Afficher les journaux administratifs à l’aide des solutions d’audit dans Purview Power Platform Microsoft

L’administration des produits et services Power Platform peut affecter diverses fonctionnalités telles que les paramètres et les opérations de l’environnement, les politiques de données et les paramètres liés à l’intégration. Il est important d’auditer les actions qui contribuent à atténuer les défaillances, à contenir les systèmes de contraintes de sécurité, à respecter les exigences de conformité et à réagir aux menaces de sécurité.

Dans cet article, vous en apprendrez plus sur les activités effectuées sur les environnements par les personnes disposant d’un accès administratif aux expériences utilisateur et aux interfaces programmables à l’aide du portail de conformité Purview. Power Platform Microsoft Ces activités relèvent des catégories suivantes :

Important

  • Les activités d’administration pour les environnements Power Platform sont activées par défaut sur tous les clients. Vous ne pouvez pas désactiver la collection d’activités.
  • Au moins un utilisateur disposant d’une licence E5 ou supérieure attribuée, comme requis par Purview. Microsoft 365 Microsoft Plus d’informations : Solutions d’audit dans Microsoft Purview

Les activités d’audit incluent les actions effectuées par les administrateurs, les administrateurs Dynamics 365, les membres du rôle système Administrateur (pour les environnements avec), le créateur ou le propriétaire environnement (pour les environnements sans) et les utilisateurs imités qui correspondent à l’un de ces rôles. Power Platform Power Platform Dataverse Power Platform Dataverse

Chaque événement d’activité consiste en un schéma commun défini dans le Office 365 Schéma de l’API d’activité de gestion. Le schéma définit la charge utile de métadonnées qui est unique pour chaque activité.

Catégorie d’activité : Opérations de cycle de vie de l’environnement

Chaque événement d’activité contient une charge utile de métadonnées spécifiques à l’événement individuel. Les activités d’opérations du cycle de vie environnement suivantes sont livrées à Microsoft Purview.

Événement Description
Environnement mis en service L’environnement a été créé.
Environnement supprimé L'environnement a été supprimé.
Environnement récupéré Un environnement supprimé dans les sept jours a été récupéré.
Environnement supprimé définitivement L'environnement a été supprimé définitivement.
Environnement déplacé L'environnement a été déplacé vers un autre client.
Environnement copié L’environnement, y compris les attributs spécifiques tels que les données d’application, les utilisateurs, les personnalisations et les schémas, a été copié.
Environnement sauvegardé L’environnement a été sauvegardé.
Environnement restauré L’environnement a été restauré à partir d’une sauvegarde.
Type d'environnement converti L’environnement a été converti en un type d’environnement différent, tel que production ou bac à sable.
Réinitialiser l'environnement Un environnement bac à sable a été réintialisé.
Environnement mis à niveau Un composant d’un environnement a été mis à niveau vers une nouvelle version.
Clé CMK de l'environnement renouvelée La clé gérée par le client (CMK) de l’environnement a été renouvelée.
Clé CMK de l'environnement annulée Environnement a été supprimé de la politique d’entreprise et le chiffrement a été renvoyé à la clé gérée par Microsoft.

Catégorie d'activité : Activités liées à la modification des propriétés de l’environnement et de son paramétrage

Chaque événement d’activité contient une charge utile de métadonnées spécifiques à l’événement individuel. Les activités de propriété et de paramètre environnement suivantes sont livrées à Microsoft Purview.

Événement Description
Propriété de l’environnement modifiée Indique lorsqu’une propriété d’un environnement a changé. En général, les propriétés sont des métadonnées (noms) associées à un environnement. Comprend les changements des éléments suivants :
  • Display name
  • Nom du domaine
  • ID du groupe de sécurité
  • Mode administrateur
  • État des opérations en arrière-plan

Catégorie d’activité : modèle commercial et licences

Chaque événement d’activité contient une charge utile de métadonnées spécifiques à l’événement individuel. Le modèle commercial et les activités de licence suivants sont fournis à Microsoft Purview.

Catégorie Événement Description
Stratégie de facturation BillingPolicyCreate Émis lorsqu’une nouvelle stratégie de facturation est créée.
Stratégie de facturation BillingPolicyDelete Émis lorsqu’une stratégie de facturation est supprimée.
Stratégie de facturation BillingPolicyUpdate Émis lorsque les environnements liés à une stratégie de facturation sont modifiés (ajoutés, supprimés).
Éditeur de logiciels indépendant IsvContractConsent Émis lorsqu’un administrateur de client accepte un contrat ISV.
Demande automatique de licences AssignLicenseAutoClaim Émis lorsqu’une licence est attribuée automatiquement à un utilisateur via une stratégie de demande automatique.
Demande automatique de licences AssignLicenseAutoClaimPolicyCreate Émis lorsqu’une nouvelle stratégie de demande automatique est créée.
Devise CurrencyEnvironmentAllocate Émis lorsqu’une devise (module complémentaire) est allouée ou désallouée à un environnement.
Essais TrialConvertToProduction Émis lorsqu’un plan d’essai est converti en plan de production.
Essais TrialEnforce Émis lorsqu’un client tente d’approvisionner des environnements au-delà de la limite d’essai.
Essais TrialProvision Émis lorsqu’un nouveau plan d’essai est approvisionné.
Essais TrialSignUpEligibilityCheck Émis avant l’approvisionnement de la version d’essai lorsqu’une vérification est effectuée pour déterminer l’éligibilité de la version d’essai.
Essais TrialViralConsent Émis lorsqu’un locataire modifie les types de plans qu’il a acceptés, et reflète le nouvel état.
Essais AssignLicenseToUser Émis lorsqu’une licence d’essai est attribuée à un utilisateur.
Cycle de vie de l’environnement EnvironmentDisabledByMiser Émis lorsqu’un environnement est automatiquement désactivé en raison d’une capacité de base de données insuffisante.

Catégorie d’activité : actions d’administration

Chaque événement d’activité contient une charge utile de métadonnées spécifiques à l’événement individuel. Les activités administratives suivantes sont livrées à Microsoft Purview.

Événement Description
Appliquer le rôle d’administrateur Émis lorsqu’un administrateur de client a demandé le rôle Administrateur système de Dataverse dans l’environnement.

Catégorie d’activité : Opérations Lockbox

Toutes les activités du lockbox se trouvent sous l’activité LockboxRequestOperation. Chaque événement d’activité contient une charge utile de métadonnées avec les propriétés suivantes lorsque la demande lockbox est créée ou mise à jour :

  • ID requête Lockbox
  • État les requêtes Lockbox
  • ID du ticket de support Lockbox
  • Heure d’expiration de la requête Lockbox.
  • Durée d’accès aux données du Lockbox
  • ID environnement
  • Utilisateur qui a effectué l’opération (lors de la création de la demande lockbox)
Les événements suivants sont livrés à Microsoft Purview.

Catégorie Événement Description
Créer les requêtes Lockbox LockboxRequestOperation Émis lors de la création d’une demande Lockbox.
Mettre à jour les requêtes Lockbox LockboxRequestOperation Émis lorsqu’une demande de lockbox est approuvée ou refusée.
Accès requête Lockbox finie LockboxRequestOperation Émis lorsqu’une demande de lockbox a expiré ou que l’accès a pris fin.

Voici un exemple de la charge utile de métadonnées que l’on peut attendre de l’un des événements répertoriés dans le tableau.

[
    {
        "Name": "powerplatform.analytics.resource.tenant.lockbox.data_access.duration",
        "Value": "8"
    },
    {
        "Name": "powerplatform.analytics.resource.tenant.lockbox.support_ticket.id",
        "Value": "MSFT initiated"
    },
    {
        "Name": "powerplatform.analytics.resource.tenant.lockbox.request.state",
        "Value": "Created"
    },
    {
        "Name": "powerplatform.analytics.resource.tenant.lockbox.request.expiration_time",
        "Value": "6/1/2024 11:59:15 PM +00:00"
    },
    {
        "Name": "powerplatform.analytics.resource.tenant.lockbox.request.id",
        "Value": "dfdead68-3263-4c05-9e8a-5b61ddb5878c"
    },
    {
        "Name": "version",
        "Value": "1.0"
    },
    {
        "Name": "type",
        "Value": "PowerPlatformAdministratorActivityRecord"
    },
    {
        "Name": "powerplatform.analytics.activity.name",
        "Value": "LockboxRequestOperation"
    },
    {
        "Name": "powerplatform.analytics.activity.id",
        "Value": "cb18351c-fa1c-4f34-a6d9-f8cb91636009"
    },
    {
        "Name": "powerplatform.analytics.resource.environment.id",
        "Value": "ed92c80e-89ef-e0c8-a9eb-98559ca07809"
    },
    {
        "Name": "enduser.id",
        "Value": ""
    },
    {
        "Name": "enduser.principal_name",
        "Value": "Test user"
    },
    {
        "Name": "enduser.role",
        "Value": "Admin"
    },
    {
        "Name": "powerplatform.analytics.resource.tenant.id",
        "Value": "3a568f62-11ff-4e89-bee8-4d47041b0003"
    }
]

Catégorie d’activité : Événements sur la politique des données

Note

La journalisation des activités pour les politiques de données n’est actuellement pas disponible dans les clouds souverains.

Note

Actuellement, les utilisateurs disposant d’une licence E5 peuvent visualiser ces événements d’audit.

Tous les événements de politique de données s’affichent sous l’activité GovernanceApiPolicyOperation . Chaque événement d’activité contient une collection de propriétés, qui émet les propriétés suivantes :

  • Nom de l’opération
  • ID de stratégie
  • Politique nom complet
  • Ressources supplémentaires (le cas échéant)
Les événements de politique de données suivants sont transmis à Microsoft Purview.

Catégorie Description
Créer une politique DLP Émis lorsqu’une nouvelle politique de données est créée.
Mettre à jour la stratégie DLP Émis lorsqu’une politique de données est mise à jour.
Supprimer la politique DLP Émis lorsqu’une politique de données est supprimée.
Créer des modèles de connecteurs personnalisés Émis lorsqu’un nouveau modèle d’URL de connecteur personnalisé est créé.
Mettre à jour les modèles de connecteurs personnalisés Émis lorsqu’un modèle d’URL de connecteur personnalisé est mis à jour.
Supprimer les modèles de connecteur personnalisés Émis lorsqu’un modèle d’URL de connecteur personnalisé est supprimé.
Créer des configurations de connecteur Émis lorsqu’une configuration de connecteur est créée pour la politique de données.
Mettre à jour les configurations des connecteurs Émis lorsqu’une configuration de connecteur est mise à jour pour la politique de données.
Supprimer les configurations de connecteur Émis lorsqu’une configuration de connecteur est supprimée pour la politique de données.
Créer une portée de politique Émis lorsqu’une nouvelle portée de politique est créée.
Mettre à jour la portée de la politique Émis lorsqu’une portée de politique est mise à jour.
Supprimer la portée de la politique Émis lorsqu’une portée de politique est supprimée.
Créer des ressources exemptées Émis lorsqu’une liste de ressources exemptées est créée pour la politique de données.
Mettre à jour les ressources exemptées Émis lorsqu’une liste de ressources exemptées est mise à jour pour la politique de données.
Supprimer les ressources exemptées Émis lorsqu’une liste de ressources exemptées est supprimée pour la politique de données.
Créer une politique de blocage des connecteurs Émis lorsqu’une nouvelle politique de blocage de connecteur est créée.
Mettre à jour la politique de blocage des connecteurs Émis lorsque la politique de blocage du connecteur est mise à jour.
Supprimer la politique de blocage des connecteurs Émis lorsque la politique de blocage du connecteur est supprimée.

Voici un exemple de charge utile de métadonnées que l’on peut attendre de l’un des événements du tableau.

[
    {
        "Name": "powerplatform.analytics.resource.tenant.governance.api_policy.additional_resources",
        "Value": "<<json>>"
    },
    {
        "Name": "powerplatform.analytics.resource.display_name",
        "Value": "ConnectorBlockingPolicy"
    },
    {
        "Name": "powerplatform.analytics.resource.tenant.governance.api_policy.operation_result",
        "Value": "True"
    },
    {
        "Name": "powerplatform.analytics.resource.id",
        "Value": "ConnectorBlockingPolicy"
    },
    {
        "Name": "powerplatform.analytics.resource.type",
        "Value": "ApiPolicy"
    },
    {
        "Name": "powerplatform.analytics.resource.tenant.governance.api_policy.operation_name",
        "Value": "DeleteDlpPolicy"
    },
    {
        "Name": "version",
        "Value": "1.0"
    },
    {
        "Name": "type",
        "Value": "PowerPlatformAdministratorActivityRecord"
    },
    {
        "Name": "powerplatform.analytics.activity.name",
        "Value": "GovernanceApiPolicyOperation"
    },
    {
        "Name": "powerplatform.analytics.activity.id",
        "Value": "99ac5d50-a0f4-4878-8ff4-e02b7da3a510"
    },
    {
        "Name": "enduser.id",
        "Value": "888c1bf5-3127-4c8c-84ee-b6a9c684e315"
    },
    {
        "Name": "enduser.principal_name",
        "Value": admin@contosotest.onmicrosoft.com
    },
    {
        "Name": "enduser.role",
        "Value": "Admin"
    },
    {
        "Name": "powerplatform.analytics.resource.tenant.id",
        "Value": "ce65293a-e07d-4638-9dfa-79483fcd5136"
    }
]

Afficher les activités dans Microsoft Purview

Lorsque la recherche dans le journal d’audit est activée dans le portail de conformité Purview, l’activité d’administration de votre organisation est enregistrée dans le journal d’audit Purview. Microsoft Microsoft

Vous pouvez utiliser plusieurs méthodes pour rechercher des événements dans Microsoft Purview.

Microsoft Page d’audit de recherche Purview

Utilisez la recherche sauvage carte pour obtenir des informations contextuelles dans l’expérience utilisateur Microsoft Purview.

Affinez les constructions de recherche spécifiques à des événements individuels.

Filtrer les types d’enregistrement dans la recherche d’audit Purview Microsoft

Au fur et à mesure de votre recherche, les activités individuelles s'affichent. Un schéma commun est appliqué pour permettre des constructions de recherche dans toutes les activités. La valeur du champ PropertyCollection est spécifique à chaque type d’activité.

Pour plus d’informations sur le journal d’audit, les stratégies de conservation des données et les fonctionnalités de Purview, consultez la section Solutions d’audit dans Purview. Microsoft Microsoft

Voir aussi