資料外洩防護活動記錄
警告
本文中記錄的架構已棄用,從 2024 年 7 月開始將不可用。 您可以使用 Activity category:Data policy events 中提供的 新架構。
注意
資料外洩防護原則的活動紀錄目前無法在主權雲端中使用。
可以從 Microsoft 365 安全性與合規性中心追蹤資料外洩防護 (DLP) 原則活動。
若要登入 DLP 活動,請執行下列步驟:
以租用戶管理員身分登入安全性與合規性中心。
選取搜尋>稽核紀錄搜尋。
在搜尋>活動底下,輸入 dlp。 活動清單顯示。
選取一個活動,在搜尋視窗外部選取以關閉,然後選取搜尋。
在稽核記錄搜尋畫面中,您可以搜尋許多熱門服務的稽核記錄,包括 eDiscovery、Exchange、Power BI、Microsoft Entra ID、Microsoft Teams、Customer Engagement 應用程式 (Dynamics 365 Sales、Dynamics 365 Customer Service、Dynamics 365 Field Service、Dynamics 365 Marketing 和 Dynamics 365 Project Service Automation) 和 Microsoft Power Platform。
在您存取稽核記錄搜尋後,您可以透過展開活動來篩選特定活動,然後滾動尋找專門用於 Microsoft Power Platform 活動的區段。
會稽核哪些 DLP 事件
以下是您可以稽核的使用者動作:
- 建立的 DLP 原則:在建立新的 DLP 原則時
- 更新 DLP 原則:當現有的 DLP 原則更新時
- 已刪除 DLP 原則:當 DLP 原則被刪除時
DLP 稽核事件的基礎架構
結構描述定義傳送至 Microsoft 365 安全性與合規性中心的欄位。 有些欄位是所有傳送稽核資料至 Microsoft 365 的應用程式所通用,而其他欄位則是 DLP 原則專屬的欄位。 在下表中,名稱及其他資訊為 DLP 原則的特定資料行。
| 欄位名稱 | 類型 | 必要 | 描述 |
|---|---|---|---|
| 日期 | Edm.Date | 否 | 產生記錄時的日期與時間 (UTC) |
| 應用程式名稱 | Edm.String | 否 | PowerApp 的唯一識別碼 |
| ID | Edm.Guid | 否 | 記錄的每一列的唯一 GUID |
| 結果狀態 | Edm.String | 否 | 記錄的列的狀態。 在多數情況下成功。 |
| 組織識別碼 | Edm.Guid | 是 | 產生記錄的組織的唯一識別碼。 |
| CreationTime | Edm.Date | 否 | 產生記錄時的日期與時間 (UTC) |
| 作業 | Edm.Date | 否 | 作業名稱 |
| UserKey | Edm.String | 否 | Microsoft Entra ID 中使用者的唯一識別碼 |
| UserType | Self.UserType | 否 | 稽核類型 (系統管理員、一般、系統) |
| 其他資訊 | Edm.String | 無 | 更多資訊 (如果有)(例如環境名稱) |
其他資訊
其他資訊欄位是一個 JSON 物件,其中包含特定作業的屬性。 對於 DLP 原則作業,它包含下列屬性。
| 欄位名稱 | 類型 | 必要? | 描述 |
|---|---|---|---|
| PolicyId | Edm.Guid | .是 | 原則的 GUID。 |
| PolicyType | Edm.String | .是 | 原則類型。 允許值為 AllEnvironments、SingleEnvironment、OnlyEnvironments 或 ExceptEnvironments。 |
| DefaultConnectorClassification | Edm.String | .是 | 預設連接器分類。 允許的值為 [一般]、[已封鎖] 或 [機密]。 |
| EnvironmentName | Edm.String | 否 | 環境的名稱 (GUID)。 這僅適用於 SingleEnvironment 原則。 |
| ChangeSet | Edm.String | 否 | 對原則所做的變更。 這些只會出現在更新作業中。 |
以下是建立或刪除事件的其他資訊 JSON 範例。
{
"policyId": "eb1e0480-0fe9-434e-9ad8-df4047a666ec",
"policyType": "SingleEnvironment",
"defaultConnectorClassification": "General",
"environmentName": "8a11a4a6-d8a4-4c47-96d7-3c2a60efe2f5"
}
以下是建立或刪除事件的其他資訊 JSON 範例。
- 將原則名稱從 oldPolicyName 變更為 newPolicyName。
- 將預設分類從 [一般] 變更為 [機密]。
- 將原則類型從 OnlyEnvironments 變更為 ExceptEnvironments。
- 將 Azure Blob 儲存體連接器從一般移動到機密貯體。
- 將 Bing Maps 連接器從一般移動到封鎖貯體。
- 將 Azure 自動化連接器從機密移動到封鎖貯體。
{
"policyId": "eb1e0480-0fe9-434e-9ad8-df4047a666ec",
"policyType": "ExceptEnvironments",
"defaultConnectorClassification": "Confidential",
"changeSet": {
"changedProperties": [
{
"name": "ApiPolicyName",
"previousValue": "oldPolicyName",
"currentValue": "newPolicyName"
},
{
"name": "DefaultConnectorClassification",
"previousValue": "General",
"currentValue": "Confidential"
},
{
"name": "DlpPolicyType",
"previousValue": "OnlyEnvironments",
"currentValue": "ExceptEnvironments"
}
],
"connectorChanges": [
{
"name": "Azure Blob Storage",
"id": "/providers/Microsoft.PowerApps/apis/shared_azureblob",
"previousValue": {
"classification": "General"
},
"currentValue": {
"classification": "Confidential"
}
},
{
"name": "Bing Maps",
"id": "/providers/Microsoft.PowerApps/apis/shared_bingmaps",
"previousValue": {
"classification": "General"
},
"currentValue": {
"classification": "Blocked"
}
},
{
"name": "Azure Automation",
"id": "/providers/Microsoft.PowerApps/apis/shared_azureautomation",
"previousValue": {
"classification": "Confidential"
},
"currentValue": {
"classification": "Blocked"
}
}
]
}
}