Поделиться через


Настройка соединителя для импорта данных аудита EHR для здравоохранения (предварительная версия)

Вы можете настроить соединитель данных для импорта данных аудита для действий пользователей в системе электронных медицинских записей (EHR) вашей организации. Данные аудита из системы EHR для здравоохранения включают данные о событиях, связанных с доступом к записям о здоровье пациента. Данные аудита EHR для здравоохранения могут использоваться решением Microsoft Purview Insider Risk Management для защиты вашей организации от несанкционированного доступа к информации о пациентах.

Настройка соединителя здравоохранения состоит из следующих задач:

  • Создание приложения в Microsoft Entra ID для доступа к конечной точке API, которая принимает текстовый файл, разделенный вкладками, содержащий данные аудита EHR для здравоохранения.

  • Создание текстового файла со всеми требуемыми полями, определенными в схеме соединителя.

  • Создание экземпляра соединителя для здравоохранения на портале Microsoft Purview или Портал соответствия требованиям Microsoft Purview.

  • Выполнение скрипта для отправки данных аудита EHR здравоохранения в конечную точку API.

  • При необходимости можно запланировать автоматический запуск скрипта для импорта данных аудита.

Если необходимо принять участие в предварительном просмотре, свяжитесь с командой по адресу [email protected].

Совет

Если вы не являетесь клиентом E5, используйте 90-дневную пробную версию решений Microsoft Purview, чтобы узнать, как дополнительные возможности Purview могут помочь вашей организации управлять безопасностью данных и соответствием требованиям. Начните сейчас, перейдя в центр пробных версий на портале соответствия требованиям Microsoft Purview. Сведения о регистрации и условиях пробной версии.

Перед настройкой соединителя

  • Пользователю, создавшему соединитель здравоохранения на шаге 3, должна быть назначена роль Администратор соединителя данных. Эта роль необходима для добавления соединителей на странице Соединители данных на портале Microsoft Purview или на портале соответствия требованиям. Эта роль по умолчанию добавляется в несколько групп ролей. Список этих групп ролей см. в разделе Роли в Microsoft Defender для Office 365 и соответствие требованиям Microsoft Purview. Кроме того, администратор в организации может создать пользовательскую группу ролей, назначить роль администратора соединителя данных, а затем добавить соответствующих пользователей в качестве участников. Инструкции см. в следующих статьях:

  • Необходимо определить, как извлекать или экспортировать данные из системы EHR для здравоохранения организации (ежедневно) и создать текстовый файл, описанный в шаге 2. Сценарий, выполненный на шаге 4, передаст данные из текстового файла в конечную точку API.

  • Пример скрипта, выполняемого на шаге 4, отправляет данные аудита EHR здравоохранения из текстового файла в API соединителя, чтобы их можно было использовать в решении для управления внутренними рисками. Пример сценария не поддерживается стандартными вспомогательными программами и службами Майкрософт. Пример сценария приводится в виде "как есть", без каких-либо гарантий. Кроме того, корпорация Microsoft отказывается от всех подразумеваемых гарантий, включая в том числе все подразумеваемые гарантии пригодности для продажи или определенной цели. Все риски, возникающие в результате использования примера сценария и документации, берет на себя пользователь. Корпорация Майкрософт, ее штатные авторы и другие лица, принимающие участие в создании, подготовке и выпуске сценариев, ни при каких обстоятельствах не несут ответственность за какой-либо ущерб (в том числе, ущерб, вызванный потерей доходов предприятия, остановкой его работы, потерей бизнес-данных и другими материальными потерями), вызванный использованием или неспособностью использовать примеры сценариев и документацию, даже если корпорации Майкрософт известно о возможности нанесения такого ущерба.

Шаг 1. Создание приложения в Microsoft Entra ID

Первым шагом является создание и регистрация нового приложения в Microsoft Entra ID. Приложение будет соответствовать соединителю здравоохранения, который вы создали на шаге 3. Создание этого приложения позволяет Microsoft Entra ID пройти проверку подлинности push-запроса для текстового файла, содержащего данные аудита EHR для здравоохранения. Во время создания этого приложения Microsoft Entra обязательно сохраните следующие сведения. Эти значения будут использоваться на последующих шагах.

  • Microsoft Entra идентификатор приложения (также называемый идентификатором приложения или идентификатором клиента)
  • Microsoft Entra секрет приложения (также называемый секретом клиента)
  • Идентификатор клиента (также называемый идентификатором каталога)

Пошаговые инструкции по созданию приложения в Microsoft Entra ID см. в разделе Регистрация приложения с помощью платформа удостоверений Майкрософт.

Шаг 2. Подготовка текстового файла с данными аудита EHR здравоохранения

Следующим шагом является создание текстового файла, содержащего сведения о доступе сотрудников к записям о состоянии здоровья пациентов в системе EHR здравоохранения вашей организации. Как уже говорилось ранее, необходимо определить, как создать этот текстовый файл из системы EHR для здравоохранения. Для рабочего процесса соединителя здравоохранения требуется текстовый файл со значениями, разделенными табуляции, чтобы сопоставить эти данные в текстовом файле с обязательной схемой соединителя. Поддерживаемый формат файла — текстовый файл, разделенный запятыми (.csv), каналом (PSV) или файлом tab (TSV).

Примечание.

Максимальный размер текстового файла, который содержит данные аудита, составляет 3 ГБ. Максимальное число строк составляет 5 миллионов. Кроме того, следует включать только необходимые данные аудита системы EHR.

В следующей таблице перечислены поля, необходимые для реализации сценариев управления внутренними рисками. Подмножество этих полей является обязательным. Эти поля выделены звездочкой (*). Если в текстовом файле оставить пустыми обязательные поля, файл не будет проверен и данные в нем не будут импортированы.

Поле Категория
Время создания*
Имя события*
Идентификатор рабочей станции
Раздел событий
Категория события
Эти поля используются для идентификации событий действий доступа в системе EHR для здравоохранения.
Идентификатор reg пациента
Имя пациента*
Отчество пациента
Фамилия пациента*
Адрес пациента, строка 1*
Адрес пациента, строка 2
Город пациентов*
Почтовый индекс пациента*
Состояние пациента
Страна пациента
Отделение для пациентов
Эти поля используются для определения сведений о профиле пациентов.
Причина ограниченного доступа*
Комментарий ограниченного доступа
Эти поля используются для определения доступа к записям с ограниченным доступом.
адрес Email (UPN) или SamAccountName*
Имя пользователя сотрудника
Идентификатор сотрудника
Фамилия сотрудника 1
Имя сотрудника 1
Эти поля используются для идентификации сведений профиля сотрудника с целью сопоставления адреса и имени, необходимых для определения доступа к записям "Семьи/соседи/сотрудники".

Примечание.

1Это поле может быть недоступно по умолчанию в системе EHR для здравоохранения. Необходимо настроить экспорт, чтобы текстовый файл содержал это поле.

Шаг 3. Создание соединителя здравоохранения

Далее необходимо создать соединитель здравоохранения на портале Microsoft Purview или на портале соответствия требованиям. После выполнения сценария на шаге 4 текстовый файл, созданный на шаге 2, будет обработан и отправлен в конечную точку API, настроенную на шаге 1. На этом шаге обязательно скопируйте JobId, сгенерированный при создании соединителя. Этот JobId следует использовать при выполнении сценария.

Выберите соответствующую вкладку для используемого портала. Дополнительные сведения о портале Microsoft Purview см. на портале Microsoft Purview. Дополнительные сведения о портале соответствия требованиям см. в разделе Портал соответствия требованиям Microsoft Purview.

  1. Войдите на портал Microsoft Purview.

  2. Выберите Параметры Соединители>данных.

  3. Выберите Мои соединители, а затем — Добавить соединитель.

  4. В списке выберите Здравоохранение (предварительная версия).

  5. Примите условия обслуживания.

  6. На странице Учетные данные для проверки подлинности выполните следующие действия и выберите Далее.

    1. Введите или вставьте идентификатор приложения Microsoft Entra для приложения Azure, созданного на шаге 1.
    2. Введите имя соединителя здравоохранения.
  7. На странице Метод сопоставления файлов выберите один из следующих параметров, а затем нажмите кнопку Далее.

    • Отправьте пример файла. Если выбран этот параметр, выберите Отправить пример файла , чтобы отправить файл, подготовленный на шаге 2. Этот параметр позволяет быстро выбрать имена столбцов в текстовом файле из раскрывающегося списка, чтобы сопоставить столбцы с требуемой схемой для соединителя здравоохранения.

    Или

    • Укажите сведения о сопоставлении вручную. При выборе этого параметра необходимо ввести имя столбцов в текстовом файле, чтобы сопоставить столбцы с требуемой схемой для соединителя здравоохранения.
  8. На странице Сведения о сопоставлении файлов выполните одно из следующих действий в зависимости от того, отправили ли вы пример файла на предыдущем шаге.

    • Используйте раскрывающийся список, чтобы сопоставить столбцы из примера файла с каждым обязательным полем для соединителя здравоохранения.

    Или

    • Для каждого поля введите имя столбца из файла, подготовленного на шаге 2, соответствующего полю соединителя здравоохранения.
  9. На странице Просмотр просмотрите параметры и выберите Готово, чтобы создать соединитель.

    Отображается страница состояния, подтверждающая создание соединителя. На этой странице содержатся два важных элемента, необходимых для выполнения следующего шага для запуска примера сценария для отправки данных аудита EHR для здравоохранения.

    • Идентификатор задания. Этот идентификатор задания потребуется для выполнения сценария на следующем шаге. Можно скопировать его с этой страницы или со всплывающей страницы соединителя.
    • Ссылка на пример сценария. Щелкните ссылку здесь, чтобы перейти на сайт GitHub для получения доступа к примеру сценария (ссылка открывает новое окно). Не закрывайте данное окно, чтобы можно было скопировать сценарий на шаге 4. Кроме того, можно добавить закладку для места назначения или скопировать URL-адрес, чтобы повторно получить к нему доступ при выполнении сценария. Эта ссылка также доступна на всплывающей странице соединителя.
  10. Нажмите кнопку Готово.

    Новый соединитель отображается в списке на вкладке Соединители.

  11. Выберите только что созданный соединитель здравоохранения, чтобы отобразить всплывающее окно, содержащее свойства и другие сведения о соединителе.

Если данное действие не было выполнено, можно скопировать значения для параметров Идентификатор приложения Azure и Идентификатор задания соединителя. Данные значения требуются для запуска сценария на следующем шаге. Также можно загрузить сценарий со всплывающей страницы (или загрузить его по ссылке на следующем шаге).

Можно выбрать параметр Изменить, чтобы изменить идентификатор приложения Azure или имена заголовков столбцов, определенные на странице Сопоставления файлов.

Шаг 4. Запуск примера сценария для отправки данных аудита EHR для здравоохранения

Последним шагом при настройке соединителя здравоохранения является выполнение примера скрипта, который отправит данные аудита EHR здравоохранения в текстовый файл (созданный на шаге 1) в облако Майкрософт. В частности, скрипт отправляет данные в соединитель здравоохранения. После выполнения скрипта соединитель здравоохранения, созданный на шаге 3, импортирует данные аудита EHR для здравоохранения в организацию Microsoft 365, где к ним можно получить доступ с помощью других средств соответствия требованиям, таких как решение для управления внутренними рисками. После выполнения сценария следует запланировать автоматический запуск задачи на ежедневной основе, чтобы самые последние данные об увольнении сотрудников загружались в Microsoft Cloud. См. Шаг 6 (необязательно). Планирование автоматического запуска сценария.

Примечание.

Как было указано ранее, максимальный размер текстового файла, который содержит данные аудита, составляет 3 ГБ. Максимальное число строк составляет 5 миллионов. Сценарию, выполняемому на этом шаге, потребуется 30–40 минут для импорта данных аудита из больших текстовых файлов. Кроме того, сценарий делит большие текстовые файлы на более мелкие блоки по 100 тыс. строк, а затем последовательно импортирует эти блоки.

  1. Перейдите к окну, которое было открыто на предыдущем шаге, чтобы получить доступ к сайту GitHub с примером сценария. Кроме того, можно открыть сайт с закладкой или использовать скопированный URL-адрес. Здесь также можно открыть сценарий.

  2. Чтобы отобразить сценарий в текстовом представлении, нажмите кнопку Необработанные.

  3. Скопируйте все строки в примере сценария и сохраните их в текстовый файл.

  4. При необходимости измените пример сценария для организации.

  5. Сохраните текстовый файл как файл сценария Windows PowerShell, используя расширение имени файла .ps1; например HealthcareConnector.ps1.

  6. Откройте командную строку на локальном компьютере и перейдите в каталог, в котором сохранен сценарий.

  7. Выполните следующую команду, чтобы отправить данные аудита здравоохранения в текстовый файл в Microsoft Cloud. Например:

    .\HealthcareConnector.ps1 -tenantId <tenantId> -appId <appId>  -appSecret <appSecret>  -jobId <jobId>  -filePath '<filePath>'
    

В следующей таблице описаны параметры, используемые в данном сценарии, и их необходимые значения. В качестве значений этих параметров используются данные, полученные на предыдущем шаге.

Параметр Описание
tenantId Это идентификатор организации Microsoft 365, полученный на шаге 1. Вы также можете получить идентификатор клиента для своей организации в колонке Обзор в Центр администрирования Microsoft Entra. Он используется для идентификации организации.
appId Это Microsoft Entra идентификатор приложения, созданного в Microsoft Entra ID на шаге 1. Он используется Microsoft Entra ID для проверки подлинности, когда скрипт пытается получить доступ к вашей организации Microsoft 365.
appSecret Это Microsoft Entra секрет приложения для приложения, созданного в Microsoft Entra ID на шаге 1. Он также используется для проверки подлинности.
jobId Это идентификатор задания для соединителя здравоохранения, созданного на шаге 3. Он используется для связывания данных аудита EHR здравоохранения, отправляемых в облако Майкрософт, с соединителем для здравоохранения.
filePath Это путь к текстовому файлу (хранящемуся в той же системе, что и сценарий), созданному на шаге 2. Старайтесь не использовать пробелы при указании пути к файлу; в противном случае используйте одинарные кавычка.

Ниже приведен пример синтаксиса для скрипта соединителя здравоохранения, использующий фактические значения для каждого параметра:

.\HealthcareConnector.ps1 -tenantId d5723623-11cf-4e2e-b5a5-01d1506273g9 -appId 29ee526e-f9a7-4e98-a682-67f41bfd643e -appSecret MNubVGbcQDkGCnn -jobId b8be4a7d-e338-43eb-a69e-c513cd458eba -filePath 'C:\Users\contosoadmin\Desktop\Data\healthcare_audit_records.csv'

Если отправка успешно выполнена, сценарий отобразит сообщение Отправка выполнена.

Примечание.

При возникновении проблем с выполнением предыдущей команды из-за политик выполнения, см. инструкции по настройке политик выполнения в разделах Сведения о политиках выполнения и Set-ExecutionPolicy.

Шаг 5. Мониторинг соединителя здравоохранения

После создания соединителя здравоохранения и отправки данных аудита EHR можно просмотреть соединитель и отправить состояние на портале Microsoft Purview или на портале соответствия требованиям. Если запланировать автоматическое выполнение сценария на регулярной основе, можно также просмотреть текущее состояние после последнего выполнения сценария.

Выберите соответствующую вкладку для используемого портала. Дополнительные сведения о портале Microsoft Purview см. на портале Microsoft Purview. Дополнительные сведения о портале соответствия требованиям см. в разделе Портал соответствия требованиям Microsoft Purview.

  1. Войдите на портал Microsoft Purview.

  2. Выберите Параметры Соединители>данных.

  3. Выберите Мои соединители, а затем выберите созданный соединитель здравоохранения, чтобы отобразить всплывающее меню. Эта страница содержит свойства и сведения о соединителе.

  4. В окне Последний импорт выберите ссылку на журнал загрузки, чтобы открыть (или сохранить) журнал состояния соединителя. Этот журнал содержит сведения о каждом запуске сценария и отправке данных из текстового файла в Microsoft Cloud.

    Это RecordsSaved поле указывает количество строк в загруженном текстовом файле. Например, если текстовый файл содержит четыре строки, значение RecordsSaved полей будет равно 4 после успешной загрузки сценарием всех строк текстового файла.

Если сценарий не был выполнен на шаге 4, ссылка для загрузки сценария отображается в области Последний импорт. Можно загрузить сценарий и выполнить действия для его запуска.

Шаг 6 (необязательно). планирование автоматического запуска сценария

Чтобы убедиться, что последние данные аудита из системы EHR для здравоохранения доступны для таких средств, как решение для управления внутренними рисками, рекомендуется запланировать автоматическое выполнение скрипта на ежедневной основе. Для этого также требуется обновить данные аудита EHR в том же текстовом файле по аналогичному (если не тому же) расписанию, чтобы в нем содержались последние сведения о действиях сотрудников по доступу к записям пациентов. Цель состоит в том, чтобы передать самые актуальные данные аудита, чтобы соединитель здравоохранения смог сделать их доступными для решения управления внутренними рисками.

Также можно использовать приложение "Планировщик задач" в Windows для автоматического ежедневного выполнения сценария.

  1. На локальном компьютере нажмите кнопку Пуск Windows и введите Планировщик задач.

  2. Выберите приложение Планировщик задач, чтобы открыть его.

  3. В разделе Действия выберите Создать задачу.

  4. На вкладке Общие введите описательное имя запланированной задачи. например, скрипт соединителя для здравоохранения. Также можно добавить описание (необязательно).

  5. В разделе Параметры безопасности выполните следующие действия.

    1. Определите, необходимо ли выполнять сценарий при входе в систему компьютера, после входа в систему или сценарий не следует выполнять.
    2. Убедитесь, что установлен флажок Выполнить с наивысшими правами.
  6. На вкладке Триггеры выберите Создать и выполните следующие действия.

    1. В разделе Параметрывыберите параметр Ежедневно, а затем выберите дату и время первого выполнения сценария. Сценарий будет выполняться каждый день в указанное время.
    2. В разделе Дополнительные параметры убедитесь, что установлен флажок Включено.
    3. Нажмите OK.
  7. На вкладке Действия выберите Создать и выполните следующие действия.

    Параметры действий для создания новой запланированной задачи для скрипта соединителя здравоохранения.

    1. В раскрывающемся списке Действие убедитесь, что выбран параметр Запуск программы.
    2. В окне Программа/сценарий выберите Обзор, перейдите в следующее расположение и выберите необходимый элемент, чтобы путь отображался в поле: C:.0.exe.
    3. В поле Добавить аргументы (необязательно) вставьте ту же команду сценария, которая была выполнена на шаге 4. Пример: .\HealthcareConnector.ps1 -tenantId "d5723623-11cf-4e2e-b5a5-01d1506273g9" -appId "c12823b7-b55a-4989-faba-02de41bb97c3" -appSecret "MNubVGbcQDkGCnn" -jobId "e081f4f4-3831-48d6-7bb3-fcfab1581458" -filePath "C:\Healthcare\audit\records.txt"
    4. В поле Запуск в (необязательно) вставьте расположение папки со сценарием, выполненным на шаге 4. Например, C:\Healthcare\audit.
    5. Чтобы сохранить параметры нового действия, выберите ОК.
  8. В окне Создание задачи выберите ОК, чтобы сохранить запланированную задачу. Возможно, отобразится запрос на ввод данных учетной записи пользователя.

    Новая задача отображается в библиотеке планировщика задач.

    Новая задача для сценария соединителя учреждения здравоохранения отображается в библиотеке планировщика задач.

    Отображается время последнего выполнения сценария и время следующего запланированного выполнения. Чтобы изменить задачу, дважды щелкните ее.

    Вы также можете проверить время последнего запуска скрипта на всплывающей странице соответствующего соединителя здравоохранения в Центре соответствия требованиям.