Partage via

Collecter les journaux d’audit en utilisant une action HTTP

  • Article

Les flux de synchronisation du journal d’audit Connecter vers la Office 365 référence de l’API d’activité de gestion pour collecter des données de télémétrie, telles que les utilisateurs uniques et les lancements d’applications. Les flux utilisent une action HTTP pour accéder à l’API. Dans cet article, vous configurez l’enregistrement de l’application pour l’action HTTP et les variables environnement nécessaires pour exécuter les flux.

Note

Le kit de démarrage du Centre d’excellence (CoE) fonctionne sans ces flux, mais les informations d’utilisation, telles que les lancements d’applications et les utilisateurs uniques, dans le tableau de bord sont vides. Power BI

Conditions préalables

  1. Complétez les articles Avant de configurer le kit de démarrage CoE et Configurer les composants d’inventaire .
  2. Configurez votre environnement.
  3. connectez-vous avec la bonne identité.

Astuce

Configurez les flux de journaux d’audit uniquement si vous avez choisi les flux cloud comme mécanisme d’inventaire et de télémétrie.

Avant de configurer les flux du journal d’audit

  1. La recherche du journal d’audit Microsoft 365 doit être activée pour que le connecteur du journal d’audit fonctionne. Pour plus d’informations, voir Activer ou désactiver la recherche dans le journal d’audit.
  2. Votre client doit disposer d’un abonnement prenant en charge la journalisation d’audit unifiée. Pour plus d’informations, consultez Disponibilité du Centre de sécurité et de conformité pour les plans Business et Enterprise.
  3. Microsoft Entra des autorisations peuvent être requises pour configurer l’enregistrement de l’application. Microsoft Entra Selon votre configuration Entra, il peut s’agir d’un rôle de développeur d’applications ou supérieur. Consultez les rôles les moins privilégiés par tâche dans Microsoft Entra ID pour plus de conseils.

Note

Microsoft Entra ID permet aux API de gestion Office 365 de fournir des services d’authentification vous permettant d’accorder des droits d’accès à votre application.

Créer une inscription d’application Microsoft Entra pour l’API de gestion d’Office 365

À l’aide de ces étapes, vous pouvez configurer une inscription d’application Microsoft Entra pour un appel HTTP dans un flux Power Automate afin de vous connecter au journal d’audit. Pour plus d’informations, consultez Démarrer avec Office 365 les API de gestion.

  1. Connectez-vous au portail Azure.

  2. Accédez à Microsoft Entra ID>Inscriptions d’application. Capture d’écran montrant l’emplacement du service Azure d’inscriptions d’applications.

  3. Sélectionnez + Nouvelle inscription.

  4. Saisissez un nom, tel que Microsoft 365 Gestion, mais ne modifiez aucun autre paramètre, puis Sélectionner Enregistrer.

  5. Cliquez sur Autorisations API>+ Ajouter une autorisation. Capture d’écran montrant l’emplacement du bouton +Ajouter une autorisation du menu des autorisations de l’API.

  6. Sélectionnez API de gestion Office 365 et configurez les autorisations comme suit :

    1. Sélectionnez Autorisations d’application, puis sélectionnez ActivityFeed.Read. Capture d’écran qui montre le paramètre ActivityFeed.Read sur la page Demander les autorisations d’API du menu Autorisations d’API.

    2. Sélectionnez Ajouter des autorisations.

  7. Sélectionnez Accorder un consentement à l’administrateur à (votre organisation). Pour configurer le contenu administrateur, consultez Accorder le consentement administrateur à l’échelle du locataire à une application.

    Les autorisations d’API reflètent maintenant ActivityFeed.Read délégué avec un statut de Accordé pour (votre organisation).

  8. Sélectionnez Certificats et secrets.

  9. Sélectionnez + Nouveau secret client.

  10. Ajoutez une description et une date d’expiration conformément aux politiques de votre organisation, puis sélectionnez Ajouter.

  11. Copiez et collez l’ID de l’application (client) dans un document texte tel que le Bloc-notes.

  12. Sélectionnez Présentation et copiez et collez les valeurs ID d’application (client) et ID de répertoire (client) dans le même document texte. Assurez-vous de noter quel GUID correspond à quelle valeur. Vous avez besoin de ces valeurs lorsque vous configurez le connecteur personnalisé.

Mettre à jour les variables d’environnement

Les variables environnement sont utilisées pour stocker l’ID client et le secret pour l’enregistrement de l’application. Les variables sont également utilisées pour stocker les points de terminaison de service audience et d’autorité, en fonction de votre cloud (commercial, GCC, GCC High, DoD) pour l’action HTTP. Mettez à jour les variables d’environnement avant d’activer les flux.

Vous pouvez stocker le secret client en texte brut dans la variable Journaux d’audit - Secret client environnement, ce qui n’est pas recommandé. Au lieu de cela, nous vous recommandons de créer et de stocker le secret client dans Azure Key Vault et de le référencer dans la variable Journaux d’audit - Secret client Azure environnement.

Note

Le flux qui utilise cette variable d’environnement est configuré avec une condition qui attend la variable d’environnement Journaux d’audit - Secret client ou Journaux d’audit - Secret client Azure. Cependant, vous n’avez pas besoin de modifier le flux pour travailler avec Azure Key Vault.

Nom  Description Valeurs
Journaux d’audit - Audience Le paramètre audience pour les appels HTTP Commercial (par défaut) : https://manage.office.com

CCG: https://manage-gcc.office.com

GCC High: https://manage.office365.us

Département de la Défense : https://manage.protection.apps.mil
Journaux d’audit - Autorité Le champ d’autorité dans les appels HTTP Commercial (par défaut) : https://login.windows.net

CCG: https://login.windows.net

GCC High: https://login.microsoftonline.us

Département de la Défense : https://login.microsoftonline.us
Journaux d’audit - ClientID Enregistrement de l’application ID client L’ID client de l’application provient de l’enregistrement Créer une Microsoft Entra application pour l’ Office 365 API de gestion étape.
Journaux d’audit - Secret client Secret du client d’enregistrement de l’application (pas l’ID secret mais la valeur réelle) en texte brut Le secret du client d’application provient de l’enregistrement Créer une Microsoft Entra application pour l’ Office 365 API de gestion étape. Laissez vide si vous utilisez Azure Key Vault pour stocker votre ID client et votre clé secrète.
Journaux d’audit - Secret client Azure Référence Azure Key Vault du secret client d’enregistrement d’application La référence Azure Key Vault pour le secret client de l’application provient de l’inscription Créer une Microsoft Entra application pour l’ Office 365 API de gestion étape. Laissez cette option vide si vous stockez votre ID client en texte brut dans la variable d’environnement Journaux d’audit - Secret client. Cette variable attend la référence Azure Key Vault, pas la clé secrète. Pour plus d’informations, consultez Utiliser les secrets Azure Key Vault dans les variables environnement.

Démarrer un abonnement au contenu du journal d’audit

  1. Accédez à make.powerapps.com.
  2. Sélectionnez Solutions.
  3. Ouvrez la solution Center of Excellence - Composants principaux.
  4. Activez le flux Admin | Journaux d’audit | Office 365 Abonnement à l’API de gestion et exécutez-le, entrez start comme opération à exécuter. Capture d’écran qui montre l’emplacement du bouton Exécuter dans la barre de navigation et l’opération de démarrage dans le volet de flux Exécuter.
  5. Ouvrez le flux et vérifiez que l’action de démarrage de l’abonnement est réussie.

Important

Si vous avez précédemment activé l’abonnement, vous voyez un message (400) L’abonnement est déjà activé . Cela signifie que l’abonnement a été activé avec succès dans le passé. Vous pouvez ignorer ce message et continuer la configuration. Si vous ne voyez pas le message ci-dessus ou un (200) réponse, la demande a probablement échoué. Il se peut qu’il y ait une erreur dans votre configuration qui empêche le flux de fonctionner. Les problèmes courants à vérifier sont les suivants :

  • Les journaux d’audit sont-ils activés et avez-vous l’autorisation d’afficher les journaux d’audit ? Testez si les journaux sont activés en effectuant une recherche dans Microsoft Compliance Manager.
  • Avez-vous récemment activé le journal d’audit ? Si tel est le cas, réessayez dans quelques minutes pour donner au journal d’audit le temps de s’activer.
  • Vérifiez que vous avez correctement suivi les étapes dans Inscription de l’application Microsoft Entra.
  • Vérifiez que vous avez correctement mis à jour les variables d’environnement pour ces flux.

Activer les flux

  1. Accédez à make.powerapps.com.
  2. Sélectionnez Solutions.
  3. Ouvrez la solution Center of Excellence - Composants principaux.
  4. Activez le flux Admin | Journaux d’audit | Mettre à jour les données (V2). Ce flux met à jour la table avec les dernières informations de lancement et ajoute des métadonnées aux enregistrements des journaux d’audit. PowerApps
  5. Activez le flux Admin | Journaux d’audit | Synchroniser les journaux d’audit (V2). Ce flux s’exécute selon un calendrier horaire et collecte les événements du journal d’audit dans la table du journal d’audit.

Comment obtenir d’anciennes données

Cette solution collecte les lancements d’applications après avoir été configurée, mais n’est pas configurée pour collecter les lancements d’applications historiques. Selon votre Microsoft 365 licence, les données historiques sont disponibles jusqu’à un an à l’aide du journal d’audit dans Microsoft Purview.

Vous pouvez charger manuellement des données historiques dans les tables du kit de démarrage CoE, en utilisant l’un des flux de la solution.

Note

L’utilisateur qui récupère les journaux d’audit a besoin d’une autorisation pour y accéder. Pour plus d’informations, consultez Avant de rechercher les journaux d’audit.

  1. Accédez à Recherche dans les journaux d’audit.

  2. Recherchez l’activité de l’application lancée dans la plage de dates disponible. Capture d’écran qui met en évidence la plage de dates et l’activité de l’application lancée pour une recherche dans la page Audit de Microsoft Purview.

  3. Une fois la recherche exécutée, Sélectionner Exportez pour télécharger les résultats.

  4. Accédez à ce flux dans la solution principale : Admin | Journaux d’audit | Charger les événements à partir du fichier CSV du journal d’audit exporté.

  5. Activez le flux et exécutez-le, en sélectionnant le fichier téléchargé pour le paramètre CSV du journal d’audit. Capture d’écran qui montre le champ d’importation CSV du journal d’audit et le bouton Exécuter le flux du volet Exécuter le flux.

    Note

    Si vous ne voyez pas le fichier se charger après avoir sélectionné Importer, il se peut qu’il dépasse la taille de contenu autorisée pour ce Gâchette. Essayez de diviser le fichier en fichiers plus petits (50 000 lignes par fichier) et exécutez le flux une fois par fichier. Le flux peut être exécuté simultanément pour plusieurs fichiers.

  6. Une fois terminés, ces journaux sont inclus dans votre télémétrie. La liste des derniers lancements des applications est mise à jour si des lancements plus récents sont trouvés.

Résolution des problèmes

Autorisations API

Accédez à l’enregistrement de votre application et vérifiez que vous disposez des autorisations API appropriées. L’enregistrement de votre application nécessite des autorisations d’application non déléguées. Validez que le statut est Accordé.

Variable secrète environnement - Secret Azure

Si vous utilisez la valeur de clé Azure pour stocker le secret d’inscription de l’application, vérifiez que les autorisations Azure Key Vault sont correctes. Un utilisateur doit être dans le rôle Utilisateur secret de Key Vault pour lire et dans le rôle Key Vault collaborateur pour mettre à jour. Capture d’écran qui montre les rôles d’utilisateur de Key Vault collaborateur et de Key Vault Secrets.

Si vous rencontrez d’autres problèmes avec Azure Key Vault concernant un pare-feu, des adresses IP statiques pour Dataverse environnement ou d’autres problèmes de fonctionnalités de ce type, contactez le support produit pour les résoudre.

Variable secrète environnement - texte brut

Si vous utilisez du texte brut pour stocker le secret d’enregistrement de l’application, vérifiez que vous avez saisi la valeur secrète elle-même et non l’ID secret. La valeur secrète est une chaîne plus longue avec un jeu de caractères plus grand qu’un GUID, par exemple la chaîne peut contenir des caractères tilde.

J’ai trouvé un bug avec le kit de démarrage CoE. Où dois-je aller ?

Pour signaler un bogue par rapport à la solution, accédez à aka.ms/coe-starter-kit-issues.