使用 Microsoft Purview 中的稽核解決方案檢視 Power Platform 管理記錄
Power Platform 產品和服務的管理可能會影響各種功能,例如環境設定和作業、資料原則以及整合相關設定。 稽核此類作業非常重要,這些作業有助於減少故障、幫助控制安全約束系統、遵守合規性要求以及應對安全威脅。
在本文中,您將了解由具有跨使用者體驗和可程式介面的管理存取權的人員使用 Microsoft Purview 合規性入口網站在 Power Platform 環境中執行的活動。 這些活動分為以下幾類:
重要
- 預設情況下,所有租用戶都會啟用 Power Platform 環境的管理活動。 您無法停用活動收集。
- 根據 Microsoft Purview 的要求,至少有一名使用者已分配 Microsoft 365 E5 或更高層級的授權。 詳細資訊:Microsoft Purview 中的稽核解決方案
審核活動包括管理員、Dynamics 365 管理員、系統 系統管理員 角色的成員(適用於 Power Platform 具有 Power Platform 環境)、環境 建立者或擁有者(對於 Dataverse沒有 Power Platform 的環境)以及映射到這些角色中的任何一個的模擬使用者執行 Dataverse的操作。
每個活動事件都包含 Office 365 管理活動 API 結構描述中定義的通用架構。 此結構描述定義了每個活動唯一的中繼資料的有效負載。
活動類別:環境生命週期作業
每個活動事件都包含特定於單一事件的中繼資料有效負載。 以下環境生命週期作業活動將交付給 Microsoft Purview。
| 事件 | 描述 |
|---|---|
| 已佈建的環境 | 環境已建立。 |
| 已刪除的環境 | 環境已刪除。 |
| 已復原的環境 | 7 天內刪除的環境已復原。 |
| 已實刪除的環境 | 環境已實刪除。 |
| 已移動的環境 | 環境已移至另一個租用戶。 |
| 已複製的環境 | 環境 (包括應用程式資料、使用者、自訂和結構描述等特定屬性) 已複製。 |
| 已備份的環境 | 環境已備份。 |
| 已還原的環境 | 環境已從備份還原。 |
| 已轉換的環境類型 | 環境已轉換為不同的環境類型,例如實際執行環境或沙箱。 |
| 重設環境 | 沙箱環境已重設。 |
| 已升級的環境 | 環境的元件已升級到新版本。 |
| 已更新 CMK 的環境 | 客戶自控金鑰 (CMK) 已在環境中更新。 |
| 已還原 CMK 的環境 | 環境 已從企業策略中刪除,加密已返回到Microsoft管理的密鑰。 |
活動類別:環境屬性和設定變更活動
每個活動事件都包含特定於單一事件的中繼資料有效負載。 以下環境屬性和設定活動將交付給 Microsoft Purview。
| 事件 | 描述 |
|---|---|
| 改變了環境屬性 | 當環境的屬性發生變更時進行通訊。 一般來說,屬性是與環境關聯的中繼資料 (名稱)。 包括以下變更:
|
活動類別:商業模式和授權
每個活動事件都包含特定於單一事件的中繼資料有效負載。 以下商業模式和授權活動將交付給 Microsoft Purview。
| 類別 | 事件 | 描述 |
|---|---|---|
| 計費原則 | BillingPolicyCreate | 建立新的計費原則時發出。 |
| 計費原則 | BillingPolicyDelete | 刪除計費原則時發出。 |
| 計費原則 | BillingPolicyUpdate | 當連結到計費原則的環境變更 (新增、移除) 時發出。 |
| ISV | IsvContractConsent | 在租用戶管理員同意 ISV 合約時發出。 |
| 授權自動宣告 | AssignLicenseAutoClaim | 透過自動宣告原則將授權自動指派給使用者時發出。 |
| 授權自動宣告 | AssignLicenseAutoClaimPolicyCreate | 建立新的自動宣告原則時發出。 |
| 貨幣 | CurrencyEnvironmentAllocate | 在向環境配置或解除配置貨幣 (附加元件) 時發出。 |
| 試用版 | TrialConvertToProduction | 將試用計劃轉換為生產計劃時發出。 |
| 試用版 | TrialEnforce | 當客戶嘗試佈建超出試用限制的環境時發出。 |
| 試用版 | TrialProvision | 佈建新試用計劃時發出。 |
| 試用版 | TrialSignUpEligibilityCheck | 在進行檢查以確定試用資格時發出。 |
| 試用版 | TrialViralConsent | 當租用戶變更其同意的計劃類型並反映新狀態時發出。 |
| 試用版 | AssignLicenseToUser | 將試用授權指派給使用者時發出。 |
| 環境生命週期 | EnvironmentDisabledByMiser | 當環境因資料庫容量不足而自動停用時發出。 |
活動類別:管理員動作
每個活動事件都包含特定於單一事件的中繼資料有效負載。 下列管理活動會傳送至 Microsoft Purview。
| 事件 | 描述 |
|---|---|
| 套用管理員角色 | 當租用戶管理員在環境的 Dataverse 中要求系統管理員角色時發出。 |
活動類別:加密箱作業
所有加密箱活動都在活動 LockboxRequestOperation 下。 建立或更新加密箱要求時,每個活動事件都包含具有以下屬性的中繼資料承載:
- 加密箱要求識別碼
- 加密箱要求狀態
- 加密箱支持票證識別碼
- 加密箱要求的到期時間。
- 加密箱資料存取持續時間
- 環境識別碼
- 執行作業的使用者 (建立加密箱要求時)
| 類別 | 事件 | 描述 |
|---|---|---|
| 建立加密箱要求 | LockboxRequestOperation | 建立新的加密箱要求時發出。 |
| 更新加密箱要求 | LockboxRequestOperation | 當加密箱要求核准或拒絕時發出。 |
| 加密箱要求存取結束 | LockboxRequestOperation | 在加密箱要求過期或存取結束時發出。 |
以下範例表示資料表所列事件中,可預期的中繼資料承載。
[
{
"Name": "powerplatform.analytics.resource.tenant.lockbox.data_access.duration",
"Value": "8"
},
{
"Name": "powerplatform.analytics.resource.tenant.lockbox.support_ticket.id",
"Value": "MSFT initiated"
},
{
"Name": "powerplatform.analytics.resource.tenant.lockbox.request.state",
"Value": "Created"
},
{
"Name": "powerplatform.analytics.resource.tenant.lockbox.request.expiration_time",
"Value": "6/1/2024 11:59:15 PM +00:00"
},
{
"Name": "powerplatform.analytics.resource.tenant.lockbox.request.id",
"Value": "dfdead68-3263-4c05-9e8a-5b61ddb5878c"
},
{
"Name": "version",
"Value": "1.0"
},
{
"Name": "type",
"Value": "PowerPlatformAdministratorActivityRecord"
},
{
"Name": "powerplatform.analytics.activity.name",
"Value": "LockboxRequestOperation"
},
{
"Name": "powerplatform.analytics.activity.id",
"Value": "cb18351c-fa1c-4f34-a6d9-f8cb91636009"
},
{
"Name": "powerplatform.analytics.resource.environment.id",
"Value": "ed92c80e-89ef-e0c8-a9eb-98559ca07809"
},
{
"Name": "enduser.id",
"Value": ""
},
{
"Name": "enduser.principal_name",
"Value": "Test user"
},
{
"Name": "enduser.role",
"Value": "Admin"
},
{
"Name": "powerplatform.analytics.resource.tenant.id",
"Value": "3a568f62-11ff-4e89-bee8-4d47041b0003"
}
]
活動類別:數據策略事件
注意
數據策略的活動日誌記錄目前在主權雲中不可用。
注意
目前,擁有 E5 許可證的使用者可以查看這些審核事件。
所有數據策略事件都顯示在 GovernanceApiPolicyOperation 活動下 。 每個活動事件都包含一個屬性集合,該屬性集合發出以下屬性:
- 作業名稱
- 原則識別碼
- 政策 顯示名稱
- 其他資源(如適用)
| 類別 | 描述 |
|---|---|
| 創建 DLP 策略 | 在創建新數據策略時發出。 |
| 更新 DLP 原則 | 更新數據策略時發出。 |
| 刪除 DLP 策略 | 刪除數據策略時發出。 |
| 創建自訂連接器模式 | 在創建新的自定義連接器 URL 模式時發出。 |
| 更新自訂連接器模式 | 在更新自定義連接器 URL 模式時發出。 |
| 刪除自訂連接器模式 | 在刪除自定義連接器 URL 模式時發出。 |
| 創建連接器配置 | 在為數據策略創建連接器配置時發出。 |
| 更新連接器配置 | 在更新數據策略的連接器配置時發出。 |
| 刪除連接器配置 | 在刪除資料策略的連接器配置時發出。 |
| 創建策略範圍 | 在創建新的策略範圍時發出。 |
| 更新策略範圍 | 在更新策略範圍時發出。 |
| 刪除策略範圍 | 在刪除策略範圍時發出。 |
| 創建豁免資源 | 在為數據策略創建免責資源清單時發出。 |
| 更新豁免資源 | 在更新數據策略的豁免資源清單時發出。 |
| 刪除豁免資源 | 在刪除數據策略的豁免資源清單時發出。 |
| 創建連接器阻止策略 | 在創建新的連接器阻止策略時發出。 |
| 更新連接器阻止策略 | 更新連接器阻止策略時發出。 |
| 刪除連接器阻止策略 | 刪除連接器阻止策略時發出。 |
下面是可以從表中的某個事件中預期的元數據有效負載示例。
[
{
"Name": "powerplatform.analytics.resource.tenant.governance.api_policy.additional_resources",
"Value": "<<json>>"
},
{
"Name": "powerplatform.analytics.resource.display_name",
"Value": "ConnectorBlockingPolicy"
},
{
"Name": "powerplatform.analytics.resource.tenant.governance.api_policy.operation_result",
"Value": "True"
},
{
"Name": "powerplatform.analytics.resource.id",
"Value": "ConnectorBlockingPolicy"
},
{
"Name": "powerplatform.analytics.resource.type",
"Value": "ApiPolicy"
},
{
"Name": "powerplatform.analytics.resource.tenant.governance.api_policy.operation_name",
"Value": "DeleteDlpPolicy"
},
{
"Name": "version",
"Value": "1.0"
},
{
"Name": "type",
"Value": "PowerPlatformAdministratorActivityRecord"
},
{
"Name": "powerplatform.analytics.activity.name",
"Value": "GovernanceApiPolicyOperation"
},
{
"Name": "powerplatform.analytics.activity.id",
"Value": "99ac5d50-a0f4-4878-8ff4-e02b7da3a510"
},
{
"Name": "enduser.id",
"Value": "888c1bf5-3127-4c8c-84ee-b6a9c684e315"
},
{
"Name": "enduser.principal_name",
"Value": admin@contosotest.onmicrosoft.com
},
{
"Name": "enduser.role",
"Value": "Admin"
},
{
"Name": "powerplatform.analytics.resource.tenant.id",
"Value": "ce65293a-e07d-4638-9dfa-79483fcd5136"
}
]
檢視 Microsoft Purview 中的活動
當在 Microsoft Purview 合規性入口網站中開啟稽核記錄搜尋時,您組織的管理活動將記錄在 Microsoft Purview 稽核記錄中。
您可以使用多種方法在 Microsoft Purview 中搜尋事件。
在 Microsoft Purview 使用者體驗中使用萬用字元搜尋來取得關聯式資訊。
縮小特定於單一事件的搜尋結構。
當您搜尋時,會顯示個人活動。 強制使用通用模式來支援跨活動的搜尋構造。 PropertyCollection 欄位中的值是各個活動類型專用的。
有關 Microsoft Purview 稽核記錄、資料保留原則和功能的詳細資訊,請參閱 Microsoft Purview 中的稽核解決方案。