管理 Microsoft Power Platform 產品與服務可能會影響多種功能,例如環境設定與操作、資料政策,以及整合相關設定。 監控此類行為非常重要:
- 協助減少故障
- 協助管理安全限制系統
- 遵守合規要求
- 對安全威脅採取行動。
本文說明如何監控 Microsoft Purview 中由擁有管理員權限的使用者在 Power Platform 環境中執行的活動,跨越使用者體驗與可程式介面。 活動涵蓋以下類別:
這些活動包括由 Power Platform 管理員、Dynamics 365 管理員、系統管理員角色的成員(適用於具有 Dataverse 的 Power Platform 環境)、環境創建者或擁有者(適用於不具備 Dataverse 的 Power Platform 環境)以及映射到上述任何角色的冒充使用者所採取的行動。
每個活動事件都包含 Office 365 管理活動 API 結構描述中定義的一般結構描述。 結構定義了每個活動唯一的元資料有效載荷。
先決條件
要在 Microsoft Purview 中查看 Power Platform 的管理員活動日誌,請確保你:
- 檢視並完成概覽文章中的 先決條件 。
- 請確認在 Microsoft Purview 中,有分配給您的是審計日誌或View-Only 審計日誌角色之一。
瞭解詳情:
備註
Power Platform 環境的管理員活動預設在所有租戶上都啟用,且你無法停用活動收集。
存取紀錄
請採取以下步驟登入 Microsoft Purview 入口網站:
在 Microsoft Purview 入口網站中,您可以透過兩種方式存取稽核頁面:
- 在左側導覽窗格,選擇 解決方案 ,然後選擇 審計。
- 或者,在 首 頁選擇 「稽核 解決方案」卡片。 如果未顯示稽核解決方案卡片,請選取檢視所有解決方案,然後從核心區段中選取稽核。
審計解決方案允許您搜尋活動或建立審計保留政策。 在 搜尋 頁面,你可以在 活動 列表中篩選不同的 Power Platform 活動。 活動會對應到事件類型和類別,這些都列在本文的表格中,供你參考。
這些日誌也可透過 Office 365 管理 API 供開發者存取。
請參閱「 開始搜尋 」以了解更多關於如何在 Microsoft Purview 中搜尋稽核日誌的方法。
活動類別:環境生命週期作業
每個活動事件都包含針對該事件專屬的元資料載荷。 Microsoft Purview 會接收本表列出的環境生命週期操作活動。
| Event | Description |
|---|---|
| 已佈建的環境 | 環境已建立。 |
| 已刪除的環境 | 環境已刪除。 |
| 已復原的環境 | 一個被刪除的環境在七天內被恢復。 |
| 已實刪除的環境 | 環境已實刪除。 |
| 已移動的環境 | 環境已移至另一個租用戶。 |
| 已複製的環境 | 環境 (包括應用程式資料、使用者、自訂和結構描述等特定屬性) 已複製。 |
| 已備份的環境 | 被備份的環境。 |
| 已還原的環境 | 環境是從備份中恢復的。 |
| 已轉換的環境類型 | 環境已轉換為不同的環境類型,例如實際執行環境或沙箱。 |
| 重設環境 | 沙盒環境被重置。 |
| 已升級的環境 | 環境的一個元件被升級到新版本。 |
| 已更新 CMK 的環境 | 客戶管理金鑰(CMK)在環境中被更新。 |
| 已還原 CMK 的環境 | 該環境從企業政策中移除,加密功能回歸 Microsoft 管理的金鑰。 |
活動類別:環境屬性和設定變更活動
每個活動事件都包含針對該事件專屬的元資料載荷。 Microsoft Purview 會接收本表格中列出的環境屬性與設定活動。
| Event | Description |
|---|---|
| 改變了環境屬性 | 當環境中的屬性發生變化時,會發出通知。 一般而言,屬性是與環境相關聯的元資料(名稱)。 本次活動包含以下變更:
|
活動類別:環境團體與規則
所有環境團體和規則的活動都會記錄在 PowerPlatformAdministratorActivity 記錄類型下。
每個活動事件都包含針對該事件專屬的元資料載荷。 本表中列出的環境群組活動會傳送至 Microsoft Purview。
| Event | Description |
|---|---|
NewEnvironmentGroup |
一個新的環境群組被創建。 |
DeleteEnvironmentGroup |
一個環境群組被刪除。 |
UpdateEnvironmentGroup |
環境群組的名稱或描述會更新。 |
EnvironmentAddedToEnvironmentGroup |
一個環境被加入環境群。 |
EnvironmentRemovedFromEnvironmentGroup |
環境被從環境群組中移除。 |
這九項規則活動會被送至 Microsoft Purview:
- AI 產生的描述 (預覽版)
- 備份的保存
- 生成式 AI 設定
- 與編輯器共用 Agent
- 與檢視表共用 Agent
- 畫布應用程式的共用控制項
- 解決方案感知雲端流程的共用控制項
- 解決方案檢查程式強制執行
- 使用方式深入解析
| Event | Description |
|---|---|
CreateRuleSetOperation |
首次將規則新增到環境群組。 |
UpdateRuleSetOperation |
規則會在環境群組中被編輯。 |
DeleteRuleSetOperation |
一個環境群組被刪除。 |
表中列出的剩餘規則活動會送交 Microsoft Purview。
| Event | Description |
|---|---|
CreateRuleBasedPolicyOperation |
首次將規則新增至環境群組。 |
CreateRuleBasedPolicyAssignmentOperation |
第一次將規則添加到環境群組中。 |
UpdateRuleBasedPolicyOperation |
在環境群組中新增、編輯或移除規則。 |
DeleteRuleBasedPolicyOperation |
一個環境群組被刪除。 |
DeleteRuleBasedPolicyAssignmentOperation |
一個環境群組被刪除。 |
活動類別:商業模式和授權
每個活動事件都包含針對該事件專屬的元資料載荷。 本表中列出的商業模式與授權活動會傳送至 Microsoft Purview。
| 類別 | Event | Description |
|---|---|---|
| 計費原則 | BillingPolicyCreate |
制定了新的帳單政策。 |
| 計費原則 | BillingPolicyDelete |
帳單政策被刪除。 |
| 計費原則 | BillingPolicyUpdate |
與計費政策變更連結的環境(新增或移除)。 |
| ISV | IsvContractConsent |
租戶管理員同意 ISV 合約。 |
| 授權自動宣告 | AssignLicenseAutoClaim |
授權會透過自動理賠政策自動分配給使用者。 |
| 授權自動宣告 | AssignLicenseAutoClaimPolicyCreate |
一項新的自動索賠政策已建立。 |
| 貨幣 | CurrencyEnvironmentAllocate |
貨幣(附加元件)是分配或釋放給環境的。 |
| 試用版 | TrialConvertToProduction |
試用計畫會轉換成生產計畫。 |
| 試用版 | TrialEnforce |
客戶嘗試在試用限制之外配置環境。 |
| 試用版 | TrialProvision |
新的試驗計畫被安排出來。 |
| 試用版 | TrialSignUpEligibilityCheck |
在試驗提供前,會進行檢查以判斷試驗資格。 |
| 試用版 | TrialViralConsent |
租戶更改其同意的計劃類型,並反映新的狀態。 |
| 試用版 | AssignLicenseToUser |
使用者會獲得試用授權。 |
| 環境生命週期 | EnvironmentDisabledByMiser |
由於資料庫容量不足,環境會自動被停用。 |
活動類別:管理員動作
每個活動事件都包含針對該事件專屬的元資料載荷。 本表中列出的管理員活動會被傳送至 Microsoft Purview。
| Event | Description |
|---|---|
ApplyAdminRole |
租戶管理員在 Dataverse 環境中請求擔任系統管理員角色。 |
活動類別:加密箱作業
所有鎖箱活動都屬於該 LockboxRequestOperation 活動範疇。 每個活動事件在建立或更新鎖盒請求時,都包含具有以下屬性的元資料載荷:
- 加密箱要求識別碼
- 加密箱要求狀態
- 加密箱支持票證識別碼
- 鎖箱請求到期時間
- 加密箱資料存取持續時間
- 環境識別碼
- 執行操作的使用者(當鎖盒請求建立時)
你要把這張表中列出的事件傳送到 Microsoft Purview。
| 類別 | Event | Description |
|---|---|---|
| 建立加密箱要求 | LockboxRequestOperation |
會建立一個新的鎖箱請求。 |
| 更新加密箱要求 | LockboxRequestOperation |
鎖箱申請會被批准或拒絕。 |
| 加密箱要求存取結束 | LockboxRequestOperation |
鎖箱請求過期或存取結束。 |
以下是您可以從表格中所列事件期待的元數據載荷範例。
[
{
"Name": "powerplatform.analytics.resource.tenant.lockbox.data_access.duration",
"Value": "8"
},
{
"Name": "powerplatform.analytics.resource.tenant.lockbox.support_ticket.id",
"Value": "MSFT initiated"
},
{
"Name": "powerplatform.analytics.resource.tenant.lockbox.request.state",
"Value": "Created"
},
{
"Name": "powerplatform.analytics.resource.tenant.lockbox.request.expiration_time",
"Value": "6/1/2024 11:59:15 PM +00:00"
},
{
"Name": "powerplatform.analytics.resource.tenant.lockbox.request.id",
"Value": "dfdead68-3263-4c05-9e8a-5b61ddb5878c"
},
{
"Name": "version",
"Value": "1.0"
},
{
"Name": "type",
"Value": "PowerPlatformAdministratorActivityRecord"
},
{
"Name": "powerplatform.analytics.activity.name",
"Value": "LockboxRequestOperation"
},
{
"Name": "powerplatform.analytics.activity.id",
"Value": "cb18351c-fa1c-4f34-a6d9-f8cb91636009"
},
{
"Name": "powerplatform.analytics.resource.environment.id",
"Value": "ed92c80e-89ef-e0c8-a9eb-98559ca07809"
},
{
"Name": "enduser.id",
"Value": ""
},
{
"Name": "enduser.principal_name",
"Value": "Test user"
},
{
"Name": "enduser.role",
"Value": "Admin"
},
{
"Name": "powerplatform.analytics.resource.tenant.id",
"Value": "3a568f62-11ff-4e89-bee8-4d47041b0003"
}
]
活動類別:資料原則事件
備註
- 資料原則的活動記錄目前無法在主權專屬雲中使用。
- 要存取資料政策日誌,你需要適當的 Microsoft 授權。 請參考 Microsoft Purview 服務說明 及 Microsoft Purview 授權指引 以了解更多資訊。
所有資料政策事件都會出現在 GovernanceApiPolicyOperation 活動中。 每個活動事件包含包含以下屬性的屬性集合:
- 作業名稱
- 原則識別碼
- 原則顯示名稱
- 額外資源(如適用)
此表中列出的資料政策事件會傳送至 Microsoft Purview。
| 類別 | Description |
|---|---|
| 建立資料原則 | 制定了新的資料政策。 |
| 更新資料政策 | 資料政策會更新。 |
| 刪除資料政策 | 資料政策被刪除。 |
| 建立自訂連接器模式 | 會建立一個新的自訂連接器 URL 模式。 |
| 更新自訂連接器模式 | 自訂連接器 URL 模式會被更新。 |
| 刪除自訂連接器圖案 | 一個自訂的連接器 URL 模式會被刪除。 |
| 建立連接器設定 | 會為資料政策建立連接器配置。 |
| 更新連接器設定 | 資料政策會更新連接器設定。 |
| 刪除連接器設定 | 資料政策的連接器設定會被刪除。 |
| 建立原則範圍 | 新的政策範圍被創造出來。 |
| 更新原則範圍 | 政策範圍會被更新。 |
| 刪除原則範圍 | 一個政策範圍被刪除。 |
| 建立豁免資源 | 為資料政策建立一個豁免資源清單。 |
| 更新豁免資源 | 已更新資料政策的豁免資源清單。 |
| 刪除豁免資源 | 資料政策會刪除豁免資源清單。 |
| 建立連接器封鎖原則 | 建立了新的連接器阻擋政策。 |
| 更新連接器封鎖原則 | 連接器阻擋政策會更新。 |
| 刪除連接器封鎖原則 | 連接器阻擋政策被刪除。 |
以下是你可以從某個表格中的事件中預期的元資料載荷範例。
[
{
"Name": "powerplatform.analytics.resource.tenant.governance.api_policy.additional_resources",
"Value": "<<json>>"
},
{
"Name": "powerplatform.analytics.resource.display_name",
"Value": "ConnectorBlockingPolicy"
},
{
"Name": "powerplatform.analytics.resource.tenant.governance.api_policy.operation_result",
"Value": "True"
},
{
"Name": "powerplatform.analytics.resource.id",
"Value": "ConnectorBlockingPolicy"
},
{
"Name": "powerplatform.analytics.resource.type",
"Value": "ApiPolicy"
},
{
"Name": "powerplatform.analytics.resource.tenant.governance.api_policy.operation_name",
"Value": "DeleteDlpPolicy"
},
{
"Name": "version",
"Value": "1.0"
},
{
"Name": "type",
"Value": "PowerPlatformAdministratorActivityRecord"
},
{
"Name": "powerplatform.analytics.activity.name",
"Value": "GovernanceApiPolicyOperation"
},
{
"Name": "powerplatform.analytics.activity.id",
"Value": "99ac5d50-a0f4-4878-8ff4-e02b7da3a510"
},
{
"Name": "enduser.id",
"Value": "888c1bf5-3127-4c8c-84ee-b6a9c684e315"
},
{
"Name": "enduser.principal_name",
"Value": admin@contosotest.onmicrosoft.com
},
{
"Name": "enduser.role",
"Value": "Admin"
},
{
"Name": "powerplatform.analytics.resource.tenant.id",
"Value": "ce65293a-e07d-4638-9dfa-79483fcd5136"
}
]