在 Purview 中使用 Power Platform 審核解決方案查看 Microsoft 管理日誌
Power Platform 產品和服務的管理可能會影響各種功能,例如環境設定和作業、資料原則以及整合相關設定。 稽核此類作業非常重要,這些作業有助於減少故障、幫助控制安全約束系統、遵守合規性要求以及應對安全威脅。
在本文中,你將瞭解使用 Power Platform Purview 合規門戶對用戶體驗和可程式設計介面具有管理訪問許可權的用戶在 Microsoft 環境中執行的活動。 這些活動分為以下幾類:
重要
- 預設情況下,所有租用戶都會啟用 Power Platform 環境的管理活動。 您無法停用活動收集。
- 至少有一個使用者具有分配的 Microsoft 365 E5 或更高版本的許可證,如 Purview 所要求 Microsoft 。 詳細資訊: Purview 中的 Microsoft 審核解決方案
審核活動包括由 Power Platform 管理員、Dynamics 365 管理員、System 系統管理員角色的成員 (對於 Power Platform 具有 Dataverse的環境)、環境建立者或擁有者 (對於 Power Platform 沒有 Dataverse的環境) 以及映射到這些角色中的任何一個的模擬用戶執行的操作。
每個活動事件都包含 Office 365 管理活動 API 結構描述中定義的通用架構。 此結構描述定義了每個活動唯一的中繼資料的有效負載。
活動類別:環境生命週期作業
每個活動事件都包含特定於單一事件的中繼資料有效負載。 以下 環境生命週期操作 活動將交付給 Microsoft Purview。
| 事件 | 描述 |
|---|---|
| 已佈建的環境 | 環境已建立。 |
| 已刪除的環境 | 環境已刪除。 |
| 已復原的環境 | 7 天內刪除的環境已復原。 |
| 已實刪除的環境 | 環境已實刪除。 |
| 已移動的環境 | 環境已移至另一個租用戶。 |
| 已複製的環境 | 環境 (包括應用程式資料、使用者、自訂和結構描述等特定屬性) 已複製。 |
| 已備份的環境 | 環境已備份。 |
| 已還原的環境 | 環境已從備份還原。 |
| 已轉換的環境類型 | 環境已轉換為不同的環境類型,例如實際執行環境或沙箱。 |
| 重設環境 | 沙箱環境已重設。 |
| 已升級的環境 | 環境的元件已升級到新版本。 |
| 已更新 CMK 的環境 | 客戶自控金鑰 (CMK) 已在環境中更新。 |
| 已還原 CMK 的環境 | 環境已從企業策略中刪除,加密已返回到 Microsoft託管密鑰。 |
活動類別:環境屬性和設定變更活動
每個活動事件都包含特定於單一事件的中繼資料有效負載。 以下 環境屬性和設置 活動將傳遞到 Microsoft Purview。
| 事件 | 描述 |
|---|---|
| 改變了環境屬性 | 當環境的屬性發生變更時進行通訊。 一般來說,屬性是與環境關聯的中繼資料 (名稱)。 包括以下變更:
|
活動類別:商業模式和授權
每個活動事件都包含特定於單一事件的中繼資料有效負載。 以下業務模式和許可活動將交付給 Microsoft Purview。
| 類別 | 事件 | 描述 |
|---|---|---|
| 計費原則 | BillingPolicyCreate | 建立新的計費原則時發出。 |
| 計費原則 | BillingPolicyDelete | 刪除計費原則時發出。 |
| 計費原則 | BillingPolicyUpdate | 當連結到計費原則的環境變更 (新增、移除) 時發出。 |
| ISV | IsvContractConsent | 在租用戶管理員同意 ISV 合約時發出。 |
| 授權自動宣告 | AssignLicenseAutoClaim | 透過自動宣告原則將授權自動指派給使用者時發出。 |
| 授權自動宣告 | AssignLicenseAutoClaimPolicyCreate | 建立新的自動宣告原則時發出。 |
| 貨幣 | CurrencyEnvironmentAllocate | 在向環境配置或解除配置貨幣 (附加元件) 時發出。 |
| 試用版 | TrialConvertToProduction | 將試用計劃轉換為生產計劃時發出。 |
| 試用版 | TrialEnforce | 當客戶嘗試佈建超出試用限制的環境時發出。 |
| 試用版 | TrialProvision | 佈建新試用計劃時發出。 |
| 試用版 | TrialSignUpEligibilityCheck | 在進行檢查以確定試用資格時發出。 |
| 試用版 | TrialViralConsent | 當租用戶變更其同意的計劃類型並反映新狀態時發出。 |
| 試用版 | AssignLicenseToUser | 將試用授權指派給使用者時發出。 |
| 環境生命週期 | EnvironmentDisabledByMiser | 當環境因資料庫容量不足而自動停用時發出。 |
活動類別:管理員動作
每個活動事件都包含特定於單一事件的中繼資料有效負載。 以下管理活動將交付給 Microsoft Purview。
| 事件 | 描述 |
|---|---|
| 套用管理員角色 | 當租用戶管理員在環境的 Dataverse 中要求系統管理員角色時發出。 |
活動類別:加密箱作業
所有加密箱活動都在活動 LockboxRequestOperation 下。 建立或更新加密箱要求時,每個活動事件都包含具有以下屬性的中繼資料承載:
- 加密箱要求識別碼
- 加密箱要求狀態
- 加密箱支持票證識別碼
- 加密箱要求的到期時間。
- 加密箱資料存取持續時間
- 環境識別碼
- 執行作業的使用者 (建立加密箱要求時)
| 類別 | 事件 | 描述 |
|---|---|---|
| 建立加密箱要求 | LockboxRequestOperation | 建立新的加密箱要求時發出。 |
| 更新加密箱要求 | LockboxRequestOperation | 當加密箱要求核准或拒絕時發出。 |
| 加密箱要求存取結束 | LockboxRequestOperation | 在加密箱要求過期或存取結束時發出。 |
以下範例表示資料表所列事件中,可預期的中繼資料承載。
[
{
"Name": "powerplatform.analytics.resource.tenant.lockbox.data_access.duration",
"Value": "8"
},
{
"Name": "powerplatform.analytics.resource.tenant.lockbox.support_ticket.id",
"Value": "MSFT initiated"
},
{
"Name": "powerplatform.analytics.resource.tenant.lockbox.request.state",
"Value": "Created"
},
{
"Name": "powerplatform.analytics.resource.tenant.lockbox.request.expiration_time",
"Value": "6/1/2024 11:59:15 PM +00:00"
},
{
"Name": "powerplatform.analytics.resource.tenant.lockbox.request.id",
"Value": "dfdead68-3263-4c05-9e8a-5b61ddb5878c"
},
{
"Name": "version",
"Value": "1.0"
},
{
"Name": "type",
"Value": "PowerPlatformAdministratorActivityRecord"
},
{
"Name": "powerplatform.analytics.activity.name",
"Value": "LockboxRequestOperation"
},
{
"Name": "powerplatform.analytics.activity.id",
"Value": "cb18351c-fa1c-4f34-a6d9-f8cb91636009"
},
{
"Name": "powerplatform.analytics.resource.environment.id",
"Value": "ed92c80e-89ef-e0c8-a9eb-98559ca07809"
},
{
"Name": "enduser.id",
"Value": ""
},
{
"Name": "enduser.principal_name",
"Value": "Test user"
},
{
"Name": "enduser.role",
"Value": "Admin"
},
{
"Name": "powerplatform.analytics.resource.tenant.id",
"Value": "3a568f62-11ff-4e89-bee8-4d47041b0003"
}
]
活動類別:資料策略事件
注意
數據策略的活動日誌記錄目前在主權雲中不可用。
注意
目前,擁有 E5 許可證的使用者可以查看這些審核事件。
所有數據策略事件都顯示在 GovernanceApiPolicyOperation 活動下 。 每個活動事件都包含一個屬性集合,該集合發出以下屬性:
- 作業名稱
- 原則識別碼
- 策略顯示名稱
- 其他資源 (如適用)
| 類別 | 描述 |
|---|---|
| 創建 DLP 策略 | 創建新數據策略時發出。 |
| 更新 DLP 原則 | 更新數據策略時發出。 |
| 刪除 DLP 策略 | 刪除數據策略時發出。 |
| 創建自訂連接器模式 | 創建新的自定義連接器 URL 模式時發出。 |
| 更新自訂連接器模式 | 更新自訂連接器 URL 模式時發出。 |
| 刪除自訂連接器模式 | 刪除自定義連接器 URL 模式時發出。 |
| 創建連接器配置 | 為資料策略創建連接器配置時發出。 |
| 更新連接器配置 | 在更新數據策略的連接器配置時發出。 |
| 刪除連接器配置 | 刪除資料策略的連接器配置時發出。 |
| 創建策略範圍 | 創建新策略範圍時發出。 |
| 更新策略範圍 | 更新策略範圍時發出。 |
| 刪除策略範圍 | 刪除策略範圍時發出。 |
| 創建豁免資源 | 在為數據策略創建豁免資源清單時發出。 |
| 更新豁免資源 | 在更新數據策略的豁免資源清單時發出。 |
| 刪除豁免資源 | 刪除資料策略的豁免資源清單時發出。 |
| 創建連接器阻止策略 | 創建新的連接器阻止策略時發出。 |
| 更新連接器阻止策略 | 更新連接器阻止策略時發出。 |
| 刪除連接器阻止策略 | 刪除連接器阻止策略時發出。 |
以下是表中某個事件的預期元數據負載示例。
[
{
"Name": "powerplatform.analytics.resource.tenant.governance.api_policy.additional_resources",
"Value": "<<json>>"
},
{
"Name": "powerplatform.analytics.resource.display_name",
"Value": "ConnectorBlockingPolicy"
},
{
"Name": "powerplatform.analytics.resource.tenant.governance.api_policy.operation_result",
"Value": "True"
},
{
"Name": "powerplatform.analytics.resource.id",
"Value": "ConnectorBlockingPolicy"
},
{
"Name": "powerplatform.analytics.resource.type",
"Value": "ApiPolicy"
},
{
"Name": "powerplatform.analytics.resource.tenant.governance.api_policy.operation_name",
"Value": "DeleteDlpPolicy"
},
{
"Name": "version",
"Value": "1.0"
},
{
"Name": "type",
"Value": "PowerPlatformAdministratorActivityRecord"
},
{
"Name": "powerplatform.analytics.activity.name",
"Value": "GovernanceApiPolicyOperation"
},
{
"Name": "powerplatform.analytics.activity.id",
"Value": "99ac5d50-a0f4-4878-8ff4-e02b7da3a510"
},
{
"Name": "enduser.id",
"Value": "888c1bf5-3127-4c8c-84ee-b6a9c684e315"
},
{
"Name": "enduser.principal_name",
"Value": admin@contosotest.onmicrosoft.com
},
{
"Name": "enduser.role",
"Value": "Admin"
},
{
"Name": "powerplatform.analytics.resource.tenant.id",
"Value": "ce65293a-e07d-4638-9dfa-79483fcd5136"
}
]
查看 Purview 中的 Microsoft 活動
在 Microsoft Purview 合規門戶中啟用審核日誌搜索后,組織的管理員活動將記錄在 Purview 審核日誌中 Microsoft 。
您可以使用多種方法在 Purview 中 Microsoft 搜尋事件。
使用 wild 卡片搜索 Purview 用戶體驗中的 Microsoft 上下文資訊。
縮小特定於單一事件的搜尋結構。
當您搜尋時,會顯示個人活動。 強制使用通用模式來支援跨活動的搜尋構造。 PropertyCollection 欄位中的值是各個活動類型專用的。
有關 Microsoft Purview 審核日誌、數據保留策略和功能的詳細資訊,請參閱 Purview Microsoft 中的審核解決方案。