Exibir Power Platform logs administrativos usando soluções de auditoria no Microsoft Purview
A administração de produtos e serviços do Power Platform pode afetar várias capacidades, como definições e operações de ambiente, políticas de dados e definições relacionadas com a integração. É importante auditar este tipo de ações que ajudam a mitigar falhas, ajudam a conter sistemas de restrições de segurança, a aderir aos requisitos de conformidade e a agir em ameaças à segurança.
Neste artigo, você aprenderá sobre as atividades que são executadas em Power Platform ambientes por aqueles que têm acesso administrativo em experiências de utente e interfaces programáveis usando o Microsoft portal de conformidade Purview. As atividades enquadram-se nas seguintes categorias:
- Operações do ciclo de vida do ambiente
- Propriedade do ambiente e atividades de alteração de configuração
Importante
- As atividades administrativas para ambientes do Power Platform são ativadas por predefinição em todos os inquilinos. Não pode desativar a recolha de atividades.
- Pelo menos um utente com uma licença E5 Microsoft 365 atribuída ou superior, conforme exigido pela Microsoft Purview. Mais informações: Soluções de auditoria em Microsoft Purview
As atividades de auditoria incluem ações feitas por Power Platform administradores, administradores de Dynamics 365, membros da função de Administrador do Sistema (para Power Platform ambientes com Dataverse), o criador ou proprietário do ambiente (para Power Platform ambientes sem Dataverse) e usuários representados que mapeiam para qualquer uma dessas funções.
Cada evento de atividade consiste num esquema comum definido em Esquema da API da Atividade de Gestão do Office 365. O esquema define o payload de metadados exclusiva de cada atividade.
Categoria de atividade: Operações do ciclo de vida do ambiente
Cada evento de atividade contém um payload de metadados específico do evento individual. As seguintes atividades de operação do ciclo de vida do ambiente são entregues à Microsoft Purview.
| Evento | Descrição |
|---|---|
| Ambiente aprovisionado | O ambiente foi criado. |
| Ambiente eliminado | O ambiente foi eliminado. |
| Ambiente recuperado | Um ambiente que foi eliminado em sete dias foi recuperado. |
| Ambiente eliminado definitivamente | O ambiente foi eliminado definitivamente. |
| Ambiente movido | O ambiente foi movido para outro inquilino. |
| Ambiente copiado | O ambiente, incluindo atributos específicos, como dados de aplicações, utilizadores, personalizações e esquemas, foram copiados. |
| Ambiente com cópia de segurança | O ambiente cuja cópia de segurança foi segurança. |
| Ambiente restaurado | O ambiente foi restaurado a partir de uma cópia de segurança. |
| Tipo de ambiente convertido | O ambiente foi convertido para um tipo de ambiente diferente, como produção ou sandbox. |
| Repor ambiente | Um ambiente de sandbox foi reposto. |
| Ambiente com versão atualizada | Um componente de um ambiente foi atualizado para uma nova versão. |
| Ambiente renovado por CMK | A chave gerida pelo cliente (CMK) foi renovada no ambiente. |
| Ambiente revertido por CMK | O ambiente foi removido da política empresarial e a criptografia foi retornada para a Microsoft chave gerenciada. |
Categoria de atividades: Atividades de alteração de propriedade e definição do ambiente
Cada evento de atividade contém um payload de metadados específico do evento individual. As seguintes propriedades de ambiente e atividades de configuração são entregues à Microsoft Purview.
| Evento | Descrição |
|---|---|
| Propriedade alterada no ambiente | Comunica quando uma propriedade num ambiente foi alterada. Em geral, as propriedades são metadados (nomes) associados a um ambiente. Inclui alterações a:
|
Categoria de atividade: Modelo de negócio e licenciamento
Cada evento de atividade contém um payload de metadados específico do evento individual. O modelo de negócios e as atividades de licenciamento a seguir são entregues à Microsoft Purview.
| Categoria | Evento | Descrição |
|---|---|---|
| Política de Faturação | BillingPolicyCreate | Emitido quando uma nova política de faturação é criada. |
| Política de Faturação | BillingPolicyDelete | Emitido quando uma política de faturação é eliminada. |
| Política de Faturação | BillingPolicyUpdate | Emitido quando os ambientes associados a uma de política de faturação mudam (adicionados, removidos). |
| ISV | IsvContractConsent | Emitido quando um administrador de inquilinos consente num contrato de ISV. |
| Reivindicação automática de licença | AssignLicenseAutoClaim | Emitido quando uma licença é atribuída automaticamente a um utilizador através de uma política de reivindicação automática. |
| Reivindicação automática de licença | AssignLicenseAutoClaimPolicyCreate | Emitido quando uma nova política de reivindicação automática é criada. |
| Moeda | CurrencyEnvironmentAllocate | Emitido quando a moeda (suplemento) é alocada ou desalocada de um ambiente. |
| Avaliações | TrialConvertToProduction | Emitido quando um plano de avaliação é convertido num plano de produção. |
| Avaliações | TrialEnforce | Emitido quando um cliente tenta aprovisionar ambientes para além do limite da avaliação. |
| Avaliações | TrialProvision | Emitido quando um novo plano de avaliação é aprovisionado. |
| Avaliações | TrialSignUpEligibilityCheck | Emitido antes do aprovisionamento da avaliação quando ocorre uma verificação para determinar a elegibilidade da avaliação. |
| Avaliações | TrialViralConsent | Emitido quando um inquilino altera os seus tipos de plano consentidos e reflete o novo estado. |
| Avaliações | AssignLicenseToUser | Emitido quando uma licença de avaliação é atribuída a um utilizador. |
| Ciclo de vida do Ambiente | EnvironmentDisabledByMiser | Emitido quando um ambiente é desativado automaticamente devido à capacidade insuficiente da base de dados. |
Categoria de atividade: Ações de administrador
Cada evento de atividade contém um payload de metadados específico do evento individual. As seguintes atividades administrativas são entregues à Microsoft Purview.
| Evento | Descrição |
|---|---|
| Aplicar Função de Administrador | Emitido quando um administrador de inquilinos solicitou a função de Administrador do Sistema no ambiente do Dataverse. |
Categoria de atividade: Operações do sistema de proteção de dados
Todas as atividades do sistema de proteção de dados estão sob a atividade LockboxRequestOperation. Cada evento de atividade contém um payload de metadados com as seguintes propriedades quando o pedido do sistema de proteção de dados é criado ou atualizado:
- ID do pedido do sistema de proteção de dados
- Estado do pedido do sistema de proteção de dados
- ID do pedido de suporte do sistema de proteção de dados
- Hora de expiração do pedido do sistema de proteção de dados.
- Duração do acesso aos dados do sistema de proteção de dados
- ID do Ambiente
- O utilizador que efetuou a operação (quando o pedido do sistema de proteção de dados é criado)
| Categoria | Evento | Descrição |
|---|---|---|
| Criar pedido do sistema de proteção de dados | LockboxRequestOperation | Emitido quando um novo pedido do sistema de proteção de dados é criado. |
| Atualizar pedido do sistema de proteção de dados | LockboxRequestOperation | Emitido quando um pedido do sistema de proteção de dados é aprovado ou recusado. |
| Terminado pedido de acesso ao sistema de proteção de dados | LockboxRequestOperation | Emitido quando um pedido do sistema de proteção de dados expirou ou o acesso terminou. |
Eis um exemplo do payload de metadados que pode ser esperado de um dos eventos listados na tabela.
[
{
"Name": "powerplatform.analytics.resource.tenant.lockbox.data_access.duration",
"Value": "8"
},
{
"Name": "powerplatform.analytics.resource.tenant.lockbox.support_ticket.id",
"Value": "MSFT initiated"
},
{
"Name": "powerplatform.analytics.resource.tenant.lockbox.request.state",
"Value": "Created"
},
{
"Name": "powerplatform.analytics.resource.tenant.lockbox.request.expiration_time",
"Value": "6/1/2024 11:59:15 PM +00:00"
},
{
"Name": "powerplatform.analytics.resource.tenant.lockbox.request.id",
"Value": "dfdead68-3263-4c05-9e8a-5b61ddb5878c"
},
{
"Name": "version",
"Value": "1.0"
},
{
"Name": "type",
"Value": "PowerPlatformAdministratorActivityRecord"
},
{
"Name": "powerplatform.analytics.activity.name",
"Value": "LockboxRequestOperation"
},
{
"Name": "powerplatform.analytics.activity.id",
"Value": "cb18351c-fa1c-4f34-a6d9-f8cb91636009"
},
{
"Name": "powerplatform.analytics.resource.environment.id",
"Value": "ed92c80e-89ef-e0c8-a9eb-98559ca07809"
},
{
"Name": "enduser.id",
"Value": ""
},
{
"Name": "enduser.principal_name",
"Value": "Test user"
},
{
"Name": "enduser.role",
"Value": "Admin"
},
{
"Name": "powerplatform.analytics.resource.tenant.id",
"Value": "3a568f62-11ff-4e89-bee8-4d47041b0003"
}
]
Categoria de atividade: Eventos de política de dados
Nota
O registro de atividades para políticas de dados não está disponível atualmente em nuvens soberanas.
Nota
Atualmente, os usuários com uma licença E5 podem visualizar esses eventos de auditoria.
Todos os eventos de política de dados aparecem na atividade GovernanceApiPolicyOperation . Cada evento de atividade contém uma coleção de propriedades, que emite as seguintes propriedades:
- Nome da Operação
- ID da Política
- Política nome a apresentar
- Recursos adicionais (se aplicável)
| Categoria | Descrição |
|---|---|
| Criar política de DLP | Emitido quando uma nova política de dados é criada. |
| Atualizar Política DLP | Emitido quando uma política de dados é atualizada. |
| Excluir política de DLP | Emitido quando uma política de dados é excluída. |
| Criar padrões de conector personalizados | Emitido quando um novo padrão de URL de conector personalizado é criado. |
| Atualizar padrões de conector personalizados | Emitido quando um padrão de URL de conector personalizado é atualizado. |
| Excluir padrões de conector personalizados | Emitido quando um padrão de URL de conector personalizado é excluído. |
| Criar configurações de conector | Emitido quando uma configuração de conector é criada para a política de dados. |
| Atualizar configurações do conector | Emitido quando uma configuração de conector é atualizada para a política de dados. |
| Excluir configurações do conector | Emitido quando uma configuração de conector é excluída para a política de dados. |
| Criar escopo de política | Emitido quando um novo escopo de política é criado. |
| Atualizar o escopo da política | Emitido quando o âmbito de uma política é atualizado. |
| Excluir escopo da política | Emitido quando um escopo de política é excluído. |
| Criar recursos isentos | Emitido quando uma lista de recursos isentos é criada para a política de dados. |
| Atualizar recursos isentos | Emitido quando uma lista de recursos isentos é atualizada para a política de dados. |
| Excluir recursos isentos | Emitido quando uma lista de recursos isentos é excluída para a política de dados. |
| Criar política de bloqueio de conector | Emitido quando uma nova política de bloqueio de conector é criada. |
| Atualizar a política de bloqueio do conector | Emitido quando a política de bloqueio de conector é atualizada. |
| Excluir política de bloqueio de conector | Emitido quando a política de bloqueio do conector é excluída. |
Aqui está um exemplo de carga útil de metadados que podem ser esperados de um dos eventos na tabela.
[
{
"Name": "powerplatform.analytics.resource.tenant.governance.api_policy.additional_resources",
"Value": "<<json>>"
},
{
"Name": "powerplatform.analytics.resource.display_name",
"Value": "ConnectorBlockingPolicy"
},
{
"Name": "powerplatform.analytics.resource.tenant.governance.api_policy.operation_result",
"Value": "True"
},
{
"Name": "powerplatform.analytics.resource.id",
"Value": "ConnectorBlockingPolicy"
},
{
"Name": "powerplatform.analytics.resource.type",
"Value": "ApiPolicy"
},
{
"Name": "powerplatform.analytics.resource.tenant.governance.api_policy.operation_name",
"Value": "DeleteDlpPolicy"
},
{
"Name": "version",
"Value": "1.0"
},
{
"Name": "type",
"Value": "PowerPlatformAdministratorActivityRecord"
},
{
"Name": "powerplatform.analytics.activity.name",
"Value": "GovernanceApiPolicyOperation"
},
{
"Name": "powerplatform.analytics.activity.id",
"Value": "99ac5d50-a0f4-4878-8ff4-e02b7da3a510"
},
{
"Name": "enduser.id",
"Value": "888c1bf5-3127-4c8c-84ee-b6a9c684e315"
},
{
"Name": "enduser.principal_name",
"Value": admin@contosotest.onmicrosoft.com
},
{
"Name": "enduser.role",
"Value": "Admin"
},
{
"Name": "powerplatform.analytics.resource.tenant.id",
"Value": "ce65293a-e07d-4638-9dfa-79483fcd5136"
}
]
Ver atividades em Microsoft Purview
Quando a pesquisa de log de auditoria é ativada no portal de conformidade do Purview, a Microsoft atividade administrativa da sua organização é registrada no log de auditoria do Microsoft Purview.
Você pode usar vários métodos para pesquisar eventos no Microsoft Purview.
Use a pesquisa selvagem cartão informações contextuais na experiência do utente do Microsoft Purview.
Limite as construções de pesquisa específicas de eventos individuais.
À medida que pesquisa, são mostradas atividades individuais. Um esquema comum é imposto para permitir construções de pesquisa em todas as atividades. O valor no PropertyCollection campo é específico para cada tipo de atividade.
Para obter mais informações sobre o log de auditoria do Microsoft Purview, políticas de retenção de dados e recursos, consulte Soluções de auditoria no Microsoft Purview.
Consulte também
- Soluções de auditoria em Microsoft Purview
- Office 365 Esquema da API de Atividade de Gerenciamento
- Propriedades detalhadas no log de auditoria
- Power Apps registro de atividades
- Power Automate registro de atividades
- Power Platform registro de atividades do conector (pré-visualização)
- Registro de atividades de prevenção de perda de dados
- Gerenciar Dataverse auditoria
- Dataverse e aplicações orientadas por modelos