Konfigurer en kobling for å importere Epic EHR-overvåkingsdata (forhåndsversjon)

Obs!

Microsoft 365-samsvar kalles nå Microsoft Purview, og løsningene i samsvarsområdet har blitt rebrandet. Hvis du vil ha mer informasjon om Microsoft Purview, kan du se bloggkunngjøringen og artikkelen Hva er Microsoft Purview?

Du kan konfigurere en datakobling i samsvarsportalen for Microsoft Purview for å importere overvåkingsposter for brukeraktivitet i organisasjonens Epic Electronic Healthcare Records (EHR)-system. Revisjonsjournaler fra epic EHR-systemet ditt inkluderer poster for hendelser relatert til tilgang til pasientens helsejournaler. Episke EHR-overvåkingsposter kan brukes av Microsoft 365 insider risk management-løsning for å beskytte organisasjonen mot uautorisert tilgang til pasientinformasjon.

Konfigurering av en Epic-kobling består av følgende oppgaver:

  • Opprette en app i Azure Active Directory (Azure AD) for å få tilgang til et API-endepunkt som godtar en tabulatordelt tekstfil som inneholder Epic EHR-overvåkingsposter.

  • Oppretter en tekstfil med alle nødvendige felt som definert i koblingsskjemaet.

  • Oppretter en Epic-koblingsforekomst i samsvarsportalen.

  • Kjører et skript for å sende Epic EHR-overvåkingsposter til API-endepunktet.

  • Du kan også planlegge at skriptet skal kjøres automatisk for å importere overvåkingsposter.

Før du konfigurerer koblingen

  • Brukeren som oppretter Epic-koblingen i trinn 3, må være tilordnet administratorrollen for Data Connector. Denne rollen er nødvendig for å legge til koblinger på datakoblinger-siden i samsvarsportalen. Denne rollen legges som standard til flere rollegrupper. Hvis du vil ha en liste over disse rollegruppene, kan du se delen Roller i sikkerhets- og samsvarssentrene i Tillatelser i sikkerhets- & samsvarssenteret. En administrator i organisasjonen kan eventuelt opprette en egendefinert rollegruppe, tilordne rollen administrator for Data Connector og deretter legge til de aktuelle brukerne som medlemmer. Hvis du vil ha instruksjoner, kan du se delen «Opprette en egendefinert rollegruppe» i Tillatelser i samsvarsportalen for Microsoft Purview.

  • Du må finne ut hvordan du henter eller eksporterer dataene fra organisasjonens Epic EHR-system (daglig) og opprette en tekstfil som er beskrevet i trinn 2. Skriptet du kjører i trinn 4, sender dataene i tekstfilen til API-endepunktet.

  • Eksempelskriptet som du kjører i trinn 4, overfører Epic EHR-overvåkingspostene fra tekstfilen til koblings-API-en, slik at den kan brukes av insider risk management-løsningen. Dette eksempelskriptet støttes ikke under noen Microsoft standard støtteprogram eller -tjeneste. Eksempelskriptet leveres SOM DET ER uten garantier av noe slag. Microsoft fraskriver seg videre alle underforståtte garantier, inkludert, uten begrensning, eventuelle underforståtte garantier om salgbarhet eller egnethet til et bestemt formål. Hele risikoen som oppstår ved bruk av eller ytelsen til eksempelskriptet og dokumentasjonen, forblir hos deg. Microsoft, dets forfattere eller andre som er involvert i opprettelsen, produksjonen eller leveringen av skriptene, skal ikke være ansvarlig for eventuelle skader overhodet (inkludert, uten begrensning, skader for tap av forretningsfortjeneste, forretningsavbrudd, tap av forretningsinformasjon eller annet økonomisk tap) som følge av bruk av eller manglende evne til å bruke eksempelskriptene eller dokumentasjonen, selv om Microsoft har blitt informert om muligheten for slike skader.

Trinn 1: Opprette en app i Azure Active Directory

Det første trinnet er å opprette og registrere en ny app i Azure Active Directory (Azure AD). Appen samsvarer med Epic-koblingen som du oppretter i trinn 3. Ved å opprette denne appen kan Azure AD godkjenne push-forespørselen for tekstfil som inneholder epic EHR-overvåkingsposter. Under opprettingen av denne Azure AD-appen må du huske å lagre følgende informasjon. Disse verdiene vil bli brukt i senere trinn.

  • Program-ID for Azure AD (også kalt app-ID eller klient-ID)

  • Azure AD-programhemmelighet (også kalt klienthemmeligheten)

  • Leier-ID (også kalt katalog-ID)

Hvis du vil ha trinnvise instruksjoner for hvordan du oppretter en app i Azure AD, kan du se Registrere et program med Microsofts identitetsplattform.

Trinn 2: Klargjøre en tekstfil med Epic EHR-overvåkingsposter

Det neste trinnet er å opprette en tekstfil som inneholder informasjon om ansattes tilgang til pasienttilstandsjournaler i organisasjonens Epic EHR-system. Som tidligere forklart, må du finne ut hvordan du genererer denne tekstfilen fra det episke EHR-systemet. Arbeidsflyten for Epic Connector krever en tekstfil med tabulatordelte verdier for å tilordne dataene i tekstfilen med nødvendig koblingsskjema. Filformatet som støttes, er en rørdelt eller tabulatordelt fil .txt.

Obs!

Den maksimale størrelsen på tekstfilen som inneholder overvåkingsdataene, er 3 GB. Maksimalt antall rader er 5 millioner. Pass også på at du bare inkluderer relevante overvåkingsdata fra ditt helse-EHR-system.

Tabellen nedenfor viser feltene som kreves for å aktivere scenarioer for insider-risikostyring. Et delsett av disse feltene er obligatorisk. Disse feltene er uthevet med en stjerne (*). Hvis noen av de obligatoriske feltene mangler i tekstfilen, valideres ikke filen, og dataene i filen blir ikke importert.

Felt Kategori
ACCESS_LOG.
ACCESS_TIME ACCESS_LOG_METRIC. METRIC_NAME

ACCESS_LOG. WORKSTATION_ID
ZCMETRIC__ GROUP.NAME
ZCACCESS__ ACTION.NAME
Disse feltene brukes til å identifisere aktivitetshendelser for tilgang i Epic EHR-systemet.
PASIENT. PAT_MRN_ID
PASIENT. PAT_FIRST_NAME*
PASIENT. PAT_MIDDLE_NAME
PASIENT. PAT_LAST_NAME*
PASIENT. ADD_LINE_1*
PASIENT. ADD_LINE_2
PASIENT. BY*
PATIENT.ZIP*
ZC_STATE.NAME
ZC_COUNTRY.NAME
CLARITY_DEP. DEPARTMENT_NAME
Disse feltene brukes til å identifisere pasientprofilinformasjon.
ZC_BTG_REASON.NAME*
PAT_BTG_AUDIT. BTG_EXPLANATION
Disse feltene brukes til å identifisere tilgang til begrensede poster.
EMP. SYSTEM_LOGIN*
CLARITY_EMP. USER_ID
employee_last_name 1
employee_first_name 1
Disse feltene brukes til å identifisere ansattprofilinformasjon for adresse og navnesamsvar som kreves for å bestemme tilgang til oppføringer for familie/nabo/ansatt.

Obs!

Kontroller at du bare eksporterer de relevante Log-måledataene fra Epic. 1 Dette feltet er ikke tilgjengelig som standard i Epic. Du må konfigurere eksporten for å sikre at tekstfilen inneholder dette feltet.

Trinn 3: Opprett den episke koblingen

Neste trinn er å opprette en Epic-kobling i samsvarsportalen. Når du har kjørt skriptet i trinn 4, vil tekstfilen du opprettet i trinn 2, bli behandlet og overført til API-endepunktet du konfigurerte i trinn 1. I dette trinnet må du kopiere Jobb-ID-en som genereres når du oppretter koblingen. Du bruker Jobb-ID-en når du kjører skriptet.

  1. Gå til https://compliance.microsoft.com , og klikk deretter Datakoblinger i venstre navigasjonsrute.

  2. Klikk VisDatakoblinger-siden under Episk kobling.

  3. Klikk Legg til koblingden episke koblingssiden.

  4. Gjør følgende på siden Konfigurer tilkobling , og klikk deretter Neste:

    1. Skriv eller lim inn Azure AD-program-ID-en for Azure-appen som du opprettet i trinn 2.

    2. Skriv inn et navn for Epic-koblingen.

  5. Se gjennom innstillingene på Se gjennom-siden , og klikk deretter Fullfør for å opprette koblingen.

    Det vises en statusside som bekrefter at koblingen ble opprettet. Denne siden inneholder to viktige ting du må fullføre neste trinn for å kjøre eksempelskriptet for å laste opp de episke EHR-overvåkingspostene.

    Se gjennom siden med jobb-ID og kobling til github for eksempelskript

    1. Jobb-ID. Du trenger denne jobb-ID-en for å kjøre skriptet i neste trinn. Du kan kopiere den fra denne siden eller fra undermenyen for koblingen.

    2. Referanseskjema. Se skjemaet for å forstå hvilke felt fra det episke systemet som godtas av koblingen. Dette hjelper deg med å opprette en fil med alle nødvendige Epic-databasefelt.

    3. Kobling til eksempelskript. Klikk koblingen her for å gå til GitHub-området for å få tilgang til eksempelskriptet (koblingen åpner et nytt vindu). Hold dette vinduet åpent, slik at du kan kopiere skriptet i trinn 4. Du kan også bokmerke målet eller kopiere nettadressen slik at du får tilgang til den på nytt når du kjører skriptet. Denne koblingen er også tilgjengelig på undermenyen for koblingen.

  6. Klikk på Fullført.

    Den nye koblingen vises i listen på Koblinger-fanen .

  7. Klikk den episke koblingen du nettopp opprettet for å vise undermenyen, som inneholder egenskaper og annen informasjon om koblingen.

Hvis du ikke allerede har gjort det, kan du kopiere verdiene for jobb-ID-en for Azure App og Connector. Du trenger disse for å kjøre skriptet i neste trinn. Du kan også laste ned skriptet fra undermenyen (eller laste det ned ved hjelp av koblingen i neste trinn.)

Du kan også klikke Rediger for å endre Azure App ID- eller kolonneoverskriftsnavnene som du definerte på filtilordningssiden .

Trinn 4: Kjør eksempelskriptet for å laste opp de episke EHR-overvåkingspostene

Det siste trinnet i å konfigurere en Epic-kobling er å kjøre et eksempelskript som laster opp epic EHR-overvåkingen registrerer data i tekstfilen (som du opprettet i trinn 1) til Microsoft-skyen. Skriptet laster opp dataene til Epic-koblingen. Når du har kjørt skriptet, importerer Epic-koblingen som du opprettet i trinn 3 epic EHR-revisjonen, data til Microsoft 365 organisasjonen der den kan åpnes av andre samsvarsverktøy, for eksempel Insider risk management-løsningen. Når du har kjørt skriptet, bør du vurdere å planlegge en oppgave for å kjøre den automatisk daglig, slik at de nyeste avslutningsdataene for ansatte lastes opp til Microsoft-skyen. Se (valgfritt) Trinn 6: Planlegg at skriptet skal kjøres automatisk.

Obs!

Som tidligere angitt er den maksimale størrelsen på tekstfilen som inneholder overvåkingsdataene, 3 GB. Maksimalt antall rader er 5 millioner. Skriptet du kjører i dette trinnet, tar omtrent 30 til 40 minutter å importere overvåkingsdataene fra store tekstfiler. I tillegg vil skriptet dele store tekstfiler inn i mindre blokker på 100 000 rader, og deretter importere disse blokkene sekvensielt.

  1. Gå til vinduet du forlot, åpent fra forrige trinn for å få tilgang til GitHub-området med eksempelskriptet. Du kan også åpne det bokmerkede nettstedet eller bruke nettadressen du kopierte. Du kan også få tilgang til skriptet her.

  2. Klikk Raw-knappen for å vise skriptet i tekstvisning.

  3. Kopier alle linjene i eksempelskriptet, og lagre dem deretter i en tekstfil.

  4. Endre eksempelskriptet for organisasjonen om nødvendig.

  5. Lagre tekstfilen som en Windows PowerShell skriptfil ved hjelp av et filnavn suffiks av .ps1; for eksempel . EpicConnector.ps1

  6. Åpne en ledetekst på den lokale datamaskinen, og gå til katalogen der du lagret skriptet.

  7. Kjør følgende kommando for å laste opp de episke overvåkingsdataene i tekstfilen til Microsoft-skyen. for eksempel:

    .\EpicConnector.ps1 -tenantId <tenantId> -appId <appId>  -appSecret <appSecret>  -jobId <jobId>  -filePath '<filePath>'
    

Tabellen nedenfor beskriver parameterne som skal brukes med dette skriptet og de nødvendige verdiene. Informasjonen du fikk i de forrige trinnene, brukes i verdiene for disse parameterne.

Parameteren Beskrivelse
tenantId Dette er ID-en for Microsoft 365 organisasjonen du fikk i trinn 1. Du kan også få leier-ID-en for organisasjonen på Oversikt-bladet i administrasjonssenteret for Azure AD. Dette brukes til å identifisere organisasjonen.
Appid Dette er Azure AD-program-ID-en for appen som du opprettet i Azure AD i trinn 1. Dette brukes av Azure AD til godkjenning når skriptet prøver å få tilgang til Microsoft 365 organisasjonen.
appSecret Dette er Azure AD-programhemmeligheten for appen som du opprettet i Azure AD i trinn 1. Dette brukes også til godkjenning.
jobId Dette er jobb-ID-en for Epic-koblingen som du opprettet i trinn 3. Dette brukes til å knytte de episke EHR-overvåkingspostene som lastes opp til Microsoft-skyen med Epic-koblingen.
filePath Dette er filbanen for tekstfilen (lagret på samme system som skriptet) som du opprettet i trinn 2. Prøv å unngå mellomrom i filbanen. Ellers kan du bruke enkle anførselstegn.

Her er et eksempel på syntaksen for Epic-koblingsskriptet som bruker faktiske verdier for hver parameter:

.\EpicConnector.ps1 -tenantId d5723623-11cf-4e2e-b5a5-01d1506273g9 -appId 29ee526e-f9a7-4e98-a682-67f41bfd643e -appSecret MNubVGbcQDkGCnn -jobId b8be4a7d-e338-43eb-a69e-c513cd458eba -filePath 'C:\Users\contosoadmin\Desktop\Data\epic_audit_records.txt'

Hvis opplastingen er vellykket, viser skriptet meldingen Upload Vellykket.

Obs!

Hvis du har problemer med å kjøre den forrige kommandoen på grunn av kjøringspolicyer, kan du se Om kjøringspolicyer og Set-ExecutionPolicy for veiledning om hvordan du angir kjøringspolicyer.

Trinn 5: Overvåke Epic-koblingen

Når du har opprettet Epic-koblingen og sendt EHR-overvåkingspostene, kan du vise koblingen og laste opp statusen i samsvarsportalen. Hvis du planlegger at skriptet skal kjøres automatisk regelmessig, kan du også vise gjeldende status etter siste gang skriptet kjørte.

  1. Gå til https://compliance.microsoft.com og klikk Datakoblinger i venstre navigasjonsrute.

  2. Klikk koblinger-fanen , og velg deretter Epic-koblingen for å vise undermenyen. Denne siden inneholder egenskapene og informasjonen om koblingen.

  3. Klikk koblingen Last ned logg under Siste import for å åpne (eller lagre) statusloggen for koblingen. Denne loggen inneholder informasjon om hver gang skriptet kjører og laster opp dataene fra tekstfilen til Microsoft-skyen.

    Den episke koblingsloggfilen viser tallrader fra tekstfilen som ble lastet opp

    Feltet RecordsSaved angir antall rader i tekstfilen som ble lastet opp. Hvis tekstfilen for eksempel inneholder fire rader, er verdien for RecordsSaved feltene 4, hvis skriptet ble lastet opp alle radene i tekstfilen.

Hvis du ikke har kjørt skriptet i trinn 4, vises en kobling for å laste ned skriptet under Siste import. Du kan laste ned skriptet og deretter følge trinnene for å kjøre skriptet.

(Valgfritt) Trinn 6: Planlegge at skriptet skal kjøres automatisk

For å sikre at de nyeste overvåkingspostene fra Epic EHR-systemet er tilgjengelige for verktøy som insider risk management-løsningen, anbefaler vi at du planlegger at skriptet skal kjøres automatisk daglig. Dette krever også at du oppdaterer de episke overvåkingspostdataene i samme tekstfil på en lignende (om ikke den samme) tidsplanen, slik at den inneholder den nyeste informasjonen om pasientoppføringstilgangsaktiviteter for de ansatte. Målet er å laste opp de nyeste overvåkingspostene, slik at Epic-koblingen kan gjøre den tilgjengelig for insider risk management-løsningen.

Du kan bruke Oppgaveplanlegging-appen i Windows til å kjøre skriptet automatisk hver dag.

  1. Klikk Windows Start-knappen på den lokale datamaskinen, og skriv deretter inn Oppgaveplanlegging.

  2. Klikk Oppgaveplanlegging-appen for å åpne den.

  3. Klikk Opprett oppgave i Handlinger-delen.

  4. Skriv inn et beskrivende navn for den planlagte oppgaven på Generelt-fanen. for eksempel Epic-koblingsskript. Du kan også legge til en valgfri beskrivelse.

  5. Gjør følgende under Sikkerhetsalternativer:

    1. Bestem om du vil kjøre skriptet bare når du er logget på datamaskinen eller kjører det når du er logget på eller ikke.

    2. Kontroller at det er merket av for Kjør med de høyeste rettighetene .

  6. Velg Utløsere-fanen , klikk Ny, og gjør deretter følgende:

    1. Velg daglig-alternativet under Innstillinger, og velg deretter en dato og et klokkeslett for å kjøre skriptet for første gang. Skriptet kjøres hver dag på det samme angitte tidspunktet.

    2. Kontroller at det er merket av for Aktivert under Avanserte innstillinger.

    3. Klikk OK.

  7. Velg Handlinger-fanen , klikk Ny, og gjør deretter følgende:

    Handlingsinnstillinger for å opprette en ny planlagt oppgave for det episke koblingsskriptet.

    1. Kontroller at Start et program er valgt i rullegardinlisten Handling.

    2. Klikk Bla gjennom i Program/skript-boksen, gå til følgende plassering, og velg den slik at banen vises i boksen: C:.0.exe.

    3. Lim inn den samme skriptkommandoen som du kjørte i trinn 4, i boksen Legg til argumenter (valgfritt ). For eksempel .\EpicConnector.ps1 -tenantId "d5723623-11cf-4e2e-b5a5-01d1506273g9" -appId "c12823b7-b55a-4989-faba-02de41bb97c3" -appSecret "MNubVGbcQDkGCnn" -jobId "e081f4f4-3831-48d6-7bb3-fcfab1581458" -filePath "C:\Epic\audit\records.txt"

    4. Lim inn mappeplasseringen for skriptet du kjørte i trinn 4, i boksen Start i (valgfritt ). For eksempel C:\Epic\audit.

    5. Klikk OK for å lagre innstillingene for den nye handlingen.

  8. Klikk OK i vinduet Opprett oppgave for å lagre den planlagte aktiviteten. Du kan bli bedt om å angi legitimasjonen for brukerkontoen.

    Den nye oppgaven vises i oppgaveplanleggingsbiblioteket.

    Den nye oppgaven for skriptet for helsetjenestekobling vises i oppgaveplanleggingsbiblioteket.

    Siste gang skriptet kjørte og neste gang det er planlagt å kjøre, vises. Du kan dobbeltklikke oppgaven for å redigere den.

    Du kan også bekrefte siste gang skriptet kjørte på undermenyen til den tilsvarende Epic-koblingen i samsvarssenteret.