Partager via

Collecter les journaux d’audit en utilisant une action HTTP

  • Article

La synchronisation du journal d’audit circule Connecter vers la Office 365 référence de l’API d’activité de gestion pour collecter des données de télémétrie, telles que les utilisateurs uniques et les lancements d’applications. Les flux utilisent une action HTTP pour accéder à l’API. Dans cet article, vous configurez l’enregistrement de l’application pour l’action HTTP et les variables environnement nécessaires à l’exécution des flux.

Note

Le kit de démarrage du Centre d’excellence (CoE) fonctionne sans ces flux, mais les informations d’utilisation, telles que les lancements d’applications et les utilisateurs uniques, dans le Power BI tableau de bord sont vides.

Conditions préalables

  1. Complétez les articles Avant de configurer le kit de démarrage CoE et Configurer les composants d’inventaire .
  2. Configurez votre environnement.
  3. connectez-vous avec la identité correcte.

Astuce

Configurez les flux de journaux d’audit uniquement si vous avez choisi des flux cloud comme mécanisme d’inventaire et de télémétrie.

Avant de configurer les flux du journal d’audit

  1. La recherche du journal d’audit Microsoft 365 doit être activée pour que le connecteur du journal d’audit fonctionne. Pour plus d’informations, consultez Activer ou désactiver la recherche dans les journaux d’audit.
  2. Votre client doit disposer d’un abonnement prenant en charge la journalisation d’audit unifiée. Pour plus d’informations, consultez la section Sécurité et amp ; disponibilité du centre de conformité pour les forfaits professionnels et d’entreprise.
  3. Un administrateur général est requis pour configurer l’inscription de l’application Microsoft Entra.

Note

Microsoft Entra ID permet aux API de gestion Office 365 de fournir des services d’authentification vous permettant d’accorder des droits d’accès à votre application.

Créer une inscription d’application Microsoft Entra pour l’API de gestion d’Office 365

À l’aide de ces étapes, vous pouvez configurer une inscription d’application Microsoft Entra pour un appel HTTP dans un flux Power Automate afin de vous connecter au journal d’audit. Pour plus d’informations, consultez Premiers pas avec Office 365 API de gestion.

  1. Connectez-vous au portail Azure.

  2. Accédez à Microsoft Entra ID>Inscriptions d’application. Capture d’écran montrant l’emplacement du service Azure d’inscriptions d’applications.

  3. Sélectionnez + Nouvelle inscription.

  4. Saisissez un nom, tel que Microsoft 365 Gestion, mais ne modifiez aucun autre paramètre, puis Sélectionner S’inscrire.

  5. Cliquez sur Autorisations API>+ Ajouter une autorisation. Capture d’écran montrant l’emplacement du bouton +Ajouter une autorisation du menu des autorisations de l’API.

  6. Sélectionnez API de gestion Office 365 et configurez les autorisations comme suit :

    1. Sélectionnez Autorisations d’application, puis sélectionnez ActivityFeed.Read. Capture d’écran qui montre le paramètre ActivityFeed.Read sur la page Demander des autorisations API du menu Autorisations API.

    2. Sélectionnez Ajouter des autorisations.

  7. Sélectionnez Accorder un consentement à l’administrateur à (votre organisation). Pour configurer le contenu administrateur, consultez Accorder le consentement de l’administrateur à l’échelle du locataire à une application.

    Les autorisations d’API reflètent maintenant ActivityFeed.Read délégué avec un statut de Accordé pour (votre organisation).

  8. Sélectionnez Certificats et secrets.

  9. Sélectionnez + Nouveau secret client. Capture d’écran qui montre l’emplacement du bouton +Nouveau secret client sur la page Certificats et menu secret.

  10. Ajoutez une description et une date d’expiration conformément aux politiques de votre organisation, puis sélectionnez Ajouter.

  11. Copiez et collez l’ID de l’application (client) dans un document texte tel que le Bloc-notes.

  12. Sélectionnez Présentation et copiez et collez les valeurs ID d’application (client) et ID de répertoire (client) dans le même document texte. Assurez-vous de noter quel GUID correspond à quelle valeur. Vous avez besoin de ces valeurs lorsque vous configurez le connecteur personnalisé.

Mettre à jour les variables d’environnement

Les variables environnement sont utilisées pour stocker l’ID client et le secret pour l’enregistrement de l’application. Les variables sont également utilisées pour stocker audience et les points de terminaison du service d’autorité, en fonction de votre cloud (commercial, GCC, GCC High, DoD) pour l’action HTTP. Mettez à jour les variables d’environnement avant d’activer les flux.

Vous pouvez stocker le secret client en texte brut dans la variable Journaux d’audit - Secret client environnement, ce qui n’est pas recommandé. Au lieu de cela, nous vous recommandons de créer et de stocker le secret client dans Azure Key Vault et de le référencer dans la variable Journaux d’audit - Client Azure Secret environnement.

Note

Le flux qui utilise cette variable d’environnement est configuré avec une condition qui attend la variable d’environnement Journaux d’audit - Secret client ou Journaux d’audit - Secret client Azure. Toutefois, vous n’avez pas besoin de modifier le flux pour utiliser Azure Key Vault.

Nom  Description Valeurs
Journaux d’audit - Audience Le paramètre audience pour les appels HTTP Commercial (par défaut) : https://manage.office.com

CCG : https://manage-gcc.office.com

GCC High: https://manage.office365.us

Ministère de la Défense : https://manage.protection.apps.mil
Journaux d’audit - Autorité Le champ d’autorité dans les appels HTTP Commercial (par défaut) : https://login.windows.net

CCG : https://login.windows.net

GCC High: https://login.microsoftonline.us

Ministère de la Défense : https://login.microsoftonline.us
Journaux d’audit - ClientID Inscription à l’application ID client L’ID client de l’application provient de l’enregistrement Créer une Microsoft Entra application pour l’ Office 365 API de gestion étape.
Journaux d’audit - Secret client Secret du client d’enregistrement de l’application (pas l’ID secret mais la valeur réelle) en texte brut Le secret du client de l’application provient de l’enregistrement Créer une Microsoft Entra application pour l’ Office 365 API de gestion étape. Laissez vide si vous utilisez Azure Key Vault pour stocker votre ID client et votre clé secrète.
Journaux d’audit - Secret client Azure Référence Azure Key Vault du secret client d’enregistrement d’application La référence Azure Key Vault pour le secret client de l’application provient de l’enregistrement Créer une Microsoft Entra application pour l’ Office 365 API de gestion étape. Laissez cette option vide si vous stockez votre ID client en texte brut dans la variable d’environnement Journaux d’audit - Secret client. Cette variable attend la référence Azure Key Vault, pas la clé secrète. Pour plus d’informations, consultez Utiliser les secrets Azure Key Vault dans les variables environnement.

Démarrer un abonnement au contenu du journal d’audit

  1. Accédez à make.powerapps.com.
  2. Sélectionnez Solutions.
  3. Ouvrez la solution Center of Excellence - Composants principaux.
  4. Activez Admin | Journaux d’audit | Office 365 Abonnement à l’API de gestion et exécutez-le, saisissez start comme opération à exécuter. Capture d’écran qui montre l’emplacement du bouton Exécuter dans la barre de navigation et l’opération de démarrage dans le volet Exécuter le flux.
  5. Ouvrez le flux et vérifiez que l’action de démarrage de l’abonnement est réussie. Capture d’écran montrant le code d’état 200 dans la fenêtre StartSubscription.

Important

Si vous avez précédemment activé l’abonnement, vous voyez un message (400) L’abonnement est déjà activé . Cela signifie que l’abonnement a été activé avec succès dans le passé. Vous pouvez ignorer ce message et poursuivre la configuration. Si vous ne voyez pas le message ci-dessus ou un (200) réponse, la requête a probablement échoué. Il se peut qu’il y ait une erreur dans votre configuration qui empêche le flux de fonctionner. Les problèmes courants à vérifier sont les suivants :

  • Les journaux d’audit sont-ils activés et avez-vous l’autorisation d’afficher les journaux d’audit ? Testez si les journaux sont activés en effectuant une recherche dans Microsoft Compliance Manager.
  • Avez-vous récemment activé le journal d’audit ? Si tel est le cas, réessayez dans quelques minutes pour donner au journal d’audit le temps de s’activer.
  • Vérifiez que vous avez correctement suivi les étapes dans Inscription de l’application Microsoft Entra.
  • Vérifiez que vous avez correctement mis à jour les variables d’environnement pour ces flux.

Activer les flux

  1. Accédez à make.powerapps.com.
  2. Sélectionnez Solutions.
  3. Ouvrez la solution Center of Excellence - Composants principaux.
  4. Activez l’administrateur | Journaux d’audit | Flux de mise à jour des données (V2). Ce flux met à jour la PowerApps table avec les informations du dernier lancement et ajoute des métadonnées aux enregistrements des journaux d’audit.
  5. Activez l’administrateur | Journaux d’audit | Flux de journaux d’audit de synchronisation (V2). Ce flux s’exécute selon une planification horaire et collecte les événements du journal d’audit dans la table du journal d’audit.

Comment obtenir d’anciennes données

Cette solution collecte les lancements d’applications après avoir été configurée, mais n’est pas configurée pour collecter les lancements d’applications historiques. En fonction de votre Microsoft 365 licence, les données historiques sont disponibles pendant un an maximum à l’aide du journal d’audit dans Microsoft Purview.

Vous pouvez charger manuellement des données historiques dans les tableaux du CoE Starter Kit, à l’aide de l’un des flux de la solution.

Note

L’utilisateur qui récupère les journaux d’audit doit disposer d’une autorisation pour y accéder. Pour plus d’informations, consultez Avant de rechercher dans les journaux d’audit.

  1. Accédez à Recherche dans les journaux d’audit.

  2. Recherchez l’activité de l’application lancée dans la plage de dates disponible. Capture d’écran qui met en évidence la plage de dates et l’activité de l’application lancée pour une recherche dans la page Audit de Microsoft Purview.

  3. Une fois la recherche lancée, Sélectionner Exporter pour télécharger les résultats. Capture d’écran qui met en évidence l’état du travail terminé et le bouton Exporter après une recherche d’audit.

  4. Accédez à ce flux dans la solution principale : Admin | Journaux d’audit | Charger les événements à partir du fichier CSV du journal d’audit exporté.

  5. Activez le flux et exécutez-le, en sélectionnant le fichier téléchargé pour le paramètre CSV du journal d’audit. Capture d’écran qui montre le champ d’importation CSV du journal d’audit et le bouton Exécuter le flux du volet Exécuter le flux.

    Note

    Si vous ne voyez pas le fichier se charger après avoir sélectionné Importer, il est possible qu’il dépasse la taille de contenu autorisée pour ce Gâchette. Essayez de diviser le fichier en fichiers plus petits (50 000 lignes par fichier) et exécutez le flux une fois par fichier. Le flux peut être exécuté simultanément pour plusieurs fichiers.

  6. Une fois terminés, ces journaux sont inclus dans votre télémétrie. La liste des derniers lancements des applications est mise à jour si des lancements plus récents sont détectés.

Résolution des problèmes

Autorisations API

Accédez à l’enregistrement de votre application et vérifiez que vous disposez des autorisations API appropriées. L’enregistrement de votre application nécessite des autorisations d’application non déléguées. Vérifiez que le statut est Accordé. Capture d’écran qui met en évidence le type d’application et Accordé pour l’état d’une autorisation configurée.

Variable secrète environnement - Secret Azure

Si vous utilisez la valeur Azure Key pour stocker le secret d’enregistrement de l’application, vérifiez que les autorisations Azure Key Vault sont correctes. Un utilisateur doit être dans le rôle Utilisateur secret de Key Vault pour lire et dans le rôle Key Vault collaborateur . mettre à jour. Capture d’écran qui montre les rôles d’utilisateur Key Vault collaborateur et Key Vault Secrets.

Si vous rencontrez d’autres problèmes avec Azure Key Vault concernant un pare-feu, des adresses IP statiques pour Dataverse environnement ou d’autres problèmes de fonctionnalité similaires, contactez le support produit pour les résoudre.

Variable secrète environnement - texte brut

Si vous utilisez du texte brut pour stocker le secret d’enregistrement de l’application, vérifiez que vous avez saisi la valeur secrète elle-même et non l’ID secret. La valeur secrète est une chaîne plus longue avec un jeu de caractères plus grand qu’un GUID. Par exemple, la chaîne peut contenir des caractères tilde.

J’ai trouvé un bug avec le kit de démarrage CoE. Où dois-je aller ?

Pour signaler un bogue par rapport à la solution, accédez à aka.ms/coe-starter-kit-issues.