Exibir Power Platform logs administrativos usando soluções de auditoria no Microsoft Purview

A administração de produtos e serviços do Power Platform pode afetar várias capacidades, como definições e operações de ambiente, políticas de dados e definições relacionadas com a integração. É importante auditar este tipo de ações que ajudam a mitigar falhas, ajudam a conter sistemas de restrições de segurança, a aderir aos requisitos de conformidade e a agir em ameaças à segurança.

Neste artigo, você aprenderá sobre as atividades que são executadas em Power Platform ambientes por aqueles que têm acesso administrativo em experiências de utente e interfaces programáveis usando o Microsoft portal de conformidade Purview. As atividades enquadram-se nas seguintes categorias:

Importante

  • As atividades administrativas para ambientes do Power Platform são ativadas por predefinição em todos os inquilinos. Não pode desativar a recolha de atividades.
  • Pelo menos um utente com uma licença E5 Microsoft 365 atribuída ou superior, conforme exigido pela Microsoft Purview. Mais informações: Soluções de auditoria em Microsoft Purview

As atividades de auditoria incluem ações feitas por Power Platform administradores, administradores de Dynamics 365, membros da função de Administrador do Sistema (para Power Platform ambientes com Dataverse), o criador ou proprietário do ambiente (para Power Platform ambientes sem Dataverse) e usuários representados que mapeiam para qualquer uma dessas funções.

Cada evento de atividade consiste num esquema comum definido em Esquema da API da Atividade de Gestão do Office 365. O esquema define o payload de metadados exclusiva de cada atividade.

Categoria de atividade: Operações do ciclo de vida do ambiente

Cada evento de atividade contém um payload de metadados específico do evento individual. As seguintes atividades de operação do ciclo de vida do ambiente são entregues à Microsoft Purview.

Evento Descrição
Ambiente aprovisionado O ambiente foi criado.
Ambiente eliminado O ambiente foi eliminado.
Ambiente recuperado Um ambiente que foi eliminado em sete dias foi recuperado.
Ambiente eliminado definitivamente O ambiente foi eliminado definitivamente.
Ambiente movido O ambiente foi movido para outro inquilino.
Ambiente copiado O ambiente, incluindo atributos específicos, como dados de aplicações, utilizadores, personalizações e esquemas, foram copiados.
Ambiente com cópia de segurança O ambiente cuja cópia de segurança foi segurança.
Ambiente restaurado O ambiente foi restaurado a partir de uma cópia de segurança.
Tipo de ambiente convertido O ambiente foi convertido para um tipo de ambiente diferente, como produção ou sandbox.
Repor ambiente Um ambiente de sandbox foi reposto.
Ambiente com versão atualizada Um componente de um ambiente foi atualizado para uma nova versão.
Ambiente renovado por CMK A chave gerida pelo cliente (CMK) foi renovada no ambiente.
Ambiente revertido por CMK O ambiente foi removido da política empresarial e a criptografia foi retornada para a Microsoft chave gerenciada.

Categoria de atividades: Atividades de alteração de propriedade e definição do ambiente

Cada evento de atividade contém um payload de metadados específico do evento individual. As seguintes propriedades de ambiente e atividades de configuração são entregues à Microsoft Purview.

Evento Descrição
Propriedade alterada no ambiente Comunica quando uma propriedade num ambiente foi alterada. Em geral, as propriedades são metadados (nomes) associados a um ambiente. Inclui alterações a:
  • Nome a apresentar
  • Nome do domínio
  • ID do grupo de segurança
  • Modo de administrador
  • Estados das operações em fundo

Categoria de atividade: Modelo de negócio e licenciamento

Cada evento de atividade contém um payload de metadados específico do evento individual. O modelo de negócios e as atividades de licenciamento a seguir são entregues à Microsoft Purview.

Categoria Evento Descrição
Política de Faturação BillingPolicyCreate Emitido quando uma nova política de faturação é criada.
Política de Faturação BillingPolicyDelete Emitido quando uma política de faturação é eliminada.
Política de Faturação BillingPolicyUpdate Emitido quando os ambientes associados a uma de política de faturação mudam (adicionados, removidos).
ISV IsvContractConsent Emitido quando um administrador de inquilinos consente num contrato de ISV.
Reivindicação automática de licença AssignLicenseAutoClaim Emitido quando uma licença é atribuída automaticamente a um utilizador através de uma política de reivindicação automática.
Reivindicação automática de licença AssignLicenseAutoClaimPolicyCreate Emitido quando uma nova política de reivindicação automática é criada.
Moeda CurrencyEnvironmentAllocate Emitido quando a moeda (suplemento) é alocada ou desalocada de um ambiente.
Avaliações TrialConvertToProduction Emitido quando um plano de avaliação é convertido num plano de produção.
Avaliações TrialEnforce Emitido quando um cliente tenta aprovisionar ambientes para além do limite da avaliação.
Avaliações TrialProvision Emitido quando um novo plano de avaliação é aprovisionado.
Avaliações TrialSignUpEligibilityCheck Emitido antes do aprovisionamento da avaliação quando ocorre uma verificação para determinar a elegibilidade da avaliação.
Avaliações TrialViralConsent Emitido quando um inquilino altera os seus tipos de plano consentidos e reflete o novo estado.
Avaliações AssignLicenseToUser Emitido quando uma licença de avaliação é atribuída a um utilizador.
Ciclo de vida do Ambiente EnvironmentDisabledByMiser Emitido quando um ambiente é desativado automaticamente devido à capacidade insuficiente da base de dados.

Categoria de atividade: Ações de administrador

Cada evento de atividade contém um payload de metadados específico do evento individual. As seguintes atividades administrativas são entregues à Microsoft Purview.

Evento Descrição
Aplicar Função de Administrador Emitido quando um administrador de inquilinos solicitou a função de Administrador do Sistema no ambiente do Dataverse.

Categoria de atividade: Operações do sistema de proteção de dados

Todas as atividades do sistema de proteção de dados estão sob a atividade LockboxRequestOperation. Cada evento de atividade contém um payload de metadados com as seguintes propriedades quando o pedido do sistema de proteção de dados é criado ou atualizado:

  • ID do pedido do sistema de proteção de dados
  • Estado do pedido do sistema de proteção de dados
  • ID do pedido de suporte do sistema de proteção de dados
  • Hora de expiração do pedido do sistema de proteção de dados.
  • Duração do acesso aos dados do sistema de proteção de dados
  • ID do Ambiente
  • O utilizador que efetuou a operação (quando o pedido do sistema de proteção de dados é criado)
Os seguintes eventos são entregues à Microsoft Purview.

Categoria Evento Descrição
Criar pedido do sistema de proteção de dados LockboxRequestOperation Emitido quando um novo pedido do sistema de proteção de dados é criado.
Atualizar pedido do sistema de proteção de dados LockboxRequestOperation Emitido quando um pedido do sistema de proteção de dados é aprovado ou recusado.
Terminado pedido de acesso ao sistema de proteção de dados LockboxRequestOperation Emitido quando um pedido do sistema de proteção de dados expirou ou o acesso terminou.

Eis um exemplo do payload de metadados que pode ser esperado de um dos eventos listados na tabela.

[
    {
        "Name": "powerplatform.analytics.resource.tenant.lockbox.data_access.duration",
        "Value": "8"
    },
    {
        "Name": "powerplatform.analytics.resource.tenant.lockbox.support_ticket.id",
        "Value": "MSFT initiated"
    },
    {
        "Name": "powerplatform.analytics.resource.tenant.lockbox.request.state",
        "Value": "Created"
    },
    {
        "Name": "powerplatform.analytics.resource.tenant.lockbox.request.expiration_time",
        "Value": "6/1/2024 11:59:15 PM +00:00"
    },
    {
        "Name": "powerplatform.analytics.resource.tenant.lockbox.request.id",
        "Value": "dfdead68-3263-4c05-9e8a-5b61ddb5878c"
    },
    {
        "Name": "version",
        "Value": "1.0"
    },
    {
        "Name": "type",
        "Value": "PowerPlatformAdministratorActivityRecord"
    },
    {
        "Name": "powerplatform.analytics.activity.name",
        "Value": "LockboxRequestOperation"
    },
    {
        "Name": "powerplatform.analytics.activity.id",
        "Value": "cb18351c-fa1c-4f34-a6d9-f8cb91636009"
    },
    {
        "Name": "powerplatform.analytics.resource.environment.id",
        "Value": "ed92c80e-89ef-e0c8-a9eb-98559ca07809"
    },
    {
        "Name": "enduser.id",
        "Value": ""
    },
    {
        "Name": "enduser.principal_name",
        "Value": "Test user"
    },
    {
        "Name": "enduser.role",
        "Value": "Admin"
    },
    {
        "Name": "powerplatform.analytics.resource.tenant.id",
        "Value": "3a568f62-11ff-4e89-bee8-4d47041b0003"
    }
]

Categoria de atividade: Eventos de política de dados

Nota

O registro de atividades para políticas de dados não está disponível atualmente em nuvens soberanas.

Nota

Atualmente, os usuários com uma licença E5 podem visualizar esses eventos de auditoria.

Todos os eventos de política de dados aparecem na atividade GovernanceApiPolicyOperation . Cada evento de atividade contém uma coleção de propriedades, que emite as seguintes propriedades:

  • Nome da Operação
  • ID da Política
  • Política nome a apresentar
  • Recursos adicionais (se aplicável)
Os seguintes eventos de política de dados são entregues à Microsoft Purview.

Categoria Descrição
Criar política de DLP Emitido quando uma nova política de dados é criada.
Atualizar Política DLP Emitido quando uma política de dados é atualizada.
Excluir política de DLP Emitido quando uma política de dados é excluída.
Criar padrões de conector personalizados Emitido quando um novo padrão de URL de conector personalizado é criado.
Atualizar padrões de conector personalizados Emitido quando um padrão de URL de conector personalizado é atualizado.
Excluir padrões de conector personalizados Emitido quando um padrão de URL de conector personalizado é excluído.
Criar configurações de conector Emitido quando uma configuração de conector é criada para a política de dados.
Atualizar configurações do conector Emitido quando uma configuração de conector é atualizada para a política de dados.
Excluir configurações do conector Emitido quando uma configuração de conector é excluída para a política de dados.
Criar escopo de política Emitido quando um novo escopo de política é criado.
Atualizar o escopo da política Emitido quando o âmbito de uma política é atualizado.
Excluir escopo da política Emitido quando um escopo de política é excluído.
Criar recursos isentos Emitido quando uma lista de recursos isentos é criada para a política de dados.
Atualizar recursos isentos Emitido quando uma lista de recursos isentos é atualizada para a política de dados.
Excluir recursos isentos Emitido quando uma lista de recursos isentos é excluída para a política de dados.
Criar política de bloqueio de conector Emitido quando uma nova política de bloqueio de conector é criada.
Atualizar a política de bloqueio do conector Emitido quando a política de bloqueio de conector é atualizada.
Excluir política de bloqueio de conector Emitido quando a política de bloqueio do conector é excluída.

Aqui está um exemplo de carga útil de metadados que podem ser esperados de um dos eventos na tabela.

[
    {
        "Name": "powerplatform.analytics.resource.tenant.governance.api_policy.additional_resources",
        "Value": "<<json>>"
    },
    {
        "Name": "powerplatform.analytics.resource.display_name",
        "Value": "ConnectorBlockingPolicy"
    },
    {
        "Name": "powerplatform.analytics.resource.tenant.governance.api_policy.operation_result",
        "Value": "True"
    },
    {
        "Name": "powerplatform.analytics.resource.id",
        "Value": "ConnectorBlockingPolicy"
    },
    {
        "Name": "powerplatform.analytics.resource.type",
        "Value": "ApiPolicy"
    },
    {
        "Name": "powerplatform.analytics.resource.tenant.governance.api_policy.operation_name",
        "Value": "DeleteDlpPolicy"
    },
    {
        "Name": "version",
        "Value": "1.0"
    },
    {
        "Name": "type",
        "Value": "PowerPlatformAdministratorActivityRecord"
    },
    {
        "Name": "powerplatform.analytics.activity.name",
        "Value": "GovernanceApiPolicyOperation"
    },
    {
        "Name": "powerplatform.analytics.activity.id",
        "Value": "99ac5d50-a0f4-4878-8ff4-e02b7da3a510"
    },
    {
        "Name": "enduser.id",
        "Value": "888c1bf5-3127-4c8c-84ee-b6a9c684e315"
    },
    {
        "Name": "enduser.principal_name",
        "Value": admin@contosotest.onmicrosoft.com
    },
    {
        "Name": "enduser.role",
        "Value": "Admin"
    },
    {
        "Name": "powerplatform.analytics.resource.tenant.id",
        "Value": "ce65293a-e07d-4638-9dfa-79483fcd5136"
    }
]

Ver atividades em Microsoft Purview

Quando a pesquisa de log de auditoria é ativada no portal de conformidade do Purview, a Microsoft atividade administrativa da sua organização é registrada no log de auditoria do Microsoft Purview.

Você pode usar vários métodos para pesquisar eventos no Microsoft Purview.

Microsoft Página de auditoria de pesquisa Purview

Use a pesquisa selvagem cartão informações contextuais na experiência do utente do Microsoft Purview.

Limite as construções de pesquisa específicas de eventos individuais.

Filtrar tipos de registro na Microsoft pesquisa de auditoria do Purview

À medida que pesquisa, são mostradas atividades individuais. Um esquema comum é imposto para permitir construções de pesquisa em todas as atividades. O valor no PropertyCollection campo é específico para cada tipo de atividade.

Para obter mais informações sobre o log de auditoria do Microsoft Purview, políticas de retenção de dados e recursos, consulte Soluções de auditoria no Microsoft Purview.

Consulte também