Collecter les journaux d’audit en utilisant une action HTTP
La synchronisation du journal d’audit circule Connecter vers la Office 365 référence de l’API d’activité de gestion pour collecter des données de télémétrie, telles que les utilisateurs uniques et les lancements d’applications. Les flux utilisent une action HTTP pour accéder à l’API. Dans cet article, vous configurez l’enregistrement de l’application pour l’action HTTP et les variables environnement nécessaires à l’exécution des flux.
Note
Le kit de démarrage du Centre d’excellence (CoE) fonctionne sans ces flux, mais les informations d’utilisation, telles que les lancements d’applications et les utilisateurs uniques, dans le Power BI tableau de bord sont vides.
Conditions préalables
- Complétez les articles Avant de configurer le kit de démarrage CoE et Configurer les composants d’inventaire .
- Configurez votre environnement.
- connectez-vous avec la identité correcte.
Astuce
Configurez les flux de journaux d’audit uniquement si vous avez choisi des flux cloud comme mécanisme d’inventaire et de télémétrie.
Avant de configurer les flux du journal d’audit
- La recherche du journal d’audit Microsoft 365 doit être activée pour que le connecteur du journal d’audit fonctionne. Pour plus d’informations, consultez Activer ou désactiver la recherche dans les journaux d’audit.
- Votre client doit disposer d’un abonnement prenant en charge la journalisation d’audit unifiée. Pour plus d’informations, consultez la section Sécurité et amp ; disponibilité du centre de conformité pour les forfaits professionnels et d’entreprise.
- Un administrateur général est requis pour configurer l’inscription de l’application Microsoft Entra.
Note
Microsoft Entra ID permet aux API de gestion Office 365 de fournir des services d’authentification vous permettant d’accorder des droits d’accès à votre application.
Créer une inscription d’application Microsoft Entra pour l’API de gestion d’Office 365
À l’aide de ces étapes, vous pouvez configurer une inscription d’application Microsoft Entra pour un appel HTTP dans un flux Power Automate afin de vous connecter au journal d’audit. Pour plus d’informations, consultez Premiers pas avec Office 365 API de gestion.
Connectez-vous au portail Azure.
Sélectionnez + Nouvelle inscription.
Saisissez un nom, tel que Microsoft 365 Gestion, mais ne modifiez aucun autre paramètre, puis Sélectionner S’inscrire.
Sélectionnez API de gestion Office 365 et configurez les autorisations comme suit :
Sélectionnez Accorder un consentement à l’administrateur à (votre organisation). Pour configurer le contenu administrateur, consultez Accorder le consentement de l’administrateur à l’échelle du locataire à une application.
Les autorisations d’API reflètent maintenant ActivityFeed.Read délégué avec un statut de Accordé pour (votre organisation).
Sélectionnez Certificats et secrets.
Ajoutez une description et une date d’expiration conformément aux politiques de votre organisation, puis sélectionnez Ajouter.
Copiez et collez l’ID de l’application (client) dans un document texte tel que le Bloc-notes.
Sélectionnez Présentation et copiez et collez les valeurs ID d’application (client) et ID de répertoire (client) dans le même document texte. Assurez-vous de noter quel GUID correspond à quelle valeur. Vous avez besoin de ces valeurs lorsque vous configurez le connecteur personnalisé.
Mettre à jour les variables d’environnement
Les variables environnement sont utilisées pour stocker l’ID client et le secret pour l’enregistrement de l’application. Les variables sont également utilisées pour stocker audience et les points de terminaison du service d’autorité, en fonction de votre cloud (commercial, GCC, GCC High, DoD) pour l’action HTTP. Mettez à jour les variables d’environnement avant d’activer les flux.
Vous pouvez stocker le secret client en texte brut dans la variable Journaux d’audit - Secret client environnement, ce qui n’est pas recommandé. Au lieu de cela, nous vous recommandons de créer et de stocker le secret client dans Azure Key Vault et de le référencer dans la variable Journaux d’audit - Client Azure Secret environnement.
Note
Le flux qui utilise cette variable d’environnement est configuré avec une condition qui attend la variable d’environnement Journaux d’audit - Secret client ou Journaux d’audit - Secret client Azure. Toutefois, vous n’avez pas besoin de modifier le flux pour utiliser Azure Key Vault.
Nom | Description | Valeurs |
---|---|---|
Journaux d’audit - Audience | Le paramètre audience pour les appels HTTP | Commercial (par défaut) : https://manage.office.com CCG : https://manage-gcc.office.com GCC High: https://manage.office365.us Ministère de la Défense : https://manage.protection.apps.mil |
Journaux d’audit - Autorité | Le champ d’autorité dans les appels HTTP | Commercial (par défaut) : https://login.windows.net CCG : https://login.windows.net GCC High: https://login.microsoftonline.us Ministère de la Défense : https://login.microsoftonline.us |
Journaux d’audit - ClientID | Inscription à l’application ID client | L’ID client de l’application provient de l’enregistrement Créer une Microsoft Entra application pour l’ Office 365 API de gestion étape. |
Journaux d’audit - Secret client | Secret du client d’enregistrement de l’application (pas l’ID secret mais la valeur réelle) en texte brut | Le secret du client de l’application provient de l’enregistrement Créer une Microsoft Entra application pour l’ Office 365 API de gestion étape. Laissez vide si vous utilisez Azure Key Vault pour stocker votre ID client et votre clé secrète. |
Journaux d’audit - Secret client Azure | Référence Azure Key Vault du secret client d’enregistrement d’application | La référence Azure Key Vault pour le secret client de l’application provient de l’enregistrement Créer une Microsoft Entra application pour l’ Office 365 API de gestion étape. Laissez cette option vide si vous stockez votre ID client en texte brut dans la variable d’environnement Journaux d’audit - Secret client. Cette variable attend la référence Azure Key Vault, pas la clé secrète. Pour plus d’informations, consultez Utiliser les secrets Azure Key Vault dans les variables environnement. |
Démarrer un abonnement au contenu du journal d’audit
- Accédez à make.powerapps.com.
- Sélectionnez Solutions.
- Ouvrez la solution Center of Excellence - Composants principaux.
- Activez Admin | Journaux d’audit | Office 365 Abonnement à l’API de gestion et exécutez-le, saisissez start comme opération à exécuter.
- Ouvrez le flux et vérifiez que l’action de démarrage de l’abonnement est réussie.
Important
Si vous avez précédemment activé l’abonnement, vous voyez un message (400) L’abonnement est déjà activé . Cela signifie que l’abonnement a été activé avec succès dans le passé. Vous pouvez ignorer ce message et poursuivre la configuration. Si vous ne voyez pas le message ci-dessus ou un (200) réponse, la requête a probablement échoué. Il se peut qu’il y ait une erreur dans votre configuration qui empêche le flux de fonctionner. Les problèmes courants à vérifier sont les suivants :
- Les journaux d’audit sont-ils activés et avez-vous l’autorisation d’afficher les journaux d’audit ? Testez si les journaux sont activés en effectuant une recherche dans Microsoft Compliance Manager.
- Avez-vous récemment activé le journal d’audit ? Si tel est le cas, réessayez dans quelques minutes pour donner au journal d’audit le temps de s’activer.
- Vérifiez que vous avez correctement suivi les étapes dans Inscription de l’application Microsoft Entra.
- Vérifiez que vous avez correctement mis à jour les variables d’environnement pour ces flux.
Activer les flux
- Accédez à make.powerapps.com.
- Sélectionnez Solutions.
- Ouvrez la solution Center of Excellence - Composants principaux.
- Activez l’administrateur | Journaux d’audit | Flux de mise à jour des données (V2). Ce flux met à jour la PowerApps table avec les informations du dernier lancement et ajoute des métadonnées aux enregistrements des journaux d’audit.
- Activez l’administrateur | Journaux d’audit | Flux de journaux d’audit de synchronisation (V2). Ce flux s’exécute selon une planification horaire et collecte les événements du journal d’audit dans la table du journal d’audit.
Comment obtenir d’anciennes données
Cette solution collecte les lancements d’applications après avoir été configurée, mais n’est pas configurée pour collecter les lancements d’applications historiques. En fonction de votre Microsoft 365 licence, les données historiques sont disponibles pendant un an maximum à l’aide du journal d’audit dans Microsoft Purview.
Vous pouvez charger manuellement des données historiques dans les tableaux du CoE Starter Kit, à l’aide de l’un des flux de la solution.
Note
L’utilisateur qui récupère les journaux d’audit doit disposer d’une autorisation pour y accéder. Pour plus d’informations, consultez Avant de rechercher dans les journaux d’audit.
Accédez à Recherche dans les journaux d’audit.
Recherchez l’activité de l’application lancée dans la plage de dates disponible.
Une fois la recherche lancée, Sélectionner Exporter pour télécharger les résultats.
Accédez à ce flux dans la solution principale : Admin | Journaux d’audit | Charger les événements à partir du fichier CSV du journal d’audit exporté.
Activez le flux et exécutez-le, en sélectionnant le fichier téléchargé pour le paramètre CSV du journal d’audit.
Note
Si vous ne voyez pas le fichier se charger après avoir sélectionné Importer, il est possible qu’il dépasse la taille de contenu autorisée pour ce Gâchette. Essayez de diviser le fichier en fichiers plus petits (50 000 lignes par fichier) et exécutez le flux une fois par fichier. Le flux peut être exécuté simultanément pour plusieurs fichiers.
Une fois terminés, ces journaux sont inclus dans votre télémétrie. La liste des derniers lancements des applications est mise à jour si des lancements plus récents sont détectés.
Résolution des problèmes
Autorisations API
Accédez à l’enregistrement de votre application et vérifiez que vous disposez des autorisations API appropriées. L’enregistrement de votre application nécessite des autorisations d’application non déléguées. Vérifiez que le statut est Accordé.
Variable secrète environnement - Secret Azure
Si vous utilisez la valeur Azure Key pour stocker le secret d’enregistrement de l’application, vérifiez que les autorisations Azure Key Vault sont correctes. Un utilisateur doit être dans le rôle Utilisateur secret de Key Vault pour lire et dans le rôle Key Vault collaborateur . mettre à jour.
Si vous rencontrez d’autres problèmes avec Azure Key Vault concernant un pare-feu, des adresses IP statiques pour Dataverse environnement ou d’autres problèmes de fonctionnalité similaires, contactez le support produit pour les résoudre.
Variable secrète environnement - texte brut
Si vous utilisez du texte brut pour stocker le secret d’enregistrement de l’application, vérifiez que vous avez saisi la valeur secrète elle-même et non l’ID secret. La valeur secrète est une chaîne plus longue avec un jeu de caractères plus grand qu’un GUID. Par exemple, la chaîne peut contenir des caractères tilde.
J’ai trouvé un bug avec le kit de démarrage CoE. Où dois-je aller ?
Pour signaler un bogue par rapport à la solution, accédez à aka.ms/coe-starter-kit-issues.
Commentaires
https://aka.ms/ContentUserFeedback.
Bientôt disponible : Tout au long de 2024, nous allons supprimer progressivement GitHub Issues comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultezEnvoyer et afficher des commentaires pour