Teilen über

Überwachungsprotokolle mit einem benutzerdefinierten Konnektor erfassen (veraltet)

  • Artikel

Wichtig

Die Verwendung der dedizierten Lösung Center of Excellence – Überwachungsprotokoll des benutzerdefinierten Office 365 Management-Konnektors zum Erfassen von Überwachungsprotokollereignissen ist veraltet. Die Lösung und der benutzerdefinierte Konnektor werden im August 2023 aus dem CoE-Starterkit entfernt. Wir haben einen neuen Flow, der Überwachungsprotokollereignisse erfasst, die Teil der Lösung Center of Excellence – Kernkomponenten sind. Dieser neue Flow verwendet einen HTTP-Konnektor. Weitere Informationen: Überwachungsprotokolle mithilfe einer HTTP-Aktion erfassen

Der Flow Überwachungsprotokollsynchronisierung verbindet sich mit dem Microsoft 365 Überwachungsprotokoll, um Telemetriedaten (eindeutige Benutzer, Starts) für Apps zu sammeln. Der Flow verwendet einen benutzerdefinierten Konnektor zur Verbindung mit dem Audit-Protokoll. In den folgenden Anweisungen richten Sie den benutzerdefinierten Konnektor ein und konfigurieren den Flow.

Das Center of Excellence (CoE) Starter Kit funktioniert ohne diesen Ablauf, aber die Nutzungsinformationen (App-Starts, eindeutige Benutzer) im Power BI Dashboard sind dann leer.

Anforderungen

Bevor Sie den Überwachungsprotokollconnector verwenden

  1. Die Microsoft 365-Überwachungsprotokollsuche muss aktiviert sein, damit der Überwachungsprotokoll-Connector funktioniert. Weitere Informationen finden Sie unter Auditing aktivieren oder deaktivieren

  2. Die Benutzeridentität, die den Flow ausführt, muss über die Berechtigung für die Überwachungsprotokolle verfügen. Die Mindestberechtigungen werden unter Bevor Sie das Prüfprotokoll durchsuchen beschrieben.

  3. Ihr Mandant muss über ein Abonnement verfügen, das die einheitliche Überwachungsprotokollierung unterstützt. Weitere Informationen finden Sie im Microsoft 365 Leitfaden zu Sicherheit und Compliance.

  4. Ein globaler Administrator ist erforderlich, um die Registrierung in der Microsoft Entra-App zu konfigurieren.

Die Office 365-Verwaltungs-APIs verwenden Microsoft Entra ID, um Authentifizierungsdienste bereitzustellen, mit denen Sie Ihrer Anwendung Rechte für den Zugriff darauf gewähren können.

Eine Microsoft Entra-App-Registrierung für die Office 365-Verwaltungs-API erstellen

Mithilfe dieser Schritte richten Sie eine Microsoft Entra-App-Registrierung ein, die in einem benutzerdefinierten Konnektor und Power Automate-Flow für die Verbindung mit dem Überwachungsprotokoll verwendet wird. Weitere Informationen: Erste Schritt mit Office 365 Management-APIs

  1. Melden Sie sich am Azure-Portal an.

  2. Wechseln Sie zu Microsoft Entra ID>App-Registrierungen.

    Screenshot, der die Microsoft Entra App-Registrierung zeigt.

  3. Wählen Sie Neue Registrierung.

  4. Geben Sie einen Namen ein (z. B. Microsoft 365-Verwaltung), ändern Sie keine anderen Einstellungen und wählen Sie dann Registrieren.

  5. Wählen Sie API-Berechtigungen>+ Eine Berechtigung hinzufügen.

    Screenshot, der API-Berechtigungen zeigt – Fügen Sie eine Berechtigung hinzu.

  6. Wählen Sie Office 365-Verwaltungs-API aus, und konfigurieren Sie die Berechtigungen wie folgt:

    1. Wählen Sie Delegierte Berechtigungenund dann ActivityFeed.Read aus.

      Screenshot, der delegierte Berechtigungen zeigt.

    2. Wählen Sie Berechtigungen hinzufügen aus.

  7. Wählen Sie Einwilligung des Administrators für (Ihre Organisation) aus. Anforderungen: Weisen Sie einer Anwendung die mandantenweite Administratoreinwilligung zu

    Die API-Berechtigungen spiegeln jetzt delegierte ActivityFeed.Read mit dem Status von Erteilt für (Ihre Organisation) wider.

  8. Wählen Sie Zertifikate und Geheimnisse aus.

  9. Wählen Sie + Neuer geheimer Clientschlüssel aus.

    Screenshot, der zeigt, wo Sie ein neues Client-Geheimnis erstellen.

  10. Fügen Sie eine Beschreibung und einen Ablauf hinzu (gemäß den Richtlinien Ihrer Organisation), und wählen Sie dann Hinzufügen aus.

  11. Kopieren Sie den Geheimschlüssel vorerst in einen Textdokument im Editor.

  12. Wählen Sie Überblick aus und kopieren Sie die Werte für die Anwendungs-ID (Client) und die Verzeichnis-ID (Mandant) und fügen Sie sie in dasselbe Textdokument ein. Notieren Sie sich unbedingt, welche GUID für welchen Wert gilt. Sie benötigen diese Werte im nächsten Schritt, wenn Sie den benutzerdefinierten Connector konfigurieren.

Lassen Sie das Azure-Portal geöffnet, da Sie nach dem Einrichten des benutzerdefinierten Connectors einige Konfigurationsaktualisierungen vornehmen müssen.

Benutzerdefinierten Connector einrichten

Jetzt konfigurieren und richten Sie einen benutzerdefinierten Connector ein, der die Office 365 Verwaltungs-APIs verwendet.

  1. Gehen Sie zu Power Apps>Dataverse>Benutzerdefinierte Connectors. Der benutzerdefinierte Connector Office 365 Management-API ist hier aufgeführt. Der Connector wird mit der Kernkomponentenlösung importiert.

  2. Wählen Sie Bearbeiten.

  3. Wenn Ihr Mandant ein kommerziellen Mandant ist, lassen Sie die Seite Allgemein wie sie ist.

    Wichtig

    • Wenn Ihr Mandant ein GCC-Mandant ist, ändern Sie den Host in manage-gcc.office.com.
    • Wenn Ihr Mandant ein GCC High Mandant ist, ändern Sie den Host in manage.office365.us.
    • Wenn Ihr Mandant ein DoD-Mandant ist, ändern Sie den Host in manage.protection.apps.mil.

    Weitere Informationen finden Sie unter Aktivitäts-API-Operationen.

  4. Wählen Sie Sicherheit aus.

  5. Wählen Sie Bearbeiten am unteren Rand des Bereichs OAuth 2.0 zum Bearbeiten der Authentifizierungsparameter aus.

    Screenshot, der zeigt, wie Sie den Abschnitt „OAuth 2.0“ der Registerkarte „Sicherheit“ von benutzerdefinierten Konnektoren bearbeiten können.

  6. Ändern Sie den Identitätsanbieter in Microsoft Entra ID.

    Ändern Sie den Identitätsanbieter in Microsoft Entra ID.

  7. Fügen Sie die Anwendungs-ID (Client) ein, die Sie aus der App-Registrierung in die Client-ID kopiert haben.

  8. Fügen Sie den geheimen Clientschlüssel ein, den Sie aus der App-Registrierung in Geheimer Clientschlüssel kopiert haben.

  9. Ändern Sie nicht die Mandanten-ID.

  10. Lassen Sie die Anmelde-URLwie sie ist für kommerzielle und GCC-Mieter, aber ändern Sie die URL für einen GCC High oder DoD-Mieter in https://login.microsoftonline.us/.

  11. Legen Sie die Ressourcen-URL fest:

    Mandantentyp URL
    Commercial https://manage.office.com
    GCC https://manage-gcc.office.com
    GCC High https://manage.office365.us
    DoD https://manage.protection.apps.mil

  12. Wählen Sie Connector aktualisieren aus.

  13. Kopieren Sie die Umleitungs-URL in ein Textdokument, beispielsweise Notepad.

Anmerkung

Wenn Sie eine Daten-Schadensverhütung-Richtlinie (DLP) für Ihr CoE Starter Kit Umgebung konfiguriert haben, fügen Sie diesen Connector der Nur-Geschäftsdaten-Gruppe dieser Richtlinie hinzu.

Microsoft Entra App-Registrierung mit der Weiterleitungs-URL aktualisieren

  1. Gehen Sie zum Azure-Portal und zu Ihren App-Registrierungen.

  2. Wählen Sie unter Übersicht die Option Umleitungs-URL hinzufügen aus.

  3. Wählen Sie + Plattform hinzufügen>Web aus.

  4. Geben Sie die URL ein, die Sie aus dem Bereich Umleitungs-URL des benutzerdefinierten Connectors kopiert haben.

  5. Wählen Sie Konfigurieren aus.

Starten eines Abonnements und Überprüfen des Protokollinhalts

Gehen Sie zurück zum benutzerdefinierten Connector, um eine Verbindung zum benutzerdefinierten Connector herzustellen, und starten Sie ein Abonnement für den Überwachungsprotokollinhalt, wie in den folgenden Schritten beschrieben.

Wichtig

Sie müssen diese Schritte ausführen, damit die nachfolgenden Schritte funktionieren. Wenn Sie hier keine neue Verbindung erstellen und den Connector testen, schlägt das Einrichten des Flows und von untergeordneter Flow in späteren Schritten fehl.

  1. Wählen Sie auf der Seite Benutzerdefinierter Connector die Option Testen aus.

  2. Wählen Sie + Neue Verbindung aus und melden Sie sich dann mit Ihrem Konto an.

  3. Wählen Sie unter Vorgänge die Option Abonnement starten aus.

    Screenshot, der den benutzerdefinierten Connector „Start Subscription“ zeigt.

  4. Fügen Sie die Verzeichnis-(Mandanten-)ID – früher aus der Übersichtsseite App-Registrierung in Microsoft Entra ID kopiert – in das Feld Mandant ein.

  5. Fügen Sie die Verzeichnis-(Mandanten-)ID in PublisherIdentifier ein.

  6. Wählen Sie Vorgang testen aus.

Es sollte ein (200)-Status zurückgegeben werden, was bedeutet, dass die Abfrage erfolgreich war.

Screenshot, der einen erfolgreichen Status zeigt, der von der Aktivität „StartSubscription“ zurückgegeben wurde.

Wichtig

Wenn Sie das Abonnement zuvor aktiviert haben, wird eine (400) The subscription is already enabled Meldung angezeigt. Dies bedeutet, dass das Abonnement bereits erfolgreich aktiviert wurde. Ignorieren Sie diesen Fehler und fahren Sie mit der Einrichtung fort.

Wenn Sie die obige Meldung oder (200) Antwort nicht sehen, ist die Anforderung wahrscheinlich fehlgeschlagen. Möglicherweise liegt bei Ihrem Setup ein Fehler vor, der den Flow daran hindert, zu funktionieren. Häufige zu überprüfende Probleme sind:

  • Der Identitätsanbieter auf der Registerkarte Sicherheit sollte auf Microsoft Entra ID eingestellt sein.
  • Überwachungsprotokolle sollten aktiviert sein und Sie sollten die Berechtigung haben, sie anzuzeigen. Überprüfen Sie Ihren Zugriff, indem Sie im Microsoft Compliance Manager suchen.
  • Wenn Sie keine Berechtigungen haben, lesen Sie Bevor Sie das Prüfprotokoll durchsuchen.
  • Wenn Sie die Prüfprotokolle erst kürzlich aktiviert haben, versuchen Sie in ein paar Minuten erneut zu suchen, damit das Prüfprotokoll aktiviert werden kann.
  • Die Mandanten-ID aus Ihrer Microsoft Entra App-Registrierung sollte korrekt sein.
  • Ihre Ressourcen-URL sollte am Ende keine zusätzlichen Leerzeichen oder Zeichen enthalten.
  • Überprüfen Sie die Schritte bei Ihrer Microsoft Entra App-Registrierung auf Richtigkeit.
  • Die Sicherheitseinstellungen des benutzerdefinierten Connectors, wie in Schritt 6 des Setups des benutzerdefinierten Connectors beschrieben, sollten korrekt aktualisiert werden.

Wenn weiterhin Fehler auftreten, liegt möglicherweise eine schlechte Verbindung vor. Weitere Informationen finden Sie unter Schritt-für-Schritt-Anleitung zum Reparieren der Audit-Protokollverbindung.

Den Power Automate-Flow einrichten

Ein Power Automate-Flow verwendet den benutzerdefinierten Connector, fragt das Überwachungsprotokoll täglich ab und schreibt die Power Apps Startereignisse zu einer Microsoft Dataverse Tabelle. Diese Tabelle wird dann im Power BI Dashboard verwendet, um über Sitzungen und eindeutige Benutzer einer App zu berichten.

  1. Laden Sie die Lösung unter Kernkomponenten einrichten herunter.

  2. Gehen Sie zu make.powerapps.com.

  3. Importieren Sie die Prüfprotokolllösung des Center of Excellence mithilfe der Datei CenterofExcellenceAuditLogs_*x_x_x_xxx*_managed.zip .

  4. Stellen Sie Verbindungen her und aktivieren Sie dann Ihre Lösung. Wenn Sie eine neue Verbindung erstellen, müssen Sie Aktualisieren auswählen. Sie verlieren Ihren Importfortschritt nicht.

    Screenshot, der zeigt, wie die CoE-Audit-Log-Komponentenlösung importiert wird.

  5. Öffnen Sie Center of Excellence – Lösung für Überwachungsprotokolle.

  6. Entfernen Sie die nicht verwaltete Ebene aus [Untergeordnetes Element] Administrator | Protokolle synchronisieren.

  7. Wählen Sie [Untergeordnetes Element] Administrator | Protokolle synchronisieren aus.

  8. Bearbeiten Sie die Einstellungen Nur ausführende Benutzer.

    Untergeordneter Flow – Nur-ausführen-Benutzer.

  9. Ändern Sie für den benutzerdefinierten Connector der Office 365-Verwaltungs-API den Wert auf Diese Verbindung verwenden (userPrincipalName@company.com). Wenn für keinen der Connectors eine Verbindung besteht, wechseln Sie zu Dataverse>Verbindungen, und erstellen Sie eine für den Connector.

    Screenshot, der zeigt, wo die Auswahl „Nur-Ausführungsbenutzer konfigurieren“ zu finden ist.

  10. Lassen Sie für den Microsoft Dataverse-Konnektor den Nur-Ausführen-Berechtigungswert leer und vergewissern Sie sich, dass die Verbindungsreferenz für die Verbindung CoE Audit Logs - Dataverse korrekt konfiguriert ist. Wenn die Verbindung einen Fehler anzeigt, aktualisieren Sie die Verbindungsreferenz für die CoE-Audit-Protokolle - Dataverse Verbindungsreferenz.

    Screenshot, der zeigt, wo die CoE-Audit-Protokolle überprüft werden können - Dataverse Verbindungsreferenz.

  11. Wählen Sie Speichernund schließen Sie dann die Registerkarte Flowdetails.

  12. (Optional) Bearbeiten Sie die Variablen TimeInterval-Unit und TimeInterval-Interval Umgebung, um kleiner-Zeitblöcke zu erfassen. Der Standardwert besteht darin, den 1 Tag in 1 Stundensegmente zu unterteilen. Sie erhalten von dieser Lösung eine Warnung, wenn das Überwachungsprotokoll nicht alle Daten mit Ihrem konfigurierten Zeitintervall erfassen kann.

    Name Beschreibung
    StartTime-Intervall Muss eine ganze Zahl sein, um die Startzeit für den Abruf in der Vergangenheit anzugeben. Standardwert: 1 (für einen Tag zurück)
    StartTime-Einheit Legt die Einheit fest, in der die Daten abgerufen werden sollen. Muss ein Wert von als Eingabeparameter akzeptiert bis Zu Zeit hinzufügen sein. Beispiele für zulässige Werte: Minute, Hour, Day. Der Standardwert ist Day.
    TimeInterval-Einheit Bestimmt Einheiten für die Aufteilung der Zeit seit dem Start. Muss ein Wert von als Eingabeparameter akzeptiert bis Zu Zeit hinzufügen sein. Beispiele für zulässige Werte: Minute, Hour, Day. Der Standardwert ist Hour.
    TimeInterval-Intervall Muss eine ganze Zahl sein, um die Anzahl der Blöcke vom Typ „Einheit“ darzustellen. Der Standardwert ist 1 (für 1-Stunden-Blöcke).
    TimeSegment-CountLimit Muss eine ganze Zahl sein, um das Limit für die Anzahl der zu erstellenden Chunks anzugeben. Der Standardwert ist 60.

    [!ITIP] Diese Standardwerte funktionieren in einem mittelgroßen Mandanten. Möglicherweise müssen Sie die Werte mehrmals mit Anpassen bearbeiten, damit dies für Ihre Mandantengröße funktioniert.

Weitere Informationen zum Aktualisieren von Umgebung-Variablen finden Sie unter Umgebung-Variablen aktualisieren.

  1. Aktivieren Sie in der Lösung die Flows [Untergeordnet] Administrator | Protokolle synchronisieren und Administrator | Überwachungsprotokolle synchronisieren.

    Screenshot, der zeigt, wie Prüfprotokollflüsse aktiviert werden.

Beispielkonfigurationen für Umgebungsvariablen

Hier sind Beispielkonfigurationen für diese Werte:

StartTime-Intervall StartTime-Einheit TimeInterval-Intervall TimeInterval-Einheit TimeSegment-CountLimit Erwartung
1 Tag 1 Stunde 60 Erstellen Sie 24 untergeordnetes Element-Flows, was innerhalb der Grenze von 60 liegt. Jeder untergeordneter Flow ruft 1 Stunde Protokolle der letzten 24 Stunden ab.
2 Tag 1 Stunde 60 Erstellen Sie 48 untergeordnetes Element-Flows, was innerhalb der Grenze von 60 liegt. Jeder untergeordneter Flow ruft 1 Stunde Protokolle der letzten 48 Stunden ab.
1 Tag 5 Minute 300 Erstellt 288 untergeordnetes Element-Flows, was innerhalb der Grenze von 300 liegt. Jeder untergeordneter Flow ruft 5 Minuten Protokolle der letzten 24 Stunden ab.
1 Tag 15 Minute 100 Erstellen Sie 96 untergeordnetes Element-Flows, was innerhalb der Grenze von 100 liegt. Jeder untergeordneter Flow ruft 15 Minuten Protokolle der letzten 24 Stunden ab.

Abrufen älterer Daten

Nach der Konfiguration erfasst diese Lösung App-Starts, ist jedoch nicht für die Erfassung historischer App-Starts eingerichtet. Abhängig von Ihrer Microsoft 365 Lizenz sind historische Daten mithilfe des Überwachungsprotokolls in Microsoft Purview bis zu einem Jahr lang verfügbar.

Sie können historische Daten manuell in die Tabellen des CoE Starter Kits laden. Weitere Informationen finden Sie unter So importieren Sie alte Prüfprotokolle.

Ich habe einen Fehler im CoE Starter Kit gefunden. Was soll ich tun?

Um einen Fehler gegen die Lösung einzureichen, gehen Sie zu aka.ms/coe-starter-kit-issues.