Collecter les journaux d’audit en utilisant une action HTTP

Les flux de synchronisation du journal d’audit se connecte à l’API de gestion Office 365 pour recueillir des données de télémétrie, comme les utilisateurs uniques et les lancements, pour les applications. Les flux utilisent une action HTTP pour accéder à l’API. Dans les instructions suivantes, vous configurerez l’inscription de l’application pour l’action HTTP et les variables d’environnement nécessaires pour exécuter les flux.

Le Starter Kit Center of Excellence (CoE) fonctionne sans ces flux, mais les informations d’utilisation, comme les lancements d’application et les utilisateurs uniques, dans le tableau de bord Power BI sont vides.

Important

Complétez les instructions dans Avant de configurer le kit de démarrage CoE et Configurer les composants d’inventaire avant de poursuivre la configuration dans cet article. Cet article suppose que vous ayez votre configuration d’environnement et que vous soyez connecté avec l’identifiant approprié.

Ne configurez les flux du journal d’audit que si vous avez choisi les flux de cloud comme mécanisme d’inventaire et de télémétrie.

Avant de configurer les flux du journal d’audit

1. La recherche du journal d’audit Microsoft 365 doit être activée pour que le connecteur du journal d’audit fonctionne. Pour plus d’informations : Activer ou désactiver la recherche du journal d’audit
2. Votre client doit disposer d’un abonnement prenant en charge la journalisation d’audit unifiée. Pour plus d’informations : Disponibilité du Centre de sécurité et de conformité pour les plans Business et Enterprise
3. Un administrateur général est requis pour configurer l’inscription de l’application Microsoft Entra.

Microsoft Entra ID permet aux API de gestion Office 365 de fournir des services d’authentification vous permettant d’accorder des droits d’accès à votre application.

Créer une inscription d’application Microsoft Entra pour l’API de gestion d’Office 365

En suivant ces étapes, vous pouvez configurer une inscription d’application Microsoft Entra pour un appel HTTP dans un flux Power Automate pour vous connecter au journal d’audit. Informations supplémentaires : Se familiariser avec les API de gestion Office 365

1. Connectez-vous à portal.azure.com.

2. Accédez à Microsoft Entra ID>Inscriptions d’application.

3. Sélectionnez + Nouvelle inscription.

4. Saisissez un nom, par exemple, Gestion de Microsoft 365, ne modifiez aucun autre paramètre, puis sélectionnez Inscrire.

5. Cliquez sur Autorisations API>+ Ajouter une autorisation.

   

6. Sélectionnez API de gestion Office 365 et configurez les autorisations comme suit :

   1. Sélectionnez Autorisations d’application, puis sélectionnez ActivityFeed.Read.

      

   2. Sélectionnez Ajouter des autorisations.

7. Sélectionnez Accorder un consentement à l’administrateur à (votre organisation). Condition préalable : Accorder le consentement de l’administrateur à l’échelle du client à une application

   Les autorisations d’API reflètent maintenant ActivityFeed.Read délégué avec un statut de Accordé pour (votre organisation).

8. Sélectionnez Certificats et secrets.

9. Sélectionnez + Nouveau secret client.

   

10. Ajoutez une description et une date d’expiration conformément aux politiques de votre organisation, puis sélectionnez Ajouter.

11. Copiez et collez l’ID de l’application (client) dans un document texte dans le Bloc-notes pour le moment.

12. Sélectionnez Présentation et copiez et collez les valeurs ID d’application (client) et ID de répertoire (client) dans le même document texte. Assurez-vous de noter quel GUID correspond à quelle valeur. Vous aurez besoin de ces valeurs lors de la configuration du connecteur personnalisé.

Mettre à jour les variables d’environnement

Les variables d’environnement sont utilisées pour stocker l’ID client et le secret pour l’inscription de l’application, ainsi que l’audience et les points de terminaison du service d’autorité en fonction de votre cloud (commercial, GCC, GCC High, DoD) pour l’action HTTP. Mettez à jour les variables d’environnement avant d’activer les flux.

Vous pouvez stocker le secret client en texte brut dans la variable d’environnement Journaux d’audit - Secret client, ce qui n’est pas recommandé. À la place, nous vous recommandons de créer et de stocker le secret client dans Azure Key Vault et de le référencer dans la variable d’environnement Journaux d’audit - Secret client Azure.

Note

Le flux qui utilise cette variable d’environnement est configuré avec une condition qui attend la variable d’environnement Journaux d’audit - Secret client ou Journaux d’audit - Secret client Azure. Il n’est pas nécessaire de modifier le flux pour utiliser Azure Key Vault.

Nom	Description	Valeurs
Journaux d’audit - Audience	Le paramètre d’audience pour les appels HTTP.	Commercial (par défaut) : https://manage.office.com GCC : https://manage-gcc.office.com GCC High: https://manage.office365.us> DoD : https://manage.protection.apps.mil
Journaux d’audit - Autorité	Le champ d’autorité dans les appels HTTP.	Commercial (par défaut) : https://login.windows.net GCC : https://login.windows.net GCC High: https://login.microsoftonline.us DoD : https://login.microsoftonline.us
Journaux d’audit - ClientID	ID client pour l’inscription de l’application.	ID client de l’application à partir de l’étape Créer une application Microsoft Entra pour l’API de gestion d’Office 365.
Journaux d’audit - Secret client	Secret client pour l’inscription de l’application en texte brut.	Clé secrète client de l’application à partir de l’étape Créer une application Microsoft Entra pour l’API de gestion d’Office 365. Laissez vide si vous utilisez Azure Key Vault pour stocker votre ID client et votre clé secrète.
Journaux d’audit - Secret client Azure	Référence Azure Key Vault du secret client pour l’inscription de l’application.	La référence Azure Key Vault pour la clé secrète client de l’application à partir de l’étape Créer une inscription d’application Microsoft Entra pour l’API de gestion d’Office 365. Laissez cette option vide si vous stockez votre ID client en texte brut dans la variable d’environnement Journaux d’audit - Secret client. Cette variable attend la référence Azure Key Vault, pas la clé secrète. En savoir plus : Utiliser les clés secrètes Azure Key Vault dans les variables d’environnement

Démarrer un abonnement au contenu du journal d’audit

1. Accédez à make.powerapps.com.
2. Sélectionnez Solutions.
3. Ouvrez la solution Center of Excellence - Composants principaux.
4. Activez le flux Administrateur | Journaux d’audit | Abonnement à l’API de gestion Office 365 et exécutez-le, saisissez demarrer comme opération à exécuter.
5. Ouvrez le flux et vérifiez que l’action pour démarrer l’abonnement a réussi.

Important

Si vous avez déjà activé l’abonnement, vous verrez un message (400) L’abonnement est déjà activé. Cela signifie que l’abonnement a été activé avec succès dans le passé. Vous pouvez ignorer cette erreur et poursuivre la configuration.

Si vous ne voyez pas le message ci-dessus ou une réponse (200), la demande a peut-être échoué. Il peut y avoir une erreur dans votre configuration qui empêche le flux de fonctionner. Les problèmes courants à vérifier sont les suivants :

• Les journaux d’audit sont-ils activés et avez-vous l’autorisation d’afficher les journaux d’audit ? Vérifiez si vous pouvez effectuer une recherche dans le Gestionnaire de la conformité Microsoft.
• Avez-vous activé le journal d’audit très récemment ? Si tel est le cas, réessayez dans quelques minutes pour donner au journal d’audit le temps de s’activer.
• Vérifiez que vous avez correctement suivi les étapes dans Inscription de l’application Microsoft Entra.
• Vérifiez que vous avez correctement mis à jour les variables d’environnement pour ces flux.

Activer les flux

1. Accédez à make.powerapps.com.
2. Sélectionnez Solutions.
3. Ouvrez la solution Center of Excellence - Composants principaux.
4. Activez le flux Administrateur | Journaux d’audit | Synchroniser les journaux d’audit (V2). Ce flux s’exécute selon une planification horaire et collecte les événements du journal d’audit dans la table Journal d’audit.

Comment obtenir d’anciennes données

Cette solution collecte les lancements d’applications à partir du moment où elle est configurée et n’est pas configurée pour collecter les lancements d’applications historiques. En fonction de votre licence Microsoft 365, les données historiques restent disponibles jusqu’à un an à l’aide du journal d’audit dans Microsoft Purview.

Vous pouvez charger manuellement les données historiques dans les tables du Starter Kit CoE en utilisant l’un des flux fournis dans la solution, comme décrit ici.

Note

L’utilisateur qui récupère les journaux d’audit doit avoir l’autorisation d’accéder aux journaux d’audit. Pour plus d’informations : Avant de rechercher dans les journaux d’audit

1. Accédez à Recherche dans les journaux d’audit.
2. Recherchez l’activité de l’application lancée dans la plage de dates disponible.
3. Une fois la recherche exécutée, sélectionnez Exporter pour télécharger les résultats.
4. Accédez au flux suivant dans la solution principale : Administrateur | Journaux d’audit | Charger les événements à partir du fichier CSV du journal d’audit exporté
5. Activez le flux et exécutez-le, en sélectionnant le fichier téléchargé pour le paramètre CSV du journal d’audit.

   Note

   Si vous ne voyez pas le chargement du fichier après avoir sélectionné Importer, il se peut que la taille de contenu autorisée pour ce déclencheur soit dépassée. Essayez de diviser le fichier en fichiers plus petits (50 000 lignes par fichier) et exécutez le flux une fois par fichier. Le flux peut être exécuté simultanément pour plusieurs fichiers.

6. Une fois l’opération terminée, ces journaux sont inclus dans votre télémétrie. La dernière liste lancée pour les applications est mise à jour si des lancements plus récents sont trouvés.

Il semble que j’ai trouvé un bogue avec le Starter Kit CoE. Où dois-je aller ?

Pour signaler un bogue par rapport à la solution, accédez à aka.ms/coe-starter-kit-issues.