Compartir vía

Recopile registros de auditoría mediante una acción HTTP

  • Artículo

Los flujos de sincronización del registro de auditoría Conectar se dirigen a la Office 365 referencia de la API de actividad de administración para recopilar datos de telemetría, como usuarios únicos y lanzamientos de aplicaciones. Los flujos utilizan una acción HTTP para acceder a la API. En este artículo, configura el registro de la aplicación para la acción HTTP y las variables ambiente necesarias para ejecutar los flujos.

Nota

El Kit de inicio del Centro de Excelencia (CoE) funciona sin estos flujos, pero la información de uso, como lanzamientos de aplicaciones y usuarios únicos, en el panel está en blanco. Power BI

Requisitos previos

  1. Complete los artículos Antes de configurar el Kit de inicio del CoE y Configurar los componentes del inventario .
  2. Configura tu ambiente.
  3. Inicie sesión con la identidad correcta.

Propina

Configure los flujos de registro de auditoría solo si eligió flujos en la nube como mecanismo para el inventario y la telemetría.

Antes de configurar los flujos de registro de auditoría

  1. La búsqueda del registro de auditoría de Microsoft 365 debe estar activada para que funcione el conector de registro de auditoría. Para obtener más información, consulte Activar o desactivar la búsqueda en el registro de auditoría.
  2. Su inquilino debe tener una suscripción que admita el registro de auditoría unificado. Para obtener más información, consulte la disponibilidad del Centro de seguridad y cumplimiento para planes empresariales y comerciales.
  3. Microsoft Entra Es posible que se requieran permisos para configurar el registro de la aplicación. Microsoft Entra Dependiendo de su configuración de Entra, este podría ser un rol de Desarrollador de aplicaciones o superior. Revise los roles menos privilegiados de tarea en ID para obtener más orientación. Microsoft Entra

Nota

Las API de administración de Office 365 utilizan Microsoft Entra ID para proporcionar servicios de autenticación que otorgan derechos a la aplicación para acceder a ellos.

Crear un registro de la aplicación Microsoft Entra para la API de administración de Office 365

Con estos pasos, puede configurar un registro de aplicaciones de Microsoft Entra para una llamada HTTP en un flujo de Power Automate a fin de conectarse al registro de auditoría. Para obtener más información, consulte Comience a usar las Office 365 API de administración.

  1. Inicie sesión en el portal Azure.

  2. Vaya a Microsoft Entra ID>Registros de aplicaciones. Captura de pantalla que muestra la ubicación del servicio de registros de aplicaciones de Azure.

  3. Seleccione + Nuevo registro.

  4. Ingrese un nombre, como Microsoft 365 Administración, pero no cambie ninguna otra configuración y luego Seleccionar Registrar.

  5. Seleccione Permisos de API>+Agregar un permiso. Captura de pantalla que muestra la ubicación del botón +Agregar un permiso del menú de permisos de la API.

  6. Seleccione API de administración de Office 365 y configure los permisos de la siguiente manera:

    1. Seleccione Permisos de aplicación y luego seleccione ActivityFeed.Read. Captura de pantalla que muestra la configuración ActivityFeed.Read en la página de permisos de API de solicitud del menú de permisos de API.

    2. Seleccione Agregar permisos.

  7. Seleccione Conceder consentimiento del administrador para (su organización). Para configurar el contenido de administrador, consulte Otorgar consentimiento de administrador a todo el inquilino para una aplicación.

    Los permisos de API ahora reflejan los permisos ActivityFeed.Read delegados con un estado de Concedido para (su organización).

  8. Seleccione Certificados y secretos.

  9. Seleccione + Nuevo secreto de cliente.

  10. Agregue una descripción y vencimiento de acuerdo con las directivas de su organización y luego seleccione Agregar.

  11. Copie y pegue el ID de la aplicación (cliente) en un documento de texto como el Bloc de notas.

  12. Seleccione Información general y copie y pegue los valores de id. de la aplicación (cliente) y del directorio (inquilino) en el mismo documento de texto. Asegúrese de tomar nota de qué GUID es para qué valor. Necesita estos valores cuando configura el conector personalizado.

Actualizar variables de entorno

Las variables ambiente se utilizan para almacenar el ID del cliente y el secreto para el registro de la aplicación. Las variables también se utilizan para almacenar audiencia y puntos finales del servicio de autoridad, según su nube (comercial, GCC, GCC High, DoD) para la acción HTTP. Actualice las Variables de entorno antes de activar los flujos.

Puede almacenar el secreto del cliente en texto sin formato en la variable Registros de auditoría - Secreto del cliente ambiente, lo cual no se recomienda. En su lugar, recomendamos crear y almacenar el secreto del cliente en Azure Key Vault y hacer referencia a él en la variable Registros de auditoría: secreto del cliente de Azure ambiente.

Nota

El flujo que usa esta variable de entorno está configurado con una condición para esperar la variable de entorno Registros de auditoría - Secreto de cliente o Registros de auditoría - Secreto de cliente de Azure. Sin embargo, no es necesario editar el flujo para trabajar con Azure Key Vault.

Name Description Valores
Registros de auditoría - Público El parámetro audiencia para las llamadas HTTP Comercial (predeterminado): https://manage.office.com

CCG: https://manage-gcc.office.com

GCC High: https://manage.office365.us

Departamento de Defensa: https://manage.protection.apps.mil
Registros de auditoría - Autoridad El campo de autoridad en las llamadas HTTP Comercial (predeterminado): https://login.windows.net

CCG: https://login.windows.net

GCC High: https://login.microsoftonline.us

Departamento de Defensa: https://login.microsoftonline.us
Registros de auditoría - ClientID ID de cliente de registro de la aplicación El ID del cliente de la aplicación proviene del Crear un Microsoft Entra registro de aplicación para la Office 365 API de administración paso.
Registros de auditoría - Secreto del cliente Secreto del cliente de registro de la aplicación (no el ID secreto sino el valor real) en texto sin formato El secreto del cliente de la aplicación proviene del Crear un Microsoft Entra registro de aplicación para la Office 365 API de administración paso. Déjelo en blanco si usa Azure Key Vault para almacenar su ID y secreto de cliente.
Registros de auditoría - Secreto del cliente de Azure Referencia de Azure Key Vault del secreto del cliente de registro de la aplicación La referencia de Azure Key Vault para el secreto del cliente de la aplicación proviene de Crear un Microsoft Entra registro de aplicación para la Office 365 API de administración paso. Déjelo en blanco si está almacenando su id. de cliente en texto sin formato en la variable de entorno Registros de auditoría - Secreto de cliente. Esta variable espera la referencia de Azure Key Vault, no el secreto. Para obtener más información, consulte Usar secretos de Azure Key Vault en variables ambiente.

Iniciar una suscripción para auditar el contenido del registro

  1. Vaya a make.powerapps.com.
  2. Seleccione Solución.
  3. Abra la solución Centro de excelencia - Componentes principales.
  4. Active el flujo Administrador | Registros de auditoría | Office 365 Suscripción a la API de administración y ejecútelo; ingrese inicio como la operación a ejecutar. Captura de pantalla que muestra la ubicación del botón Ejecutar en la barra de navegación y la operación de inicio en el panel de flujo Ejecutar.
  5. Abra el flujo y verifique que se pase la acción para iniciar la suscripción.

Importante

Si habilitó previamente la suscripción, verá el mensaje (400) La suscripción ya está habilitada . Esto significa que la suscripción se habilitó exitosamente en el pasado. Puede ignorar este mensaje y continuar con la configuración. Si no ve el mensaje anterior o un (200) respuesta, es probable que la solicitud haya fallado. Es posible que haya un error con su configuración que impida que el flujo funcione. Los problemas comunes por verificar son:

  • ¿Están habilitados los registros de auditoría y tiene permiso para ver los registros de auditoría? Pruebe si los registros están habilitados buscando en el Administrador de cumplimiento Microsoft .
  • ¿Habilitó el registro de auditoría recientemente? Si es así, inténtelo nuevamente en unos minutos para darle tiempo al registro de auditoría a que se active.
  • Compruebe que ha seguido correctamente los pasos de registro de la aplicación de Microsoft Entra.
  • Valide que actualizó correctamente las variables de entorno para estos flujos.

Activar flujos

  1. Vaya a make.powerapps.com.
  2. Seleccione Solución.
  3. Abra la solución Centro de excelencia - Componentes principales.
  4. Activar el flujo Administrador | Registros de auditoría | Actualizar datos (V2). Este flujo actualiza la tabla con la información del último lanzamiento y agrega metadatos a los registros de auditoría. PowerApps
  5. Activar el flujo Administrador | Registros de auditoría | Sincronizar registros de auditoría (V2). Este flujo se ejecuta según un cronograma cada hora y recopila eventos del registro de auditoría en la tabla de registro de auditoría.

Cómo obtener datos más antiguos

Esta solución recopila los lanzamientos de aplicaciones después de ser configurada, pero no está configurada para recopilar lanzamientos históricos de aplicaciones. Dependiendo de su Microsoft 365 licencia, los datos históricos están disponibles por hasta un año usando el registro de auditoría en Microsoft Purview.

Puede cargar datos históricos en las tablas del Kit de inicio de CoE manualmente, utilizando uno de los flujos de la solución.

Nota

El usuario que recupera registros de auditoría necesita permiso para acceder a ellos. Para obtener más información, consulte Antes de buscar en los registros de auditoría.

  1. Vaya a la búsqueda del registro de auditoría.

  2. Busque la actividad de la aplicación Ejecutada en el rango de fechas disponible para usted. Captura de pantalla que resalta el rango de fechas y la actividad de la aplicación iniciada para una búsqueda en la página de Auditoría de Purview. Microsoft

  3. Una vez que se ejecuta la búsqueda, Seleccionar Exportar para descargar los resultados.

  4. Vaya a este flujo en la solución principal: Administrador | Registros de auditoría | Cargar eventos desde el archivo CSV del registro de auditoría exportado.

  5. Encienda el flujo y ejecútelo, seleccionando el archivo descargado para el parámetro CSV del registro de auditoría. Captura de pantalla que muestra el campo de importación CSV del registro de auditoría y el botón Ejecutar flujo del panel Ejecutar flujo.

    Nota

    Si no ve que el archivo se carga después de seleccionar Importar, es posible que exceda el tamaño de contenido permitido para este Gatillo. Intente dividir el archivo en archivos más pequeños (50 000 filas por archivo) y ejecute el flujo una vez por archivo. El flujo se puede ejecutar simultáneamente para varios archivos.

  6. Cuando se completan, estos registros se incluyen en su telemetría. La lista de últimos lanzamientos de las aplicaciones se actualiza si se encuentran lanzamientos más recientes.

Solución de problemas

Permisos de API

Vaya al registro de su aplicación y valide que tenga los permisos de API correctos. El registro de su aplicación requiere permisos de aplicación no delegados. Validar que el estado sea Concedido.

Variable secreta ambiente: secreto de Azure

Si usa el valor de clave de Azure para almacenar el secreto de registro de la aplicación, valide que los permisos de Azure Key Vault sean correctos. Un usuario debe estar en el rol de Usuario secreto de Key Vault para leer y en el rol de Key Vault colaborador para actualizar. Captura de pantalla que muestra los roles de usuario de Key Vault colaborador y Key Vault Secrets.

Si tiene otros problemas con Azure Key Vault relacionados con un firewall, direcciones IP estáticas para Dataverse ambiente u otros problemas de características similares, comuníquese con el soporte técnico del producto para resolverlos.

Variable secreta ambiente: texto sin formato

Si usa texto simple para almacenar el secreto de registro de la aplicación, valide que haya ingresado el valor secreto en sí y no el ID del secreto. El valor secreto es una cadena más larga con un conjunto de caracteres más grande que un GUID, por ejemplo, la cadena podría tener caracteres de tilde.

Encontré un error con el Kit de inicio de CoE. ¿A dónde debería ir?

Para presentar un error contra la solución, vaya a aka.ms/coe-starter-kit-issues.