設定連接器以匯入醫療保健 EHR 稽核數據 (預覽)
您可以設定數據連接器,以匯入組織電子醫療保健記錄 (EHR) 系統中用戶活動的稽核數據。 來自醫療保健 EHR 系統的稽核數據包含與存取病患健康記錄相關的事件數據。 Microsoft Purview Insider Risk Management 解決方案 可以使用醫療保健 EHR 稽核數據,協助保護貴組織免於未經授權存取病患資訊。
設定 Healthcare 連接器包含下列工作:
在 Microsoft Entra ID 中建立應用程式,以存取 API 端點,該端點接受包含醫療保健 EHR 稽核數據的索引標籤分隔文本檔。
建立文字檔,其中包含連接器架構中定義的所有必要欄位。
在 Microsoft Purview 入口網站或 Microsoft Purview 合規性入口網站 中建立 Healthcare 連接器實例。
執行腳本來將醫療保健 EHR 稽核數據推送至 API 端點。
選擇性地排程自動執行文本以匯入稽核數據。
如果您想要參與預覽版,請在 與小組 dcfeedback@microsoft.com聯繫。
提示
如果您不是 E5 客戶,請使用 90 天的 Microsoft Purview 解決方案試用版來探索其他 Purview 功能如何協助貴組織管理數據安全性與合規性需求。 立即從 Microsoft Purview 合規性入口網站 試用中樞開始。 瞭解 有關註冊和試用版條款的詳細數據。
設定連接器之前
在步驟 3 中建立醫療保健連接器的用戶必須獲指派數據連接器 管理員 角色。 需要此角色,才能在 Microsoft Purview 入口網站或合規性入口網站的 [ 資料連接器 ] 頁面上新增連接器。 此角色預設會新增至多個角色群組。 如需這些角色群組的清單,請參閱 適用於 Office 365 的 Microsoft Defender 中的角色和 Microsoft Purview 合規性。 或者,組織中的系統管理員可以建立自定義角色群組、指派數據連接器 管理員 角色,然後將適當的使用者新增為成員。 如需詳細指示,請參閱:
您必須決定如何每天從組織的醫療保健 EHR 系統 (擷取或匯出數據) ,並建立步驟 2 中所述的文本檔。 您在步驟 4 中執行的文稿會將文字檔中的數據推送至 API 端點。
您在步驟 4 中執行的範例腳本會將醫療保健 EHR 稽核數據從文本檔推送至連接器 API,讓測試人員風險管理解決方案可以使用該數據。 任何 Microsoft 標準支援計劃或服務都不支援此範例腳本。 範例指令碼係依「現狀」提供,不含任何種類的擔保方式。 Microsoft 另外不承擔任何明示或默示的擔保,包括但不限於適售性或適合某特定用途的默示擔保。 使用或操作範例指令碼和文件發生的所有風險,皆屬於您的責任。 Microsoft、其作者以及其他與建置、生產或交付程式碼相關的任何人在任何情況下皆完全不需對任何損失負責任,包括但不限於商業利潤損失、業務中斷、業務資訊損失、或其他錢財損失等因使用或無法使用範例指令碼或文件所發生的損失,即使 Microsoft 曾建議這些損失發生的可能性。
步驟 1:在 Microsoft Entra ID 中建立應用程式
第一個步驟是在 Microsoft Entra ID 中建立和註冊新的應用程式。 應用程式會對應至您在步驟 3 中建立的醫療保健連接器。 建立此應用程式可讓 Microsoft Entra ID 驗證包含醫療保健 EHR 稽核數據之文本檔的推播要求。 在建立此 Microsoft Entra 應用程式期間,請務必儲存下列資訊。 這些值將在後續步驟中使用。
- Microsoft Entra 應用程式識別碼 (也稱為應用程式識別碼或用戶端標識碼)
- Microsoft Entra 應用程式秘密 (也稱為客戶端密碼)
- 租用戶標識碼 (也稱為 目錄標識 碼)
如需在 Microsoft Entra ID 中建立應用程式的逐步指示,請參閱向 Microsoft 身分識別平台 註冊應用程式。
步驟 2:使用醫療保健 EHR 稽核數據準備文本檔
下一個步驟是建立文本檔,其中包含員工存取貴組織醫療保健 EHR 系統中病患健康記錄的相關信息。 如先前所述,您必須判斷如何從醫療保健 EHR 系統產生此文本檔。 Healthcare 連接器工作流程需要具有索引標籤分隔值的文字檔,才能將文本文件中的數據與必要的連接器架構對應。 支援的檔格式為逗號 (.csv) 、管線 (.psv) ,或 tab (.tsv) 分隔文本檔。
注意事項
包含稽核數據的文字檔大小上限為 3 GB。 數據列數目上限為5百萬。 此外,請務必只包含來自醫療保健 EHR 系統的相關稽核數據。
下表列出啟用內部風險管理案例所需的欄位。 這些欄位的子集是必要的。 這些欄位會以星號 (*) 醒目提示。 如果文本文件中遺漏任何必要字段,則不會驗證檔案,也不會匯入檔案中的數據。
欄位 | 類別 |
---|---|
建立時間* 事件名稱* 工作站標識碼 事件區段 事件類別 |
這些欄位可用來識別醫療保健 EHR 系統中的存取活動事件。 |
病患 Reg Id 病患名字* 病患中間名 病患姓氏* 病患位址第 1 行* 病患位址第 2 行 病患城市* 病患郵政編碼* 病患狀態 病患國家/地區 病患部門 |
這些欄位可用來識別病患配置檔資訊。 |
限制存取原因* 限制存取批注 |
這些欄位可用來識別受限制記錄的存取權。 |
Email 位址 (UPN) 或 SamAccountName* 員工用戶名稱 員工標識碼 員工姓氏 1 員工名字 1 |
這些欄位可用來識別地址和名稱比對所需的員工配置檔資訊,以判斷對家庭/芳鄰/員工記錄的存取權。 |
注意事項
1根據預設,此欄位可能無法在您的醫療保健 EHR 系統中使用。 您必須設定匯出,以確保文字檔包含此欄位。
步驟 3:建立醫療保健連接器
下一個步驟是在 Microsoft Purview 入口網站或合規性入口網站中建立醫療保健連接器。 在步驟 4 中執行腳本之後,將會處理您在步驟 2 中建立的文字檔,並推送至您在步驟 1 中設定的 API 端點。 在此步驟中,請務必複製建立連接器時產生的JobId。 當您執行文稿時,將會使用 JobId。
針對您使用的入口網站選取適當的索引標籤。 若要深入瞭解 Microsoft Purview 入口網站,請參閱 Microsoft Purview 入口網站。 若要深入瞭解合規性入口網站,請參閱 Microsoft Purview 合規性入口網站。
選取> [設定數據連接器]。
選取 [我的連接器],然後選取 [ 新增連接器]。
從清單中,選擇 [ 醫療保健 (預覽) 。
接受服務條款。
在 [ 驗證認證 ] 頁面上,執行下列動作,然後選取 [ 下一步]:
- 輸入或貼上您在步驟 1 中建立的 Azure 應用程式 Microsoft Entra 應用程式識別碼。
- 輸入醫療保健連接器的名稱。
在 [ 檔案對應方法] 頁面上,選取下列其中一個選項,然後選取 [ 下一步]。
- 上傳範例檔案。 如果您選取此選項,請選取 [上傳範例檔案 ] 以上傳您在步驟 2 中準備的檔案。 這個選項可讓您從下拉式清單中快速選取文字檔中的數據行名稱,以將數據行對應至醫療保健連接器所需的架構。
或
- 手動提供對應詳細數據。 如果您選取此選項,則必須在文字文件中輸入資料行的名稱,以將數據行對應至醫療保健連接器所需的架構。
在 [ 檔案對應詳細數據 ] 頁面上,根據您上一個步驟中是否已上傳範例檔案,執行下列其中一項動作:
- 使用下拉式清單,將範例檔案中的數據行對應至醫療保健連接器的每個必要字段。
或
- 針對每個欄位,輸入您在步驟 2 中準備的檔案中的數據行名稱,該檔案對應至醫療保健連接器的欄位。
在 [ 檢閱] 頁面上,檢閱您的設定,然後選取 [ 完成 ] 以建立連接器。
狀態頁面隨即顯示,確認連接器已建立。 此頁面包含完成下一個步驟以執行範例腳本以上傳醫療保健 EHR 稽核數據所需的兩個重要事項。
- 作業標識碼。 您需要此作業識別碼,才能在下一個步驟中執行腳本。 您可以從此頁面或從連接器飛出視窗頁面複製它。
- 連結至範例腳本。 選取 此處 連結以移至 GitHub 網站,以存取範例腳本 (鏈接會開啟新的視窗) 。 讓此視窗保持開啟,以便在步驟 4 中複製腳本。 或者,您可以將目的地設定為書籤或複製URL,以便在執行腳本時再次存取它。 此連結也可在連接器飛出視窗頁面上取得。
選取 [完成]。
新的連接器會顯示在 [ 連接器] 索 引標籤上的清單中。
選取您剛才建立的 Healthcare 連接器,以顯示飛出視窗頁面,其中包含連接器的屬性和其他資訊。
如果您尚未這麼做,您可以複製 Azure App 識別碼和連接器作業標識碼的值。 您需要這些專案,才能在下一個步驟中執行腳本。 您也可以從飛出視窗頁面下載腳本 (或使用下一個步驟中的鏈接下載。)
您也可以選取 [編輯] 來變更 Azure App 識別碼或您在 [檔案對應] 頁面上定義的數據行標頭名稱。
步驟 4:執行範例腳本以上傳醫療保健 EHR 稽核數據
設定 Healthcare 連接器的最後一個步驟是執行範例腳本,將您在步驟 1 中建立的文本檔 (中的醫療保健 EHR 稽核數據上傳) 至 Microsoft 雲端。 具體而言,腳本會將數據上傳至 Healthcare 連接器。 執行腳本之後,您在步驟 3 中建立的醫療保健連接器會將醫療保健 EHR 稽核數據匯入您的 Microsoft 365 組織,讓其他合規性工具可以存取該數據,例如測試人員風險管理解決方案。 執行腳本之後,請考慮排程每天自動執行的工作,以便將最新的員工離職數據上傳至 Microsoft 雲端。 請 參閱 (選擇性) 步驟 6:排程自動執行腳本。
注意事項
如先前所述,包含稽核數據的文本檔大小上限為 3 GB。 數據列數目上限為5百萬。 您在此步驟中執行的腳本需要大約 30 到 40 分鐘的時間,才能從大型文本檔匯入稽核數據。 此外,腳本會將大型文本檔分割成 10 萬個數據列的較社區塊,然後循序匯入這些區塊。
移至您在上一個步驟中保持開啟的視窗,以使用範例腳本存取 GitHub 網站。 或者,開啟已加上書籤的網站,或使用您複製的URL。 您也可以 在這裡存取文稿。
選取 [原始] 按鈕以在文字檢視中顯示文稿。
複製範例文本中的所有行,然後將它們儲存至文本檔。
視需要修改組織的範例腳本。
使用的檔案名後綴
.ps1
,將文字檔案儲存為 Windows PowerShell 文稿檔案,HealthcareConnector.ps1
例如 。在本機計算機上開啟命令提示字元,然後移至您儲存腳本的目錄。
執行下列命令,將文本檔中的醫療保健稽核數據上傳至 Microsoft 雲端;例如:
.\HealthcareConnector.ps1 -tenantId <tenantId> -appId <appId> -appSecret <appSecret> -jobId <jobId> -filePath '<filePath>'
下表描述要搭配此腳本使用的參數及其必要值。 您在先前步驟中取得的資訊會用於這些參數的值中。
參數 | 描述 |
---|---|
tenantId | 這是您在步驟 1 中取得的 Microsoft 365 組織識別碼。 您也可以在 Microsoft Entra 系統管理中心 的 [概觀] 刀鋒視窗上取得組織的租用戶標識碼。 這是用來識別您的組織。 |
appId | 這是您在步驟 1 中 Microsoft Entra ID 建立之應用程式的 Microsoft Entra 應用程式識別碼。 當腳本嘗試存取您的 Microsoft 365 組織時,Microsoft Entra ID 會使用此項目進行驗證。 |
appSecret | 這是您在步驟 1 中 Microsoft Entra ID 建立之應用程式的 Microsoft Entra 應用程式密碼。 這也用於驗證。 |
jobId | 這是您在步驟 3 中建立的醫療保健連接器作業標識碼。 這是用來將上傳至 Microsoft 雲端的醫療保健 EHR 稽核數據與醫療保健連接器建立關聯。 |
filePath | 這是文本文件的檔案路徑, (與您在步驟 2 中建立的腳本) 儲存在相同的系統上。 請嘗試避免檔案路徑中有空格;否則請使用單引號。 |
以下是針對每個參數使用實際值的 Healthcare 連接器腳本語法範例:
.\HealthcareConnector.ps1 -tenantId d5723623-11cf-4e2e-b5a5-01d1506273g9 -appId 29ee526e-f9a7-4e98-a682-67f41bfd643e -appSecret MNubVGbcQDkGCnn -jobId b8be4a7d-e338-43eb-a69e-c513cd458eba -filePath 'C:\Users\contosoadmin\Desktop\Data\healthcare_audit_records.csv'
如果上傳成功,腳本會顯示 上傳成功 訊息。
注意事項
如果您因為執行原則而無法執行上一個命令,請參閱 關於執行原則 和 Set-ExecutionPolicy ,以取得有關設定執行原則的指引。
步驟 5:監視醫療保健連接器
建立 Healthcare 連接器並推送 EHR 稽核數據之後,您可以在 Microsoft Purview 入口網站或合規性入口網站中檢視連接器和上傳狀態。 如果您排程定期自動執行文稿,您也可以在上次執行腳本之後檢視目前的狀態。
針對您使用的入口網站選取適當的索引標籤。 若要深入瞭解 Microsoft Purview 入口網站,請參閱 Microsoft Purview 入口網站。 若要深入瞭解合規性入口網站,請參閱 Microsoft Purview 合規性入口網站。
選取> [設定數據連接器]。
選取 [我的連接器],然後選取您建立以顯示飛出視窗頁面的 Healthcare 連接器。 此頁面包含連接器的屬性和資訊。
在 [ 上次匯入] 底下,選取 [下載記錄] 鏈接以開啟 (或儲存) 連接器的狀態記錄檔。 此記錄檔包含每次腳本執行並將數據從文本檔上傳至 Microsoft 雲端時的相關信息。
欄
RecordsSaved
位會指出上傳之文字檔中的數據列數目。 例如,如果文本檔包含四個數據列,則如果腳本成功上傳文本檔中的所有數據列,欄位的RecordsSaved
值會是 4。
如果您尚未在步驟 4 中執行腳本,[ 上次匯入] 底下會顯示下載腳本的連結。 您可以下載文本,然後遵循步驟來執行腳本。
(選擇性) 步驟 6:排程腳本自動執行
若要確定來自醫療保健 EHR 系統的最新稽核數據可供測試人員風險管理解決方案等工具使用,建議您將腳本排程為每天自動執行。 這也需要您在類似 (的相同文本檔中更新 EHR 稽核數據,如果) 排程不相同,則該數據會包含員工有關病患記錄存取活動的最新資訊。 目標是上傳最新的稽核數據,讓 Healthcare 連接器可以提供給測試人員風險管理解決方案使用。
您可以使用 Windows 中的工作排程器應用程式,每天自動執行腳本。
在本機計算機上,選取 [Windows 開始 ] 按鈕,然後輸入 工作排程器。
選取 [工作排程器 ] 應用程式加以開啟。
在 [ 動作] 區 段中,選取 [ 建立工作]。
在 [ 一般] 索引標籤上,輸入排程工作的描述性名稱;例如, Healthcare 連接器腳本。 您也可以新增選擇性描述。
在 [ 安全性選項] 下,執行下列動作:
- 判斷是否只在登入計算機時才執行腳本,或在登入時執行腳本。
- 確定已選取 [ 以最高許可權執行] 複選框。
選取 [ 觸發程式] 索引標籤 ,選取 [ 新增],然後執行下列動作:
- 在 [ 設定] 下,選取 [ 每日] 選項,然後選擇第一次執行腳本的日期和時間。 文本會每天在相同的指定時間執行。
- 在 [ 進階設定] 下,確定已選取 [ 已啟用 ] 複選框。
- 選取 [確定]。
選取 [ 動作] 索引 標籤,選取 [ 新增],然後執行下列動作:
- 在 [ 動作] 下拉式清單中,確定已選取 [ 啟動程式 ]。
- 在 [ 程式/腳本] 方塊中,選取 [ 流覽],然後移至下列位置並加以選取,讓路徑顯示在方塊中:C:.0.exe。
- 在 [ 新增自變數 (選擇性) ] 方塊中,貼上您在步驟 4 中執行的相同腳本命令。 例如,
.\HealthcareConnector.ps1 -tenantId "d5723623-11cf-4e2e-b5a5-01d1506273g9" -appId "c12823b7-b55a-4989-faba-02de41bb97c3" -appSecret "MNubVGbcQDkGCnn" -jobId "e081f4f4-3831-48d6-7bb3-fcfab1581458" -filePath "C:\Healthcare\audit\records.txt"
- 在 [ (選用) 開始] 方塊中,貼上您在步驟 4 中執行之腳本的資料夾位置。 例如,C:\Healthcare\audit。
- 選取 [確定 ] 以儲存新動作的設定。
在 [ 建立工作] 視窗中,選取 [ 確定] 以儲存排程的工作。 系統可能會提示您輸入使用者帳戶認證。
新的工作會顯示在工作排程器連結庫中。
上次執行文本的時間,以及下一次排程執行時會顯示。 您可以按下選取要編輯的工作。
您也可以確認上次腳本在合規性中心對應 Healthcare 連接器的飛出視窗頁面上執行的時間。