成功 訊息。

注意事項

如果您因為執行原則而無法執行上一個命令,請參閱 關於執行原則Set-ExecutionPolicy ,以取得有關設定執行原則的指引。

步驟 5:監視 Epic 連接器

建立 Epic 連接器並推送 EHR 稽核記錄之後,您可以在 Microsoft Purview 入口網站或合規性入口網站中檢視連接器和上傳狀態。 如果您排程定期自動執行文稿,您也可以在上次執行腳本之後檢視目前的狀態。

針對您使用的入口網站選取適當的索引標籤。 若要深入瞭解 Microsoft Purview 入口網站,請參閱 Microsoft Purview 入口網站。 若要深入瞭解合規性入口網站,請參閱 Microsoft Purview 合規性入口網站

  1. 登入 Microsoft Purview 入口網站

  2. > [設定數據連接器]

  3. 選取 [我的連接器],然後選取您建立的 Epic 連接器來顯示飛出視窗頁面。 此頁面包含連接器的屬性和資訊。

  4. 在 [ 上次匯入] 底下,選取 [下載記錄] 鏈接以開啟 (或儲存) 連接器的狀態記錄檔。 此記錄檔包含每次腳本執行並將數據從文本檔上傳至 Microsoft 雲端時的相關信息。

    Epic 連接器記錄檔會顯示已上傳文字檔的數目數據列

    RecordsSaved 位會指出上傳之文字檔中的數據列數目。 例如,如果文本檔包含四個數據列,則如果腳本成功上傳文本檔中的所有數據列,欄位的 RecordsSaved 值會是 4。

如果您尚未在步驟 4 中執行腳本,[ 上次匯入] 底下會顯示下載腳本的連結。 您可以下載文本,然後遵循步驟來執行腳本。

(選擇性) 步驟 6:排程腳本自動執行

若要確定 Epic EHR 系統的最新稽核記錄可供測試人員風險管理解決方案等工具使用,建議您將腳本排程為每天自動執行。 這也需要您在類似 (的相同文本檔中更新 Epic 稽核記錄數據,如果不是相同的) 排程,則此數據會包含員工有關病患記錄存取活動的最新資訊。 目標是上傳最新的稽核記錄,讓 Epic 連接器可以提供給測試人員風險管理解決方案使用。

您可以使用 Windows 中的工作排程器應用程式,每天自動執行腳本。

  1. 在本機計算機上,選取 [Windows 開始 ] 按鈕,然後輸入 工作排程器

  2. 選取 [工作排程器 ] 應用程式加以開啟。

  3. 在 [ 動作] 區 段中,選取 [ 建立工作]

  4. 在 [ 一般] 索引標籤上,輸入排程工作的描述性名稱;例如 Epic 連接器腳本。 您也可以新增選擇性描述。

  5. 在 [ 安全性選項] 下,執行下列動作:

    1. 判斷是否只在登入計算機時才執行腳本,或在登入時執行腳本。
    2. 確定已選取 [ 以最高許可權執行] 複選框。
  6. 選取 [ 觸發程式] 索引標籤 ,選取 [ 新增],然後執行下列動作:

    1. 在 [ 設定] 下,選取 [ 每日] 選項,然後選擇第一次執行腳本的日期和時間。 文本會每天在相同的指定時間執行。
    2. 在 [ 進階設定] 下,確定已選取 [ 已啟用 ] 複選框。
    3. 選取 [確定]
  7. 選取 [ 動作] 索引 標籤,選取 [ 新增],然後執行下列動作:

    動作設定,用於建立 Epic 連接器腳本的新排程工作。

    1. 在 [ 動作] 下拉式清單中,確定已選取 [ 啟動程式 ]。
    2. 在 [ 程式/腳本] 方塊中,選取 [ 流覽],然後移至下列位置並加以選取,讓路徑顯示在方塊中:C:.0.exe。
    3. 在 [ 新增自變數 (選擇性) ] 方塊中,貼上您在步驟 4 中執行的相同腳本命令。 例如,.\EpicConnector.ps1 -tenantId "d5723623-11cf-4e2e-b5a5-01d1506273g9" -appId "c12823b7-b55a-4989-faba-02de41bb97c3" -appSecret "MNubVGbcQDkGCnn" -jobId "e081f4f4-3831-48d6-7bb3-fcfab1581458" -filePath "C:\Epic\audit\records.txt"
    4. 在 [ (選用) 開始] 方塊中,貼上您在步驟 4 中執行之腳本的資料夾位置。 例如,C:\Epic\audit。
    5. 選取 [確定 ] 以儲存新動作的設定。
  8. 在 [ 建立工作] 視窗中,選取 [ 確定] 以儲存排程的工作。 系統可能會提示您輸入使用者帳戶認證。

    新的工作會顯示在工作排程器連結庫中。

    醫療保健連接器腳本的新工作會顯示在工作排程器連結庫中。

    上次執行文本的時間,以及下一次排程執行時會顯示。 您可以按下選取要編輯的工作。

    您也可以確認上次文稿在合規性中心對應 Epic 連接器的飛出視窗頁面上執行的時間。