アクティビティ ログ データは、Power Apps、Power Automate、Dynamics 365 Sales、Dynamics 365 Customer Service、Dynamics 365 Field Service、Dynamics 365 Marketing、Project Service Automationといった顧客エンゲージメント アプリケーションのデータ保護影響評価(DPIA)をサポートします。
このトピックでは、さまざまなデータ処理アクティビティを監査するようにPower Apps、Power Automate、顧客エンゲージメント アプリを構成する方法について説明します。 その後、Microsoft Purview ポータルを使用して、ログに記録されたデータをアクティビティ レポートに表示できます。
要件
- 少なくとも 1 人のユーザーが Microsoft Office 365 E1 以上のライセンスを割り当てた。
- 運用環境で使用できますが、サンドボックス環境では使用できません。
監査されるイベント
ログは SDK レイヤーで行われます。つまり、1 つのアクションで、ログに記録される複数のイベントをトリガできることを意味します。 次は、監査できるユーザー イベントのサンプルです。 管理イベントは現在ログに記録されていません。
ユーザーイベントおよびサポート関連イベント
| イベント | 内容 |
|---|---|
| 作成、読み込み、更新、削除 (CRUD) | 問題の影響の理解、およびデータ保護影響の評価 (DPIA) への準拠のために重要なすべての CRUD 活動のログ。 |
| 複数のレコード表示 | Dynamicsのユーザーは、グリッドビューや高度な検索などの情報を一括で表示します。重要な顧客コンテンツ情報はこれらのビューに含まれています。 |
| Excel にエクスポート | Excel にデータをエクスポートすることは、安全な環境の外側にデータを移動し、脅威に対して脆弱です。 |
| サラウンドまたはカスタム アプリによる SDK 呼び出し | SDK に呼び出してアクションを実行するコア プラットフォームまたはサラウンド アプリを介して実行されたアクションは、ログに記録される必要があります。 |
| すべてのサポート CRUD 活動 | 顧客環境でのマイクロソフト サポート エンジニア活動。 |
| バックエンド コマンド | 顧客テナントおよび顧客環境でのマイクロソフト サポート エンジニア活動。 |
| 表示されたレポート | レポートが表示される場合にログ記録。 重要な顧客情報の内容はレポートに表示されることがあります。 |
| Report Viewer のエクスポート | 異なる形式にレポートをエクスポートすることは、安全な環境の外側にデータを移動し、脅威に対して脆弱です。 |
| Report Viewer レンダー イメージ | レポートが表示されるときに示されるマルチメディア資産のログ記録。 それらには、重要な顧客情報を含むことがあります。 |
注
列レベルのセキュリティで保護されたフィールド は、"*" を使用して Purview アクティビティログに送信されます。
基本スキーマ
スキーマは、Microsoft Purview ポータルに送信されるフィールドを定義します。 Microsoft Purviewに監査データを送信するすべてのアプリケーションに共通のフィールドもあれば、顧客エンゲージメント アプリに固有のフィールドもあります。 基本スキーマには、共通フィールドが含まれます。
| フィールド名 | タイプ | Mandatory | 内容 |
|---|---|---|---|
| 日 | Edm.Date | いいえ | ログが生成された日時 (UTC) |
| IP アドレス | Edm.String | いいえ | ユーザーまたは社内のゲートウェイの IP アドレス |
| Id | Edm.Guid | いいえ | ログに記録されるすべての行に対する一意の GUID |
| 結果の状態 | Edm.String | いいえ | ログに記録される行の状態。 ほとんどの場合に成功 |
| 組織 ID | Edm.Guid | あり | ログが生成された組織の一意識別子。 この ID は Dynamics Developer Resources にあります。 |
| ClientIP | Edm.String | いいえ | ユーザーまたは社内のゲートウェイの IP アドレス |
| CorrelationId | Edm.Guid | いいえ | 関連する行の関連付けに使用される一意の値 (大きい行が分割される場合など) |
| CreationTime | Edm.Date | いいえ | ログが生成された日時 (UTC) |
| オペレーション | Edm.Date | いいえ | SDK で呼び出されるメッセージの名前 |
| UserKey | Edm.String | いいえ | Microsoft Entra IDのユーザーの一意識別子。 AKA ユーザー PUID |
| UserType | Self.UserType | いいえ | Microsoft 365監査の種類 (標準、システム) |
| Userユーザー | Edm.String | いいえ | ユーザーの主メール |
Customer Engagement アプリ スキーマ
Customer Engagement アプリ スキーマは、 アプリおよびパートナー チームに固有のフィールドを含みます。
| フィールド名 | タイプ | Mandatory | 内容 |
|---|---|---|---|
| ユーザー Id | Edm.String | いいえ | 組織内のユーザー GUID の一意の識別子 |
| Crm 組織独自の名前 | Edm.String | いいえ | 組織の一意の名前 |
| インスタンス Url | Edm.String | いいえ | インスタンスへの URL |
| アイテム Url | Edm.String | いいえ | ログを生成するレコードへの URL |
| 品目の種類 | Edm.String | いいえ | エンティティの名前 |
| Message | Edm.String | いいえ | SDK で呼び出されるメッセージの名前 |
| ユーザー エージェント | Edm.String | いいえ | 組織内のユーザー GUID の一意の識別子 |
| EntityId | Edm.Guid | いいえ | エンティティを表す一意識別子 |
| EntityName | Edm.String | いいえ | 組織のエンティティ名 |
| フィールド | Edm.String | いいえ | 作成または更新された値を反映するキー値ペアの JSON |
| Id | Edm.String | いいえ | Customer Engagement アプリにおけるエンティティ名 |
| クエリ | Edm.String | いいえ | FetchXML を実行中に使用されるフィルター クエリ パラメーター |
| QueryResults | Edm.String | いいえ | SDK メッセージ呼び出しの取得および複数取得によって返された 1 つ以上の一意のレコード |
| ServiceContextId | Edm.Guid | いいえ | サービス コンテキストに関連付けられた一意の ID |
| ServiceContextIdType | Edm.String | いいえ | コンテキストの使用を定義するアプリケーションで定義されたトークン |
| ServiceName | Edm.String | いいえ | ログを生成するサービスの名前 |
| SystemUserId | Edm.Guid | いいえ | 組織内のユーザー GUID の一意の識別子 |
| UserAgent | Edm.Guid | いいえ | 要求の実行に使用するブラウザー |
| UserId | Edm.Guid | いいえ | このアクティビティに関連付けられているDynamics システム ユーザーの一意の ID |
| UserUpn | Edm.String | いいえ | この活動に関連付けられているユーザーのユーザー プリンシパル名 |
監査の有効化
アクセスには、システム管理者やシステム カスタマイザー ロールなどの十分な権限が必要です。 セキュリティ ロールを確認するには、ユーザー プロファイルの表示を参照してください。 正しいアクセス許可がない場合は、システム管理者に問い合わせてください。
- Power Platform 管理センター にサインインします。
- ナビゲーション ウィンドウで、管理 を選択します。
- 管理ウィンドウで環境を選択します。
- 環境ページで、環境を選択します。
- コマンド バーで、設定を選択します。
- 監査とログを展開して監査設定を選択します。
監査の設定ページで、監査の設定を構成します:
- 監査で、次のオプションを有効にします:
- 監査の開始 - 環境の監査をアクティブ化します。
- ログア クセス - ユーザーのサインインを追跡します。
- ログの読み取り- ほとんどのユーザーのアクティビティとイベントをキャプチャします。
- 要件に基づいて監査ログの保存ポリシーを設定します。
- 保存を選択して、変更を適用します。
テーブルに組織レベルの監査を設定する
- 監査の設定ページで、グローバル監査設定を選択します。
- 次の領域で監査を有効にするで、監査する領域のチェックボックスをオンにします。
- OK を選択して変更を適用します。
テーブル レベルの監査を設定する
- Power Apps ホーム ページにサインインします。 モダン エクスペリエンスを有効化します。
- コマンド バーで Settings を選択し、Advanced 設定 を選択して Microsoft Dynamics 365に移動します。
- 設定でカスタマイズを選択し、システムのカスタマイズを選択します。
- ナビゲーション ペインで、コンポーネント配下のエンティティを展開し、監査するエンティティを選択します (アカウントなど)。
- データ サービスまでスクロールダウンし、監査のチェックボックスをオンにします。
- 監査で、次のオプションを有効にします:
- 単一レコード監査。 開いたときにレコードをログに記録します。
- 複数レコードの監査。 開いているページに表示されているすべてのレコードをログに記録します。
- コマンド バーの保存を選択して、変更を保存します。
- 公開を選択してカスタマイズを完了します。
- 監査する他のテーブルに対して手順 4 ~ 8 を繰り返します。
- Microsoft Purview で監査ログを有効にします。 監査ログの検索をオンまたはオフにするを参照してください。
Microsoft Purview ポータルでレポートを使用して監査データを確認する
audit ログ検索がMicrosoft Purview ポータルで有効になっている場合、組織のユーザーと管理者のアクティビティは監査ログに記録され、90 日間保持されます。 ただし、組織によっては、監査ログデータを記録して保持したくない場合があります。 または、監査データにアクセスするために、サード パーティのセキュリティ情報およびイベント管理 (SIEM) アプリケーションを使用している場合があります。 このような場合、グローバル管理者は、Microsoft Purviewで監査ログ検索を無効にすることができます。 詳細については、Microsoft Purview の監査ソリューションをご参照ください。
Microsoft Purview ポータルでレコードを検索するには [Record type を CRM、Activities を All Dynamics 365 アクティビティ として選択します。
レポートの作成
独自のレポートを作成して監査データを確認できます。 Microsoft Purview ポータルで監査ログを検索するを参照してください。
ログに記録されるもの
活動のログで記録されるもののリストについては、「Microsoft.Crm.Sdk.Messages 名前空間」を参照してください。
以下を除くすべての SDK メッセージをログに出力します。
- WhoAmI
- RetrieveFilteredForms
- TriggerServiceEndpointCheck
- QueryExpressionToFetchXml
- FetchXmlToQueryExpression
- FireNotificationEvent
- RetrieveMetadataChanges
- RetrieveEntityChanges
- RetrieveProvisionedLanguagePackVersion
- RetrieveInstalledLanguagePackVersion
- RetrieveProvisionedLanguages
- RetrieveAvailableLanguages
- RetrieveDeprovisionedLanguages
- RetrieveInstalledLanguagePacks
- GetAllTimeZonesWithDisplayName
- GetTimeZoneCodeByLocalizedName
- IsReportingDataConnectorInstalled
- LocalTimeFromUtcTime
- IsBackOfficeInstalled
- FormatAddress
- IsSupportUserRole
- IsComponentCustomizable
- ConfigureReportingDataConnector
- CheckClientCompatibility
- RetrieveAttribute
読み込みと複数読み込みを分類する方法
接頭辞を使用して分類します。
| 要求が次で開始する場合: | 次のように特徴付けます: |
|---|---|
| RetrieveMultiple | ReadMultiple |
| ExportToExcel | ReadMultiple |
| RollUp | ReadMultiple |
| RetrieveEntitiesForAggregateQuery | ReadMultiple |
| RetrieveRecordWall | ReadMultiple |
| RetrievePersonalWall | ReadMultiple |
| ExecuteFetch | ReadMultiple |
| 取得 | 既読 |
| Search | 既読 |
| 入手 | 既読 |
| Export | 既読 |
生成されたログの例
以下は、活動のログで作成されたログの例です。
例 1 - ユーザーが取引先企業レコードを読み込むときに生成されるログ
| スキーマ名 | Value |
|---|---|
| ID | 50e01c88-2e43-4005-8be8-9ceb172e2e90 |
| UserKey | 10033XXXA49AXXXX |
| ClientIP | 131.107.XXX.XX |
| オペレーション | 取得 |
| 日 | 2018 年 3 月 2 日午後 11:25:56 |
| EntityId | 00aa00aa-bb11-cc22-dd33-44ee44ee44ee |
| EntityName | 勘定科目 |
| クエリ | N/A |
| QueryResults | N/A |
| ItemURL | https://orgname.onmicrosoft.com/main.aspx?etn=account&pagetype=entityrecord&id=00aa00aa-bb11-cc22-dd33-44ee44ee44ee |
例 2 – ユーザーがグリッドにアカウント レコードを表示したときに生成されたログ (Microsoft Excel ログへのエクスポートは次のようになります)
| スキーマ名 | Value |
|---|---|
| ID | ef83f463-b92f-455e-97a6-2060a47efe33 |
| UserKey | 10033XXXA49AXXXX |
| ClientIP | 131.107.XXX.XX |
| オペレーション | RetrieveMultiple |
| 日 | 2018 年 3 月 2 日午後 11:25:56 |
| EntityId | N/A |
| EntityName | 勘定科目 |
| クエリ | filter type="and" condition column="ownerid" operator="eq-userid" /condition column="statecode" operator="eq" value="0" //filter |
| QueryResults | 00aa00aa-bb11-cc22-dd33-44ee44ee44ee, dc136b61-6c1e-e811-a952-000d3a732d76 |
| ItemURL | N/A |
例 3 - ユーザーが潜在顧客を営業案件に変換するときにログに記録されるメッセージの一覧
| ID | EntityID | EntityName | 操作 |
|---|---|---|---|
| 53c98033-cca4-4420-97e4-4c1b4f81e062 | 23ad069e-4d22-e811-a953-000d3a732d76 | お問い合わせ先 | Create |
| 5aca837c-a1f5-4801-b770-5c66183a58aa | 25ad069e-4d22-e811-a953-000d3a732d76 | 営業案件 | Create |
| c9585748-fdbf-4ff7-970c-bb37f6aa2c36 | 25ad069e-4d22-e811-a953-000d3a732d76 | 営業案件 | 更新する |
| a0469f30-078b-419d-be61-b04c9a34121f | 1cad069e-4d22-e811-a953-000d3a732d76 | リード | 更新する |
| 0975bceb-07c7-4dc2-b621-5a7b245c36a4 | 1cad069e-4d22-e811-a953-000d3a732d76 | リード | 更新する |
その他の考慮事項
Microsoft Purview ポータルで監査ログの検索を有効にすると、組織のユーザーとアクティビティが監査ログに記録され、90 日間保持されます。 ただし、組織によっては、監査ログデータを記録して保持したくない場合があります。 または、監査データにアクセスするために、サード パーティのセキュリティ情報およびイベント管理アプリケーションを使用している場合があります。 このような場合、グローバル管理者は、Microsoft 365で監査ログ検索を無効にすることができます。
既知の問題
- Office には、各監査レコードの 3 KB の制限があります。 したがって、場合によっては Customer Engagement アプリの単一レコードは Office で複数のレコードに分割する必要があります。 CorrelationId フィールドを使用して、特定のソース レコードの分割された一連のレコードを取得できます。 分割を要求する可能性がある操作には、RetrieveMultiple および ExportToExcel が含まれます。
- 一部の操作は、すべての関連データを取得するために追加の処理が必要となります。 たとえば、RetrieveMultiple および ExportToExcel は、取得またはエクスポートされるレコードの一覧を抽出するために処理されます。 ただし、今までのところ関連するすべての操作が処理されるわけではありません。 たとえば、ExportToWord は、現在エクスポートされたものに関する追加の詳細のない単一操作としてログに記録されます。
- 今後のリリースでは、ログのレビューに基づいて不要と判断された操作について、ログ記録が無効化されます。 たとえば、ユーザーの操作ではなく、自動化されたシステムアクティビティに起因する操作もあります。
- 一部のレコード インスタンスでは、EntityName 値が Unknown とマークされる場合があります。 これらのレコードは特定のエンティティ操作に関連しておらず、CRM から空白状態で取得されました。 これらはすべて 0000000-0000-0000-0000-000000000000 というエンティティ ID を持ちます。
参照
Dataverse 監査を管理する
Microsoft Purview ポータルで監査ログを検索します