Compartir vía

Recopile registros de auditoría mediante un conector personalizado (obsoleto)

  • Artículo

Importante

El uso de la solución dedicada Centro de excelencia - Registro de auditoría y el conector personalizado de administración de Office 365 para recopilar eventos de registro de auditoría están en desuso. La solución y el conector personalizado se eliminarán del kit de inicio de CoE en agosto de 2023.

Tenemos un nuevo flujo que recopila eventos de registro de auditoría, que forma parte de la solución Centro de excelencia - Componentes principales. Este nuevo flujo utiliza un conector HTTP. Más información: Recopile registros de auditoría mediante una acción HTTP

El flujo de sincronización del registro de auditoría se conecta al registro de auditoría de Microsoft 365 para recopilar datos de telemetría (usuarios únicos, lanzamientos) para aplicaciones. El flujo utiliza un conector personalizado para conectarse al Registro de auditoría. En las siguientes instrucciones, configura el conector personalizado y el flujo.

El Starter Kit del Centro de excelencia (CoE) funciona sin este flujo, pero la información de uso (inicio de aplicaciones, usuarios únicos) en el panel información de Power BI estará en blanco.

Importante

Complete las instrucciones de Antes de configurar el kit de inicio de CoE y Configurar componentes de inventario antes de continuar con la instalación en este artículo. En este artículo se da por sentado que usted ha configurado el entorno y ha iniciado sesión con la identidad correcta.

Configure la solución Registro de auditoría solo si ha elegido flujos en la nube como mecanismo para el inventario y la telemetría.

Vea una introducción sobre cómo configurar el conector de rgistro de auditoría.

Antes de usar el conector de registro de auditoría

  1. La búsqueda del registro de auditoría de Microsoft 365 debe estar activada para que funcione el conector de registro de auditoría. Más información: Activar o desactivar la búsqueda de registro de auditoría

  2. La identidad del usuario que ejecuta el flujo debe tener permiso para los registros de auditoría. Los permisos mínimos para esto se describen aquí: Antes de buscar en los registros de auditoría

  3. Su inquilino debe tener una suscripción que admita el registro de auditoría unificado. Más información: Disponibilidad del Centro de seguridad y cumplimiento para planes de negocio y empresariales

  4. Se requiere un administrador global para configurar el registro de aplicaciones de Microsoft Entra.

Las API de administración de Office 365 utilizan Microsoft Entra ID para proporcionar servicios de autenticación que otorgan derechos a la aplicación para acceder a ellos.

Crear un registro de la aplicación Microsoft Entra para la API de administración de Office 365

Con estos pasos, configurará un registro de aplicación de Microsoft Entra que se utiliza en un conector personalizado y un flujo de Power Automate para conectarse al registro de auditoría. Más información: Introducción a las API de administración de Office 365

  1. Inicie sesión en portal.azure.com.

  2. Vaya a Microsoft Entra ID>Registros de aplicaciones.

    Registro de la aplicación de Microsoft Entra

  3. Seleccione + Nuevo registro.

  4. Introduzca un nombre (por ejemplo, Administración de Microsoft 365), no cambie ninguna otra configuración y, a continuación, seleccione Registrarse.

  5. Seleccione Permisos de API>+Agregar un permiso.

    Permisos de API: Agregar un permiso.

  6. Seleccione API de administración de Office 365 y configure los permisos de la siguiente manera:

    1. Seleccione Permisos delegados y luego seleccione ActivityFeed.Read.

      Permisos delegados.

    2. Seleccione Agregar permisos.

  7. Seleccione Conceder consentimiento del administrador para (su organización). Requisitos previos: Otorgue el consentimiento de administrador para todo el inquilino a una aplicación.

    Los permisos de API ahora reflejan los permisos ActivityFeed.Read delegados con un estado de Concedido para (su organización).

  8. Seleccione Certificados y secretos.

  9. Seleccione + Nuevo secreto de cliente.

    Nuevo secreto de cliente.

  10. Agregue una descripción y vencimiento (de acuerdo con las directivas de su organización) y luego seleccione Agregar.

  11. Copie y pegue el Secreto en un documento de texto en el cuaderno por el momento.

  12. Seleccione Información general y copie y pegue los valores de id. de aplicación (cliente) y directorio (inquilino) en el mismo documento de texto; asegúrese de anotar qué GUID es para qué valor. Necesitará estos valores en el siguiente paso cuando configure el conector personalizado.

Deje abierto Azure Portal, ya que deberá realizar algunas actualizaciones de configuración después de definir el conector personalizado.

Configurar el conector personalizado

Ahora configurará y definirá un conector personalizado que utiliza las API de administración de Office 365.

  1. Vaya a Power Apps>Dataverse>Conectores personalizados. El conector personalizado de las API de administración de Office 365 se muestra aquí; se ha importado con la solución de componentes principales.

  2. Seleccione Editar.

  3. Si su inquilino es un inquilino comercial, deje la página General tal cual.

    Importante

    • Si su inquilino es un inquilino GCC, cambie el host a manage-gcc.office.com.
    • Si su inquilino es un inquilino GCC High, cambie el host a manage.office365.us.
    • Si su inquilino es un inquilino DoD, cambie el host a manage.protection.apps.mil.

    Más información: Actividad de operaciones de API

  4. Seleccione Seguridad.

  5. Seleccione Editar en la parte inferior del área OAuth 2.0 para editar los parámetros de autenticación.

    Editar la configuración de OAuth.

  6. Cambie el proveedor de identidades a Microsoft Entra ID.

    Cambie el proveedor de identidades a Microsoft Entra ID.

  7. Pegue el id. de aplicación (cliente) que copió del registro de la aplicación en Id. de cliente.

  8. Pegue el secreto de cliente que copió del registro de la aplicación en Secreto de cliente.

  9. No cambie el id. de inquilino.

  10. Deje la URL de inicio de sesión como está para los inquilinos comerciales y GCC, y cámbiela a https://login.microsoftonline.us/ para un inquilino GCC High o DoD.

  11. Establezca la URL del recurso en https://manage.office.com para un inquilino comercial, https://manage-gcc.office.com para un inquilino de GCC, https://manage.office365.us para un inquilino de GCC High y https://manage.protection.apps.mil para un inquilino DoD.

  12. Seleccione Actualizar conector.

  13. Copie la URL de redireccionamiento en su documento de texto en el cuaderno.

Nota

Si tiene una directiva de prevención de pérdida de datos (DLP) configurada para su entorno Kit de inicio de CoE, deberá agregar este conector al grupo de solo datos comerciales de esta directiva.

Actualizar el registro de aplicación de Microsoft Entra con la URL de redireccionamiento

  1. Vaya a Azure Portal y a los registros de aplicación.

  2. En Información general, seleccione Agregar un URI de redireccionamiento.

  3. Seleccione + Agregar plataforma>Web.

  4. Ingrese la URL que copió de la sección URL de redireccionamiento del conector personalizado.

  5. Seleccione Configurar.

Iniciar una suscripción para auditar el contenido del registro

Vuelva al conector personalizado para configurar una conexión al conector personalizado e iniciar una suscripción al contenido del registro de auditoría, como se describe en los siguientes pasos.

Importante

Para que los pasos subsiguientes funcionen, debe completar estos pasos. Si no crea una nueva conexión y prueba el conector aquí, la configuración del flujo y el flujo secundario en los pasos posteriores fallará.

  1. En la página Conector personalizado, seleccione Prueba.

  2. Seleccione + Nueva conexión y luego inicie sesión con su cuenta.

  3. En Operaciones, seleccione StartSubscription.

    Suscripción de inicio del conector personalizado.

  4. Pegue el ID del directorio (inquilino), copiado anteriormente de la página de información general Registro de aplicaciones en Microsoft Entra ID, en el campo Inquilino.

  5. Pegue el ID de directorio (inquilino) en PublisherIdentifier.

  6. Seleccione Probar operación.

Se debería devolver un estado (200), lo que significa que la consulta fue correcta.

Estado correcto que se devuelve de la actividad StartSubscription.

Importante

Si previamente ha habilitado la suscripción, verá un mensaje (400) La suscripción ya está habilitada. Esto significa que la suscripción se ha habilitado con éxito en el pasado. Puede ignorar este error y continuar con la configuración.

Si no ve el mensaje anterior o una respuesta (200), es posible que la solicitud haya fallado. Podría haber un error con su configuración que impide que el flujo funcione. Los problemas comunes por verificar son:

  • Valide que el proveedor de identidad en la pestaña Seguridad esté configurada en Microsoft Entra ID.
  • ¿Están habilitados los registros de auditoría y tiene permiso para ver los registros de auditoría? Compruébelo viendo si puede buscar en el Administrador de cumplimiento de Microsoft.
  • Si no tiene permisos, consulte Antes de buscar en el registro de auditoría.
  • ¿Ha habilitado el registro de auditoría recientemente? Si es así, inténtelo nuevamente en unos minutos para darle tiempo al registro de auditoría a que se active.
  • ¿Ha pegado el id. de inquilino correcto desde su registro de la aplicación de Microsoft Entra?
  • ¿Ha pegado la URL correcta del recurso, sin espacios o caracteres agregados al final?
  • Compruebe que ha seguido correctamente los pasos de registro de la aplicación de Microsoft Entra.
  • Valide que actualizó correctamente la configuración de seguridad del conector personalizado, como se describe en el procedimiento del paso 6 de la configuración del conector personalizado, que aparece anteriormente en este artículo.

Si aún ve fallos, es posible que su conexión esté en mal estado. Más información: Instrucciones paso a paso para reparar la conexión del registro de auditoría

Configurar el flujo de Power Automate

Un flujo de Power Automate usa el conector personalizado, consulta el registro de auditoría diariamente y escribe los eventos de inicio de Power Apps en una tabla de Microsoft Dataverse. Esta tabla se utiliza luego en el panel de control de Power BI para informar sobre sesiones y usuarios únicos de una aplicación.

  1. Siga las instrucciones de Configurar componentes básicos para descargar la solución.

  2. Vaya a make.powerapps.com.

  3. Importe la solución de registros de auditoría del Centro de excelencia (CenterofExcellenceAuditLogs_x_x_x_xxx_managed.zip).

  4. Establezca las conexiones para activar la solución. Si crea una nueva conexión, debe seleccionar Actualizar. No perderá su progreso de importación.

    Importar la solución de componentes de registro de auditoría del CoE.

  5. Abra el Centro de excelencia – Solución de registro de auditoría.

  6. Eliminar la capa no administrada de [Elemento secundario] Administración | Registros de sincronización.

  7. Seleccione [Elemento secundario] Administración | Registros de sincronización.

  8. Edite la configuración de Usuarios de solo ejecución.

    Flujo secundario: usuarios de solo ejecución

  9. Para el conector personalizado de la API de administración de Office 365, cambie el valor a Usar esta conexión (userPrincipalName@company.com). Si no hay conexión para ninguno de los conectores, vaya a Dataverse>Conexiones y cree uno para el conector.

    Configure usuarios de solo ejecución.

  10. Para el conector Microsoft Dataverse, deje en blanco el valor del permiso de solo ejecución y confirme que la referencia de conexión para la conexión Registros de auditoría de CoE en Dataverse esté configurada correctamente. Si la conexión muestra un error, actualice la referencia de conexión para la referencia de conexión de Registros de auditoría de CoE en Dataverse.

    Confirme que la referencia de conexión de Dataverse esté establecida en su cuenta.

  11. Seleccione Guardar y luego cierre la pestaña Detalles de flujo.

  12. (Opcional) Edite las variables de entorno TimeInterval-Unit y TimeInterval-Interval para recopilar fragmentos de tiempo más pequeños. El valor predeterminado es dividir 1 día en segmentos de 1 hora. Recibe una alerta de esta solución si el registro de auditoría no recopila todos los datos con su intervalo de tiempo configurado.

    Asignar nombre Descripción
    StartTime-Interval Debe ser un número entero para representar la hora de inicio de cuánto hacia atrás capturar.
    Valor predeterminado: 1 (para un día atrás)
    StartTime-Unit Determina las unidades de cuánto tiempo retroceder en el tiempo para capturar datos.
    Debe ser un valor de aceptado como parámetro de entrada para Agregar al tiempo.
    Valores legales de ejemplo: Minuto, Hora, Día
    Valor predeterminado: Día
    TimeInterval-Unit Determina las unidades para dividir el tiempo desde el inicio.
    Debe ser un valor de aceptado como parámetro de entrada para Agregar al tiempo.
    Valores legales de ejemplo: Minuto, Hora, Día
    Valor predeterminado: hora
    TimeInterval-Interval Debe ser un número entero para representar el número de fragmentos del tipo de unidad (arriba).
    Valor predeterminado: 1 (para intervalos de 1 hora)
    TimeSegment-CountLimit Debe ser un número entero para representar el límite de la cantidad de fragmentos que se pueden crear.
    Valor predeterminado: 60

    Importante

    Los valores predeterminados proporcionados funcionan en un inquilino de tamaño mediano. Es posible que deba ajustar los valores varias veces para que esto funcione para el tamaño de su inquilino.

    Importante

    Obtenga información sobre cómo actualizar las variables de entorno: Actualizar variables de entorno

  13. De vuelta en la solución, active ambos flujos [Elemento secundario] Admin | Sync Logs y Admin | Sincronizar registros de auditoría.

    Activar los flujos registro de auditoría.

Ejemplo de configuraciones de variables de entorno

Aquí hay configuraciones de ejemplo para estos valores:

StartTime-Interval StartTime-Unit TimeInterval-Interval TimeInterval-Unit TimeSegment-CountLimit Expectativa
1 Día 1 hora 60 Creará 24 flujos secundarios, que está dentro del límite de 60.
Cada flujo secundario hace el trabajo de recuperar 1 hora de registros de las últimas 24 horas
2 Día 1 hora 60 Creará 48 flujos secundarios, que está dentro del límite de 60.
Cada flujo secundario hace el trabajo de recuperar 1 hora de registros de las últimas 48 horas
1 Día 5 minuto 300 Creará 288 flujos secundarios, que está dentro del límite de 300.
Cada flujo secundario hace el trabajo de recuperar 5 minutos de registros de las últimas 24 horas
1 Día 15 minuto 100 Creará 96 flujos secundarios, que está dentro del límite de 100.
Cada flujo secundario hace el trabajo de recuperar 15 minutos de registros de las últimas 24 horas

Cómo obtener datos más antiguos

Esta solución recopila inicios de aplicaciones desde el momento en que se configuran y no está preparada para recopilar inicios de aplicaciones históricos. Depende de la licencia de Microsoft 365, los datos históricos estarán disponibles hasta un máximo de un año usando el registro de auditoría de Microsoft Purview.

Puede cargar manualmente datos históricos en las tablas del kit de inicio de CoE. Más información: Cómo importar registros de auditoría antiguos

Encontré un error con el kit de inicio de CoE; ¿Adónde debería ir?

Para presentar un error contra la solución, vaya a aka.ms/coe-starter-kit-issues.