Microsoft Dataverse 和模型驱动应用活动日志记录
保护数据、维护隐私和遵守隐私法规是企业的头等大事。 审核所采取的全部数据处理操作以便可以针对可能的安全漏洞进行分析至关重要。 活动日志记录功能的此信息可以用于为应对 Office、Power Apps、Power Automate 和 Customer Engagement 应用(Dynamics 365 Sales、Dynamics 365 Customer Service、Dynamics 365 Field Service、Dynamics 365 Marketing 和 Dynamics 365 Project Service Automation)的使用执行数据保护影响评估 (DPIA) 的情况。
此主题介绍如何设置 Power Apps Power Automate和客户互动应用来审核各种数据处理活动,并使用 Microsoft Purview 合规性门户 查看活动报告中的数据。
要求
- 至少有一个用户分配了 A Microsoft/Office 365 E1 或更高版本的许可证。
- 可用于生产环境,不可用于沙盒环境。
审核哪些事件
在 SDK 层进行的日志记录意味着单个操作可能触发记录的多个事件。 以下是可以审核的用户事件的示例。 当前未记录管理员事件。
用户和支持相关事件
| 重要活动 | 描述 |
|---|---|
| 创建、读取、更新、删除 (CRUD) | 记录所有对于了解问题的影响以及兼容数据保护影响评估 (DPIA) 至关重要的 CRUD 活动。 |
| 多条记录视图 | 批量的 Dynamics 用户视图信息,如网格视图、高级查找搜索等。重要的客户内容信息是这些视图的一部分。 |
| 导出至 Excel | 将数据导出到 Excel 会将数据移出安全环境并容易遭受威胁攻击。 |
| 通过周围或自定义应用的 SDK 调用 | 通过调用到 SDK 以执行需要记录的操作的核心平台或周围应用执行的操作。 |
| 全部支持 CRUD 活动 | Microsoft 支持工程师在客户环境方面的活动。 |
| 后端命令 | Microsoft 支持工程师在客户租户和环境方面的活动。 |
| 已查看的报表 | 在查看报表时记录。 重要的客户内容信息可能显示在报表中。 |
| 报表查看器导出 | 将报表导出到不同格式会将数据移出安全环境并容易遭受威胁攻击。 |
| 报表查看器呈现图像 | 在显示报表时记录将显示的多媒体资产。 其中可能包含重要客户信息。 |
基础架构
架构定义将哪些字段发送到 Microsoft Purview 合规性门户。 某些字段对于将审核数据发送到 Microsoft Purview 的所有应用程序都是通用的,而其他字段则特定于 Customer Engagement 应用。 基础架构包含公用字段。
| 字段名称 | Type | 必需 | 说明 |
|---|---|---|---|
| 日期 | Edm.Date | 否 | 日志生成的 UTC 日期和时间 |
| IP 地址 | Edm.String | 否 | 用户或公司网关的 IP 地址 |
| 编号 | Edm.Guid | 否 | 记录的每行的唯一 GUID |
| 结果状态 | Edm.String | 否 | 记录的行的状态。 大多数情况下成功 |
| 组织编号 | Edm.Guid | 是 | 从中生成日志的组织的唯一标识符。 可以在 Dynamics 开发人员资源下找到此 ID。 |
| ClientIP | Edm.String | 否 | 用户或公司网关的 IP 地址 |
| CorrelationId | Edm.Guid | 否 | 用于关联相关行的唯一值(例如,当拆分一个大行时) |
| CreationTime | Edm.Date | 否 | 日志生成的 UTC 日期和时间 |
| 操作 | Edm.Date | 否 | SDK 中调用的消息的名称 |
| UserKey | Edm.String | 否 | Microsoft Entra ID 中用户的唯一标识符。 AKA 用户 PUID |
| UserType | Self.UserType | 否 | Microsoft 365 审核类型(定期、系统) |
| User | Edm.String | 否 | 用户的主要电子邮件 |
客户互动应用架构
客户互动应用架构包含特定于客户互动应用和合作伙伴团队的字段。
| 字段名称 | Type | 必需 | 说明 |
|---|---|---|---|
| 用户 ID | Edm.String | 否 | 组织中的用户 GUID 的唯一标识符 |
| Crm 组织唯一名称 | Edm.String | 否 | 组织的唯一名称 |
| 实例 Url | Edm.String | 否 | 实例的 URL |
| 项目 URL | Edm.String | 否 | 发出日志的记录的 URL |
| 项目类型 | Edm.String | 否 | 实体的名称 |
| 消息 | Edm.String | 否 | SDK 中调用的消息的名称 |
| 用户代理 | Edm.String | 否 | 组织中的用户 GUID 的唯一标识符 |
| EntityId | Edm.Guid | 否 | 实体的唯一标识符 |
| EntityName | Edm.String | 否 | 组织中的实体的名称 |
| 字段 | Edm.String | 否 | 反映创建或更新的值的密钥值对的 JSON |
| 编号 | Edm.String | 否 | 客户互动应用中的实体名称 |
| Query | Edm.String | 否 | 执行 Filter 时使用的查询参数 FetchXML |
| QueryResults | Edm.String | 否 | 检索和检索多条 SDK 消息调用返回的一条或多条唯一记录 |
| ServiceContextId | Edm.Guid | 否 | 与服务上下文关联的唯一 ID |
| ServiceContextIdType | Edm.String | 否 | 定义上下文使用的应用程序定义的令牌 |
| ServiceName | Edm.String | 否 | 生成日志的服务的名称 |
| SystemUserId | Edm.Guid | 否 | 组织中的用户 GUID 的唯一标识符 |
| UserAgent | Edm.Guid | 否 | 用于执行请求的浏览器 |
| 用户 ID | Edm.Guid | 否 | 与此活动关联的 Dynamics 系统用户的唯一 ID |
| UserUpn | Edm.String | 否 | 与该活动关联的用户的用户主体名称 |
启用审核
选择设置>管理>系统设置>审核选项卡。
- 或者,从 Power Apps 主页,选择设置(齿轮图标)>高级设置>设置>审核>全局审核设置。
在审核设置下,启用以下复选框:
- 开始审核
- 审核用户访问权限 (注意:仅捕获用户登录)
- 开始读取审计 (注意:捕获大多数用户活动/事件)
在在以下区域启用审核功能下,启用要审核的区域的复选框,然后选择确定。
若要设置表和字段级审核,请选择设置>自定义>自定义系统。
- 或者,从“系统设置”页(见上),选择实体和字段审核设置。
- 或者,从 Power Apps 主页,选择设置(齿轮图标)>高级设置>设置>自定义>自定义系统。
在组件下,展开实体并选择要审核的实体,例如客户。
向下滚动,在数据服务下启用审核。
在审核下,启用以下复选框:
- 单记录审核。 在记录打开时记录。
- 多记录审核。 记录已打开页面上显示的所有记录。
选择保存。
选择发布发布自定义项。
对要审核的其他实体重复步骤 5 - 9。
在 Purview 中打开 Microsoft 审核日志记录。 参阅打开或关闭审核日志搜索。
使用 Purview 合规门户中的 Microsoft 报告查看审核数据
在 Purview 合规门户中启用审核日志搜索 后 Microsoft ,组织的用户和管理员活动将记录在审核日志中,并保留 90 天。 不过,您所在组织可能不希望记录和保留审核日志数据。 或者您可能在使用第三方安全信息和事件管理 (SIEM) 应用程序访问审核数据。 在这些情况下,全局管理员可以在 Purview 中 Microsoft 关闭审核日志搜索。 有关详细信息,请参阅 Purview Microsoft 中的审核解决方案。
若要在 Microsoft Purview 合规门户中搜索记录,请选择记录类型 作为 CRM ,并将 活动 作为 所有 Dynamics 365 活动。
创建报表
您可以创建自己的报表以审阅您的审核数据。 参阅在 Purview 合规门户中搜索审核日志。
记录什么
有关使用 Activity Logging 记录的内容的列表,请参阅 Microsoft。Crm.Sdk.Messages Namespace 中。
我们将记录除以下内容的所有 SDK 消息:
- WhoAmI
- 检索过滤窗体
- 触发服务端点检查
- QueryExpressionToFetchXml
- FetchXmlToQueryExpression
- FireNotificationEvent
- RetrieveMetadataChanges
- RetrieveEntityChanges
- RetrieveProvisionedLanguagePackVersion
- RetrieveInstalledLanguagePackVersion
- RetrieveProvisionedLanguages
- RetrieveAvailableLanguages
- RetrieveDeprovisionedLanguages
- RetrieveInstalledLanguagePacks
- GetAllTimeZonesWithDisplayName
- GetTimeZoneCodeByLocalizedName
- IsReportingDataConnectorInstalled
- LocalTimeFromUtcTime
- IsBackOfficeInstalled
- FormatAddress
- IsSupportUserRole
- IsComponentCustomizable
- ConfigureReportingDataConnector
- CheckClientCompatibility
- RetrieveAttribute
我们如何分类 read 和 readmultiple
我们使用前缀进行分类。
| 如果请求以下列前缀开头: | 我们分类为: |
|---|---|
| RetrieveMultiple | ReadMultiple |
| ExportToExcel | ReadMultiple |
| RollUp | ReadMultiple |
| RetrieveEntitiesForAggregateQuery | ReadMultiple |
| 检索了记录墙 | ReadMultiple |
| 检索个人墙 | ReadMultiple |
| ExecuteFetch | ReadMultiple |
| 检索 | 读取 |
| 搜索 | 读取 |
| 获取 | 读取 |
| 导出 | 读取 |
生成的日志示例
下面是一些使用活动日志记录功能创建的日志的示例。
示例 1 – 用户读取客户记录时生成的日志
| Schema 名称 | 价值 |
|---|---|
| ID | 50e01c88-2e43-4005-8be8-9ceb172e2e90 |
| UserKey | 10033XXXA49AXXXX |
| ClientIP | 131.107.XXX.XX |
| 操作 | 检索 |
| Date | 3/2/2018 11:25:56 PM |
| EntityId | 0a0d8709-711e-e811-a952-000d3a732d76 |
| EntityName | 客户 |
| Query | 不适用 |
| QueryResults | 不适用 |
| ItemURL | https://orgname.onmicrosoft.com/main.aspx?etn=account&pagetype=entityrecord&id=0a0d8709-711e-e811-a952-000d3a732d76 |
示例 2 – 用户在网格中查看客户记录时生成的日志(导出到 Microsoft Excel 的日志类似这样)
| Schema 名称 | 价值 |
|---|---|
| ID | ef83f463-b92f-455e-97a6-2060a47efe33 |
| UserKey | 10033XXXA49AXXXX |
| ClientIP | 131.107.XXX.XX |
| 操作 | RetrieveMultiple |
| 日期 | 3/2/2018 11:25:56 PM |
| EntityId | 不可用 |
| EntityName | Account |
| Query | <filter type=“and”><condition column=“ownerid”操作员=“eq-userid”/><condition column=“statecode”操作员=“eq”value=“0”/></过滤器> |
| QueryResults | 0a0d8709-711e-e811-a952-000d3a732d76、dc136b61-6c1e-e811-a952-000d3a732d76 |
| ItemURL | 不可用 |
示例 3 – 用户将潜在顾客转换为商机时记录的消息的列表
| 身份证 | 实体 ID | 实体名称 | 操作 |
|---|---|---|---|
| 53c98033-cca4-4420-97e4-4c1b4f81e062 | 23ad069e-4d22-e811-a953-000d3a732d76 | 联系人 | 创建 |
| 5aca837c-a1f5-4801-b770-5c66183a58aa | 25ad069e-4d22-e811-a953-000d3a732d76 | 商机 | 创建 |
| c9585748-fdbf-4ff7-970c-bb37f6aa2c36 | 25ad069e-4d22-e811-a953-000d3a732d76 | 商机 | Update |
| a0469f30-078b-419d-be61-b04c9a34121f | 1cad069e-4d22-e811-a953-000d3a732d76 | 潜在顾客 | Update |
| 0975bceb-07c7-4dc2-b621-5a7b245c36a4 | 1cad069e-4d22-e811-a953-000d3a732d76 | 潜在顾客 | Update |
其他注意事项
在 Purview 合规门户中启用审核日志搜索 Microsoft 后,组织中的用户和活动将记录在审核日志中,并保留 90 天。 不过,您所在组织可能不希望记录和保留审核日志数据。 或者您可能在使用第三方安全信息和事件管理 (SIEM) 应用程序访问审核数据。 在这些情况下,全局管理员可以关闭 Microsoft 365 中的审核日志搜索。
已知问题
- Office 对每个审核记录有 3KB 的限制。 因此,在某些情况下,客户互动应用的单个记录需要在 Office 中拆分为多个记录。 CorrelationId 字段可用于检索指定源记录的一组拆分记录。 可能需要拆分的操作包括 RetrieveMultiple 和 ExportToExcel。
- 某些操作需要其他处理来检索所有相关数据。 例如,将处理 RetrieveMultiple 和 ExportToExcel 以提取检索或导出的记录列表。 不过,并非所有相关操作已处理。 例如,ExportToWord 目前记录为单个操作,没有有关导出内容的其他详细信息。
- 在未来版本中,将禁用基于对日志的审查确定无用的操作的日志记录。 例如,源自自动系统活动而不是用户活动的某些操作。
- 在某些记录实例中,EntityName 值可能被标记为“未知”。 这些记录与任何具体的实体相关操作无关,从 CRM 中是空白的。 它们的实体 ID 都是 0000000-0000-0000-0000-000000000000。
另请参见
管理 Dataverse 审核
在合规中心搜索审核日志
使用 Office 365 管理 API 概述搜索用户活动的审核日志