Recopilación de registros de auditoría mediante un conector personalizado (en desuso)

Importante

El uso de la solución dedicada Center of Excellence - Audit Log y el conector personalizado de administración de Office 365 para recopilar eventos de registro de auditoría está obsoleto. La solución y el conector personalizado se eliminarán del kit de inicio de CoE en agosto de 2023. Tenemos un nuevo flujo que recopila eventos de registro de auditoría, que forma parte de la solución Centro de excelencia - Componentes principales. Este nuevo flujo utiliza un conector HTTP. Obtenga más información en Recopilar registros de auditoría mediante la API de administración de Office 365.

El flujo de sincronización del registro de auditoría se conecta al registro de auditoría de Microsoft 365 para recopilar datos de telemetría (usuarios únicos, inicios) para las aplicaciones. El flujo utiliza un conector personalizado para conectarse al Registro de auditoría. En las siguientes instrucciones, configura el conector personalizado y el flujo.

El Kit de inicio del Centro de Excelencia (CoE) funciona sin este flujo, pero la información de uso (inicios de aplicaciones, usuarios únicos) en el panel de Power BI queda en blanco.

Requisitos previos

• Complete las instrucciones de configuración del Kit de inicio de CoE y configure los componentes de inventario antes de continuar con la configuración de este artículo.
• Configure los entornos.
• Inicie sesión con la identidad correcta.
• (Opcional) Configure solo la solución de registro de auditoría si eligió flujos de nube como mecanismo para el inventario y la telemetría. Vea una introducción sobre cómo configurar el conector de registro de auditoría.

Antes de usar el conector de registro de auditoría

1. La búsqueda de registros de auditoría de Microsoft 365 debe estar activada para que funcione el conector de registros de auditoría. Obtenga más información en Activar o desactivar la auditoría.

2. La identidad del usuario que ejecuta el flujo debe tener permiso para los registros de auditoría. Los permisos mínimos se describen en Antes de buscar en el registro de auditoría.

3. Su inquilino debe tener una suscripción que admita el registro de auditoría unificado. Obtenga más información en orientaciones de Orientación de Microsoft 365 para la seguridad y el cumplimiento.

4. Es posible que se requieran permisos de Microsoft Entra para configurar el registro de aplicaciones de Microsoft Entra. En función de la configuración de Entra, necesita el rol Desarrollador de Aplicaciones o superior. Revise los roles con privilegios mínimos por tarea en Microsoft Entra ID para obtener más instrucciones.

Las API de administración de Office 365 utilizan Microsoft Entra ID para proporcionar servicios de autenticación que otorgan derechos a la aplicación para acceder a ellos.

Crear un registro de la aplicación Microsoft Entra para la API de administración de Office 365

Siga estos pasos para configurar un registro de aplicaciones de Microsoft Entra que puede utilizar en un conector personalizado y un flujo de Power Automate para conectarse al registro de auditoría. Obtenga más información en Introducción a las API de administración de Office 365.

1. Inicie sesión en el portal Azure.

2. Vaya a Microsoft Entra ID>Registros de aplicaciones.

   

3. Seleccione + Nuevo registro.

4. Ingrese un nombre (por ejemplo, Administración de Microsoft 365), no cambie ninguna otra configuración y luego seleccione Registrarse.

5. Seleccione Permisos de API>+Agregar un permiso.

   

6. Seleccione API de administración de Office 365 y configure los permisos de la siguiente manera:

   1. Seleccione Permisos delegados y luego seleccione ActivityFeed.Read.

      

   2. Seleccione Agregar permisos.

7. Seleccione Conceder consentimiento del administrador para (su organización). Revise los requisitos previos en Otorgue el consentimiento de administrador para todo el inquilino a una aplicación.

   Los permisos de API ahora reflejan los permisos ActivityFeed.Read delegados con un estado de Concedido para (su organización).

8. Seleccione Certificados y secretos.

9. Seleccione + Nuevo secreto de cliente.

10. Agregue una descripción y vencimiento (de acuerdo con las directivas de su organización) y luego seleccione Agregar.

11. Copie y pegue el Secreto en un documento de texto en el cuaderno por el momento.

12. Seleccione Información general y copie y pegue los valores de id. de la aplicación (cliente) y del directorio (inquilino) en el mismo documento de texto. Asegúrese de anotar qué GUID es para qué valor. Necesitará estos valores en el paso siguiente al configurar el conector personalizado.

13. Deje abierto Azure Portal porque tendrá que realizar algunas actualizaciones de configuración después de configurar el conector personalizado.

Configurar el conector personalizado

A continuación, configure y configure un conector personalizado que use las API de administración de Office 365.

1. Vaya a Power Apps>Dataverse>Conectores personalizados. El conector personalizado de la API de administración de Office 365 se muestra aquí. El conector se importa con la solución de componentes principales.

2. Seleccione Editar.

3. Si el inquilino es un inquilino comercial, no cambie nada en la página General .

   Importante

   • Si su inquilino es un inquilino de GCC, cambie el host a manage-gcc.office.com.
   • Si su inquilino es un inquilino GCC High, cambie el host a manage.office365.us.
   • Si su inquilino es un inquilino DoD, cambie el host a manage.protection.apps.mil.

   Obtenga más información en Operaciones de Activity API.

4. Seleccione Seguridad.

5. Seleccione Editar en la parte inferior del área OAuth 2.0 para editar los parámetros de autenticación.

   

6. Cambie el proveedor de identidades a Microsoft Entra ID.

   

7. Pegue el id. de aplicación (cliente) que copió del registro de la aplicación en Id. de cliente.

8. Pegue el secreto de cliente que copió del registro de la aplicación en Secreto de cliente.

9. No cambie el id. de inquilino.

10. Deje la dirección URL de inicio de sesión tal como está para los inquilinos comerciales y de GCC. Sin embargo, para un inquilino de GCC High o DoD, cambie la dirección URL a https://login.microsoftonline.us/.

11. Establezca la URL del recurso:

    Tipo de inquilino	Dirección URL
    Comercial	https://manage.office.com
    GCC	https://manage-gcc.office.com
    GCC High	https://manage.office365.us
    DoD	https://manage.protection.apps.mil

12. Seleccione Actualizar conector.

13. Copie la URL de redireccionamiento en un documento de texto, como el Bloc de notas.

Nota

Si tiene una directiva de datos configurada para el entorno del Kit de Inicio de CoE, añada este conector al grupo exclusivo de datos empresariales de esta directiva.

Actualizar el registro de aplicación de Microsoft Entra con la URL de redireccionamiento

1. Vaya a Azure Portal y a los registros de aplicación.
2. En Información general, seleccione Agregar un URI de redireccionamiento.
3. Seleccione + Agregar plataforma>Web.
4. Ingrese la URL que copió de la sección URL de redireccionamiento del conector personalizado.
5. Seleccione Configurar.

Iniciar una suscripción y auditar el contenido del registro

Vuelva al conector personalizado para configurar una conexión al conector personalizado e iniciar una suscripción al contenido del registro de auditoría, como se describe en los siguientes pasos.

Importante

Para que los pasos subsiguientes funcionen, debe completar estos pasos. Si no crea una nueva conexión y prueba el conector aquí, la configuración del flujo y del flujo secundario en los pasos posteriores fallará.

1. En la página Conector personalizado, seleccione Prueba.

2. Seleccione + Nueva conexión y luego inicie sesión con su cuenta.

3. En Operaciones, seleccione StartSubscription.

   

4. Pegue el id. del directorio (inquilino), copiado anteriormente de la página de información general Registro de aplicaciones en Microsoft Entra ID, en el campo Inquilino.

5. Pegue el ID de directorio (inquilino) en PublisherIdentifier.

6. Seleccione Probar operación.

Se debería devolver un estado (200), lo que significa que la consulta fue correcta.

Importante

Si ha habilitado previamente la suscripción, verá un (400) The subscription is already enabled mensaje. Este mensaje significa que la suscripción ya está habilitada. Ignore este error y continúe con la configuración.

Si no ve este mensaje (400) o una respuesta (200), es probable que se produzca un error en la solicitud. Podría haber un error con su configuración que impide que el flujo funcione. Los problemas comunes por verificar son:

• El proveedor de identidades de la pestaña Seguridad debe establecerse en Microsoft Entra ID.
• Los registros de auditoría deben estar habilitados y usted tiene permiso para verlos. Para comprobar el acceso, busque el Administrador de cumplimiento de Microsoft Purview.
• Si no tiene permisos, revise Antes de buscar en el registro de auditoría.
• Si ha habilitado los registros de auditoría recientemente, intente buscar de nuevo en unos minutos para dar tiempo a que los registros de auditoría se activen.
• El Id. de inquilino de su registro de aplicaciones de Microsoft Entra debe ser correcto.
• Su URL de recurso no debe tener espacios ni caracteres agregados al final.
• Revise los pasos en su registro de aplicaciones de Microsoft Entra para verificar que sean correctos.
• La configuración de seguridad del conector personalizado, que se describe en el paso 6 de la configuración del conector personalizado, se debe actualizar correctamente.

Si sigue viendo errores, es posible que la conexión esté en un estado incorrecto. Obtenga más información en Instrucciones paso a paso para reparar la conexión del registro de auditoría.

Configurar el flujo de Power Automate

Un flujo de Power Automate usa el conector personalizado para consultar el registro de auditoría diariamente y escribe los eventos de inicio de Power Apps en una tabla de Microsoft Dataverse. Esta tabla se usa en el panel de Power BI para informar sobre sesiones y usuarios únicos de una aplicación.

1. Descargue la solución en Configurar componentes básicos.

2. Vaya a make.powerapps.com.

3. Importe la solución de registros de auditoría del Centro de Excelencia mediante el archivo CenterofExcellenceAuditLogs_*x_x_x_xxx*_managed.zip.

4. Establezca conexiones y, a continuación, active la solución. Si crea una nueva conexión, debe seleccionar Actualizar. No pierda su progreso de importación.

   

5. Abra el Centro de excelencia – Solución de registro de auditoría.

6. Elimine la capa no administrada del [Elemento secundario] Administración | Registros de sincronización.

7. Seleccione [Elemento secundario] Administración | Registros de sincronización.

8. Edite la configuración de Usuarios de solo ejecución.

   

9. Para el conector personalizado de la API de administración de Office 365, cambie el valor a Usar esta conexión (userPrincipalName@company.com). Si no hay conexión para ninguno de los conectores, vaya a Dataverse>Conexiones y cree uno para el conector.

   

10. Para el conector de Microsoft Dataverse, deje en blanco el valor del permiso de solo ejecución y confirme que la referencia de conexión para la conexión Registros de auditoría de CoE - Dataverse está configurada correctamente. Si la conexión muestra un error, actualice la referencia de conexión de la conexión CoE Audit Logs - Dataverse.

    

11. Seleccione Guardar y luego cierre la pestaña Detalles de flujo.

12. (Opcional) Edite las variables de entorno TimeInterval-Unit y TimeInterval-Interval para recopilar fragmentos de tiempo más pequeños. El valor predeterminado es dividir 1 día en segmentos de 1 hora. Recibe una alerta de esta solución si el registro de auditoría no recopila todos los datos con su intervalo de tiempo configurado.

    Asignar nombre	Descripción
    StartTime-Interval	Debe ser un número entero para representar la hora de inicio de cuánto hacia atrás capturar. Valor predeterminado: 1 (para retroceder un día)
    StartTime-Unit	Determina las unidades de cuánto tiempo retroceder en el tiempo para capturar datos. Debe ser un valor aceptado como parámetro de entrada para Añadir al tiempo. Ejemplo de valores permitidos: Minute, Hour, Day. El valor predeterminado es Day.
    TimeInterval-Unit	Determina las unidades para dividir el tiempo desde el inicio. Debe ser un valor aceptado como parámetro de entrada para Agregar al tiempo. Ejemplo de valores permitidos: Minute, Hour, Day. El valor predeterminado es Hour.
    TimeInterval-Interval	Debe ser un número entero para representar el número de fragmentos del tipo de unidad. El valor predeterminado es 1 (para fragmentos de 1 hora).
    TimeSegment-CountLimit	Debe ser un número entero para representar el límite de la cantidad de fragmentos que se pueden crear. El valor predeterminado es 60.

    Sugerencia

    Estos valores predeterminados funcionan en un inquilino de tamaño mediano. Es posible que deba ajustar los valores varias veces para que funcionen para el tamaño de su inquilino.

    Obtenga más información en Actualizar variables de entorno.

13. De vuelta en la solución, active ambos flujos [Elemento secundario] Admin | Sync Logs y Admin | Sincronizar registros de auditoría.

Ejemplo de configuraciones de variables de entorno

Aquí hay configuraciones de ejemplo para estos valores:

StartTime-Interval	StartTime-Unit	TimeInterval-Interval	TimeInterval-Unit	TimeSegment-CountLimit	Expectativa
1	Día	1	hora	60	Cree 24 flujos secundarios, lo que está dentro del límite de 60. Cada flujo secundario recupera 1 hora de registros de las últimas 24 horas.
2	Día	1	hora	60	Cree 48 flujos secundarios, lo que está dentro del límite de 60. Cada flujo secundario recupera 1 hora de registros de las últimas 48 horas.
1	Día	5	minuto	300	Crea 288 flujos secundarios, lo que está dentro del límite de 300. Cada flujo secundario recupera 5 minutos de registros de las últimas 24 horas.
1	Día	15	minuto	100	Cree 96 flujos secundarios, lo que está dentro del límite de 100. Cada flujo secundario recupera 15 minutos de registros de las últimas 24 horas.

Cómo obtener datos más antiguos

Una vez configurada, esta solución recopila los inicios de la aplicación, pero no está configurado para recopilar inicios históricos de aplicaciones. Según la licencia de Microsoft 365, los datos históricos están disponibles hasta un máximo de un año usando el registro de auditoría de Microsoft Purview.

Puede cargar manualmente datos históricos en las tablas del kit de inicio de CoE. Obtenga más información en Importación de registros de auditoría antiguos.

Cómo informar de un problema

Para enviar un error de la solución, vaya a aka.ms/coe-starter-kit-issues.