Compartir vía


Recopile registros de auditoría mediante un conector personalizado (obsoleto)

Importante

El uso de la solución dedicada Centro de excelencia - Registro de auditoría y el conector personalizado de administración de Office 365 para recopilar eventos de registro de auditoría están en desuso. La solución y el conector personalizado se eliminarán del kit de inicio de CoE en agosto de 2023. Tenemos un nuevo flujo que recopila eventos de registro de auditoría, que forma parte de la solución Centro de excelencia - Componentes principales. Este nuevo flujo utiliza un conector HTTP. Más información: Recopile registros de auditoría mediante una acción HTTP

El flujo de sincronización del registro de auditoría se conecta al registro de auditoría de Microsoft 365 para recopilar datos de telemetría (usuarios únicos, lanzamientos) para aplicaciones. El flujo utiliza un conector personalizado para conectarse al Registro de auditoría. En las siguientes instrucciones, configura el conector personalizado y el flujo.

El Kit de inicio del Centro de Excelencia (CoE) funciona sin este flujo, pero la información de uso (lanzamientos de aplicaciones, usuarios únicos) en el panel de control queda en blanco. Power BI

Requisitos previos

Antes de usar el conector de registro de auditoría

  1. La búsqueda del registro de auditoría de Microsoft 365 debe estar activada para que funcione el conector de registro de auditoría. Para obtener más información, consulte Activar o desactivar la auditoría.

  2. La identidad del usuario que ejecuta el flujo debe tener permiso para los registros de auditoría. Los permisos mínimos se describen en Antes de buscar en el registro de auditoría.

  3. Su inquilino debe tener una suscripción que admita el registro de auditoría unificado. Para obtener más información, consulte la Microsoft 365 guía de seguridad y cumplimiento.

  4. Microsoft Entra Es posible que se requieran permisos para configurar el registro de la aplicación. Microsoft Entra Dependiendo de su configuración de Entra, este podría ser un rol de Desarrollador de aplicaciones o superior. Revise los roles menos privilegiados de tarea en ID para obtener más orientación. Microsoft Entra

Las API de administración de Office 365 utilizan Microsoft Entra ID para proporcionar servicios de autenticación que otorgan derechos a la aplicación para acceder a ellos.

Crear un registro de la aplicación Microsoft Entra para la API de administración de Office 365

Con estos pasos, configurará un registro de aplicación de Microsoft Entra que se utiliza en un conector personalizado y un flujo de Power Automate para conectarse al registro de auditoría. Más información: Introducción a las API de administración de Office 365

  1. Inicie sesión en el portal Azure.

  2. Vaya a Microsoft Entra ID>Registros de aplicaciones.

    Captura de pantalla que muestra el registro de la aplicación. Microsoft Entra

  3. Seleccione + Nuevo registro.

  4. Introduzca un nombre (por ejemplo, Administración de Microsoft 365), no cambie ninguna otra configuración y, a continuación, seleccione Registrarse.

  5. Seleccione Permisos de API>+Agregar un permiso.

    Captura de pantalla que muestra los permisos de API: agregar un permiso.

  6. Seleccione API de administración de Office 365 y configure los permisos de la siguiente manera:

    1. Seleccione Permisos delegados y luego seleccione ActivityFeed.Read.

      Captura de pantalla que muestra los permisos delegados.

    2. Seleccione Agregar permisos.

  7. Seleccione Conceder consentimiento del administrador para (su organización). Requisitos previos: Otorgue el consentimiento de administrador para todo el inquilino a una aplicación.

    Los permisos de API ahora reflejan los permisos ActivityFeed.Read delegados con un estado de Concedido para (su organización).

  8. Seleccione Certificados y secretos.

  9. Seleccione + Nuevo secreto de cliente.

  10. Agregue una descripción y vencimiento (de acuerdo con las directivas de su organización) y luego seleccione Agregar.

  11. Copie y pegue el Secreto en un documento de texto en el cuaderno por el momento.

  12. Seleccione Información general y copie y pegue los valores de id. de aplicación (cliente) y directorio (inquilino) en el mismo documento de texto; asegúrese de anotar qué GUID es para qué valor. Necesitará estos valores en el siguiente paso cuando configure el conector personalizado.

Deje abierto Azure Portal, ya que deberá realizar algunas actualizaciones de configuración después de definir el conector personalizado.

Configurar el conector personalizado

Ahora puede configurar y configurar un conector personalizado que utiliza las Office 365 API de administración.

  1. Vaya a Power Apps>Dataverse>Conectores personalizados. El conector personalizado de la API de administración se incluye aquí. Office 365 El conector se importa con la solución de componentes principales.

  2. Seleccione Editar.

  3. Si su inquilino es un inquilino comercial, deje la página General tal cual.

    Importante

    • Si su inquilino es un inquilino de GCC, cambie el host a manage-gcc.office.com.
    • Si su inquilino es un GCC High inquilino, cambie el host a manage.office365.us.
    • Si su inquilino es un inquilino del Departamento de Defensa, cambie el host a manage.protection.apps.mil.

    Para obtener más información, consulte Operaciones de la API de actividad.

  4. Seleccione Seguridad.

  5. Seleccionar Editar en la parte inferior del área OAuth 2.0 para editar los parámetros de autenticación.

    Captura de pantalla que muestra cómo puede editar la sección 2.0 de la pestaña Seguridad de los Conectores personalizados. OAuth

  6. Cambie el proveedor de identidades a Microsoft Entra ID.

    Cambie el proveedor de identidades a Microsoft Entra ID.

  7. Pegue el id. de aplicación (cliente) que copió del registro de la aplicación en Id. de cliente.

  8. Pegue el secreto de cliente que copió del registro de la aplicación en Secreto de cliente.

  9. No cambie el id. de inquilino.

  10. Deje la URL de inicio de sesióncomo está para inquilinos comerciales y de GCC, pero para inquilinos de GCC High o del Departamento de Defensa, cambie la URL a https://login.microsoftonline.us/.

  11. Establezca la URL del recurso:

    Tipo de inquilino Dirección URL
    Comercial https://manage.office.com
    GCC https://manage-gcc.office.com
    GCC High https://manage.office365.us
    DoD https://manage.protection.apps.mil
  12. Seleccione Actualizar conector.

  13. Copie la URL de redirección en un documento de texto, como el Bloc de notas.

Nota

Si tiene una política de datos prevención de pérdidas (DLP) configurada para su Kit de inicio de CoE ambiente, agregue este conector al grupo de solo datos comerciales de esta política. ...

Actualizar el registro de aplicación de Microsoft Entra con la URL de redireccionamiento

  1. Vaya al portal de Azure y a sus registros de aplicaciones.

  2. En Información general, seleccione Agregar un URI de redireccionamiento.

  3. Seleccione + Agregar plataforma>Web.

  4. Ingrese la URL que copió de la sección URL de redireccionamiento del conector personalizado.

  5. Seleccione Configurar.

Iniciar una suscripción y auditar el contenido del registro

Vuelva al conector personalizado para configurar una conexión al conector personalizado e iniciar una suscripción al contenido del registro de auditoría, como se describe en los siguientes pasos.

Importante

Para que los pasos subsiguientes funcionen, debe completar estos pasos. Si no crea una nueva conexión y prueba el conector aquí, la configuración del flujo y flujo secundario en pasos posteriores fallará.

  1. En la página Conector personalizado, seleccione Prueba.

  2. Seleccione + Nueva conexión y luego inicie sesión con su cuenta.

  3. En Operaciones, seleccione StartSubscription.

    Captura de pantalla que muestra el conector personalizado Iniciar suscripción.

  4. Pegue el ID del directorio (inquilino), copiado anteriormente de la página de información general Registro de aplicaciones en Microsoft Entra ID, en el campo Inquilino.

  5. Pegue el ID de directorio (inquilino) en PublisherIdentifier.

  6. Seleccione Probar operación.

Se debería devolver un estado (200), lo que significa que la consulta fue correcta.

Captura de pantalla que muestra un estado exitoso devuelto por la actividad StartSubscription.

Importante

Si previamente ha habilitado la suscripción, verá un (400) The subscription is already enabled mensaje. Esto significa que la suscripción ya está habilitada correctamente. Ignore este error y continúe con la configuración.

Si no ve el mensaje anterior o un (200) respuesta, es probable que la solicitud haya fallado. Es posible que haya un error con su configuración que impida que el flujo funcione. Los problemas comunes por verificar son:

  • El proveedor de identidad en la pestaña Seguridad debe configurarse como Microsoft Entra ID.
  • Los registros de auditoría deben estar habilitados y usted debe tener permiso para verlos. Verifique su acceso buscando en el Microsoft Administrador de Cumplimiento.
  • Si no tiene permisos, consulte Antes de buscar en el registro de auditoría.
  • Si habilitó los registros de auditoría recientemente, intente buscar nuevamente en unos minutos para darle tiempo al registro de auditoría a activarse.
  • El ID del inquilino del registro de su aplicación debe ser correcto. Microsoft Entra
  • La URL de su recurso no debe tener espacios ni caracteres agregados al final.
  • Revise los pasos en el Microsoft Entra registro de su aplicación para verificar que sean correctos.
  • La configuración de seguridad del conector personalizado, como se describe en paso 6 de la configuración del conector personalizado, debe actualizarse correctamente.

Si sigues viendo fallas, es posible que tu conexión esté en mal estado. Para obtener más información, consulte Instrucciones paso a paso para reparar la conexión del registro de auditoría.

Configurar el flujo de Power Automate

Un flujo de Power Automate usa el conector personalizado, consulta el registro de auditoría diariamente y escribe los eventos de inicio de Power Apps en una tabla de Microsoft Dataverse. Esta tabla se utiliza luego en el panel de control de Power BI para informar sobre sesiones y usuarios únicos de una aplicación.

  1. Descargue la solución en Configurar componentes principales.

  2. Vaya a make.powerapps.com.

  3. Importe la solución de registros de auditoría del Centro de Excelencia utilizando el archivo CenterofExcellenceAuditLogs_*x_x_x_xxx*_managed.zip .

  4. Establezca conexiones y luego active su solución. Si crea una nueva conexión, debe seleccionar Actualizar. No perderá el progreso de su importación.

    Captura de pantalla que muestra cómo importar la solución de componentes del registro de auditoría del CoE.

  5. Abra el Centro de excelencia – Solución de registro de auditoría.

  6. Elimine capa no administrada de los registros de sincronización de [elemento secundario] Administrador.

  7. Seleccione [Elemento secundario] Administración | Registros de sincronización.

  8. Edite la configuración de Usuarios de solo ejecución.

    Flujo secundario: usuarios de solo ejecución

  9. Para el conector personalizado de la API de administración de Office 365, cambie el valor a Usar esta conexión (userPrincipalName@company.com). Si no hay conexión para ninguno de los conectores, vaya a Dataverse>Conexiones y cree uno para el conector.

    Captura de pantalla que muestra dónde encontrar la selección Configurar usuarios de solo ejecución.

  10. Para el conector Microsoft Dataverse, deje en blanco el valor del permiso de solo ejecución y confirme que la referencia de conexión para la conexión Registros de auditoría de CoE en Dataverse esté configurada correctamente. Si la conexión muestra un error, actualice la referencia de conexión para la referencia de conexión de Registros de auditoría de CoE en Dataverse.

    Captura de pantalla que muestra dónde consultar los registros de auditoría del CoE - Dataverse referencia de conexión.

  11. Seleccione Guardar y luego cierre la pestaña Detalles de flujo.

  12. (Opcional) Edite las variables TimeInterval-Unit y TimeInterval-Interval ambiente para recopilar fragmentos de tiempo Más pequeño. El valor predeterminado es dividir el día en segmentos de hora. 1 1 Recibe una alerta de esta solución si el registro de auditoría no recopila todos los datos con su intervalo de tiempo configurado.

    Asignar nombre Descripción
    StartTime-Interval Debe ser un número entero para representar la hora de inicio de cuánto hacia atrás capturar. Valor predeterminado: 1 (para un día atrás)
    StartTime-Unit Determina las unidades de cuánto tiempo retroceder en el tiempo para capturar datos. Debe ser un valor de aceptado como parámetro de entrada para Agregar al tiempo. Valores legales de ejemplo: Minute, Hour, Day. El valor predeterminado es Day.
    TimeInterval-Unit Determina las unidades para dividir el tiempo desde el inicio. Debe ser un valor de aceptado como parámetro de entrada para Agregar al tiempo. Valores legales de ejemplo: Minute, Hour, Day. El valor predeterminado es Hour.
    TimeInterval-Interval Debe ser un número entero para representar la cantidad de fragmentos del tipo unidad. El valor predeterminado es 1 (para fragmentos de 1 hora).
    TimeSegment-CountLimit Debe ser un número entero para representar el límite de la cantidad de fragmentos que se pueden crear. El valor predeterminado es 60.

    [!ITIP] Estos valores predeterminados funcionan en un inquilino de tamaño mediano. Es posible que tengas que Ajustar los valores varias veces para que esto funcione para el tamaño de tu inquilino.

Para obtener más información sobre cómo actualizar las variables ambiente, consulte Actualizar variables ambiente.

  1. De vuelta en la solución, active ambos flujos [Elemento secundario] Admin | Sync Logs y Admin | Sincronizar registros de auditoría.

Ejemplo de configuraciones de variables de entorno

Aquí hay configuraciones de ejemplo para estos valores:

StartTime-Interval StartTime-Unit TimeInterval-Interval TimeInterval-Unit TimeSegment-CountLimit Expectativa
1 Día 1 hora 60 Crea 24 flujos elemento secundario, lo que está dentro del límite de 60. Cada flujo secundario recupera 1 hora de registros de las últimas 24 horas.
2 Día 1 hora 60 Crea 48 flujos elemento secundario, lo que está dentro del límite de 60. Cada flujo secundario recupera 1 hora de registros de las últimas 48 horas.
1 Día 5 minuto 300 Crea 288 flujos elemento secundario, lo que está dentro del límite de 300. Cada flujo secundario recupera 5 minutos de registros de las últimas 24 horas.
1 Día 15 minuto 100 Crea 96 flujos elemento secundario, lo que está dentro del límite de 100. Cada flujo secundario recupera 15 minutos de registros de las últimas 24 horas.

Cómo obtener datos más antiguos

Una vez configurada, esta solución recopila lanzamientos de aplicaciones, aunque no está configurada para recopilar lanzamientos históricos de aplicaciones. Dependiendo de su Microsoft 365 licencia, los datos históricos están disponibles por hasta un año usando el registro de auditoría dentro de Microsoft Purview.

Puede cargar manualmente datos históricos en las tablas del kit de inicio de CoE. Para obtener más información, consulte Cómo importar registros de auditoría antiguos.

Encontré un error con el Kit de inicio de CoE. ¿A dónde debería ir?

Para presentar un error contra la solución, vaya a aka.ms/coe-starter-kit-issues.