Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Warnung
Das in diesem Artikel dokumentierte Schema ist veraltet und ab Juli 2024 nicht mehr verfügbar. Sie können das neue Schema verwenden, das unter Aktivitätskategorie: Datenrichtlinienereignisse verfügbar ist.
Anmerkung
Die Aktivitätsprotokollierung für Datenrichtlinien ist derzeit nicht in souveränen Clouds verfügbar.
Datenrichtlinienaktivitäten werden im Microsoft 365 Security and Compliance Center nachverfolgt.
Führen Sie die folgenden Schritte aus, um Datenrichtlinienaktivitäten zu protokollieren:
Melden Sie sich beim Security & Compliance Center als Mandantenadministrator an.
Wählen Sie Suchen>Überwachungsprotokollsuche aus.
Geben Sie unter Suchen>Aktivitäten die Zeichenfolge dlp ein. Eine Liste der Aktivitäten wird angezeigt.
Wählen Sie eine Aktivität aus, klicken Sie auf einen Bereich außerhalb des Suchfensters, um es zu schließen, und wählen Sie dann Suchen aus.
Auf dem Bildschirm Überwachungsprotokollsuche können Sie Überwachungsprotokolle in vielen gängigen Diensten durchsuchen, darunter eDiscovery, Exchange, Power BI, Microsoft Entra ID, Microsoft Teams, Customer Engagement-Apps (Dynamics 365 Sales, Dynamics 365 Customer Service, Dynamics 365 Field Service, Dynamics 365 Marketing und Dynamics 365 Project Service Automation) und Microsoft Power Platform.
Nach dem Zugriff auf Überwachungsprotokollsuche können Sie durch Erweitern von Aktivitäten nach bestimmten Aktivitäten filtern und dann scrollen, um den Abschnitt zu finden, der Microsoft Power Platform-Aktivitäten gewidmet ist.
Welche Datenrichtlinienereignisse überwacht werden
Die folgenden Benutzeraktionen können Sie überwachen:
- Datenrichtlinie erstellt: Wenn eine neue Datenrichtlinie erstellt wird
- Aktualisierte Datenrichtlinie: Wenn eine vorhandene Datenrichtlinie aktualisiert wird
- Gelöschte Datenrichtlinie: Wenn eine Datenrichtlinie gelöscht wird
Basisschema für Datenrichtlinienüberwachungsereignisse
Schemas definieren, welche Felder an das Microsoft 365 Security and Compliance Center gesendet werden. Einige Felder gelten für alle Anwendungen, die Überwachungsdaten an Microsoft 365 senden, während andere für Datenrichtlinien spezifisch sind. In der folgenden Tabelle sind Name und zusätzliche Informationen die datenrichtlinienspezifischen Spalten.
| Feldname | Art | Obligatorisch | Beschreibung |
|---|---|---|---|
| Datum | Edm.Date | Nein | Datum und Uhrzeit der Erstellung der UTC-Konfiguration. |
| App-Name | Edm.String | Nein | Eindeutiger Bezeichner der Power App |
| Kennung | Edm.Guid | Nein | Eindeutige GUID für jede Zeile protokolliert |
| Ergebnis-Status | Edm.String | Nein | Status der protokollierten Zeile. Erfolg in den meisten Fällen. |
| Unternehmens-ID | Edm.Guid | Ja | Eindeutiger Bezeichner der Organisation, in der der Datensatz erstellt wurde. |
| CreationTime | Edm.Date | Nein | Datum und Uhrzeit der Erstellung der UTC-Konfiguration. |
| Vorgang | Edm.Date | Nein | Name des Vorgangs |
| UserKey | Edm.String | Nein | Eindeutiger Bezeichner des Benutzers in Microsoft Entra ID |
| UserType | Self.UserType | Nein | Der Überwachungstyp (Administrator, Regulär, System) |
| Zusätzliche Info | Edm.String | Nein | Weitere Informationen, falls vorhanden (z. B. der Umgebungsname) |
Zusätzliche Info
Das Feld Zusätzliche Informationen ist ein JSON-Objekt, das betriebsspezifische Eigenschaften enthält. Für einen Datenrichtlinienvorgang enthält er die folgenden Eigenschaften.
| Feldname | Art | Obligatorisch? | Beschreibung |
|---|---|---|---|
| PolicyId | Edm.Guid | Ja | Die GUID der Richtlinie. |
| PolicyType | Edm.String | Ja | Den Richtlinientyp. Zulässige Werte sind AllEnvironments, SingleEnvironment, OnlyEnvironments oder ExceptEnvironments. |
| DefaultConnectorClassification | Edm.String | Ja | Die Standardklassifizierung für Connectors. Zulässige Werte sind „Allgemein“, „Blockiert“ oder „Vertraulich“. |
| EnvironmentName | Edm.String | Nein | Der Name (GUID) der Umgebung. Nur für SingleEnvironment-Richtlinien vorhanden. |
| ChangeSet | Edm.String | Nein | Änderungen an der Richtlinie. Nur für Aktualisierungsvorgänge vorhanden. |
Das Folgende ist ein Beispiel für das JSON-Objekt Zusätzliche Informationen für ein Ereignis zum Erstellen oder Löschen.
{
"policyId": "1aaaaaa1-2bb2-3cc3-4dd4-5eeeeeeeeee5",
"policyType": "SingleEnvironment",
"defaultConnectorClassification": "General",
"environmentName": "8a11a4a6-d8a4-4c47-96d7-3c2a60efe2f5"
}
Das Folgende ist ein Beispiel für das JSON-Objekt Zusätzliche Informationen für einen Aktualisierungsvorgang, der:
- den Richtliniennamen von „oldPolicyName“ in „newPolicyName“ ändert.
- die Standardklassifizierung von „Allgemein“ in „Vertraulich“ ändert.
- den Richtlinientyp von „OnlyEnvironments“ in „ExceptEnvironments“ ändert.
- den Azure Blob Storage-Connector vom allgemeinen in den vertraulichen Bereich verschiebt.
- den Bing Maps-Connector vom allgemeinen in den blockierten Bereich verschiebt.
- den Azure Automation-Connector vom vertraulichen in den blockierten Bereich verschiebt.
{
"policyId": "1aaaaaa1-2bb2-3cc3-4dd4-5eeeeeeeeee5",
"policyType": "ExceptEnvironments",
"defaultConnectorClassification": "Confidential",
"changeSet": {
"changedProperties": [
{
"name": "ApiPolicyName",
"previousValue": "oldPolicyName",
"currentValue": "newPolicyName"
},
{
"name": "DefaultConnectorClassification",
"previousValue": "General",
"currentValue": "Confidential"
},
{
"name": "DlpPolicyType",
"previousValue": "OnlyEnvironments",
"currentValue": "ExceptEnvironments"
}
],
"connectorChanges": [
{
"name": "Azure Blob Storage",
"id": "/providers/Microsoft.PowerApps/apis/shared_azureblob",
"previousValue": {
"classification": "General"
},
"currentValue": {
"classification": "Confidential"
}
},
{
"name": "Bing Maps",
"id": "/providers/Microsoft.PowerApps/apis/shared_bingmaps",
"previousValue": {
"classification": "General"
},
"currentValue": {
"classification": "Blocked"
}
},
{
"name": "Azure Automation",
"id": "/providers/Microsoft.PowerApps/apis/shared_azureautomation",
"previousValue": {
"classification": "Confidential"
},
"currentValue": {
"classification": "Blocked"
}
}
]
}
}