Exercice : configurer le connecteur du journal d’audit

Effectué

Le flux Synchronisation du journal d’audit se connecte au journal d’audit Microsoft 365 pour collecter des données telles que les utilisateurs uniques et les lancements pour les applications. Le flux se connecte au journal d’audit à l’aide d’un connecteur personnalisé. Dans les instructions suivantes, vous allez configurer le connecteur personnalisé et le flux.

Remarque

Le Starter Kit Center of Excellence (CoE) fonctionne sans ce flux, mais les informations d’utilisation dans le tableau de bord Power BI sont vides.

Avant d’utiliser le connecteur du journal d’audit

Avant d’utiliser le connecteur du journal d’audit, vous devez remplir les conditions préalables suivantes :

Important

Microsoft vous recommande d’utiliser des rôles avec le moins d’autorisations. Cela contribue à améliorer la sécurité de votre organisation. Administrateur général est un rôle hautement privilégié qui doit être limité aux scénarios d’urgence lorsque vous ne pouvez pas utiliser un rôle existant.

Microsoft Entra ID permet aux API de gestion Office 365 de fournir des services d’authentification vous permettant d’accorder des droits d’accès à votre application.

Créer une inscription d’application Microsoft Entra pour l’API de gestion Office 365

À l’aide de ces étapes, vous pouvez configurer une inscription d’application Microsoft Entra pour un appel HTTP dans un flux Power Automate afin de vous connecter au journal d’audit. Pour en savoir plus, consultez Prise en main des API de gestion Office 365.

  1. Connectez-vous à portal.azure.com.

  2. Accédez à Microsoft Entra ID, puis recherchez et sélectionnez Inscriptions d’applications.

  3. Cliquez sur Nouvelle inscription.

  4. Saisissez un nom (tel que Gestion Microsoft 365), mais ne modifiez aucun autre paramètre. Cliquez sur Inscrire.

  5. Cliquez sur Autorisations API > + Ajouter une autorisation.

  6. Sélectionnez API de gestion Office 365, puis configurez les autorisations comme suit :

    a. Sélectionnez Autorisations déléguées, puis ActivityFeed.Read.

    b. Sélectionnez Autorisations d’application, puis ActivityFeed.Read et ServiceHealth.Read.

    c. Cliquez sur Ajouter des autorisations.

  7. Sélectionnez Accorder un consentement administrateur pour (votre organisation).

    Les autorisations d’API reflètent désormais l’autorisation ActivityFeed.Read déléguée et les autorisations d’application ActivityFeed.Read et ServiceHealth.Read avec un statut Accordé pour (votre organisation).

  8. Cliquez sur Certificats et secrets.

  9. Cliquez sur Nouvelle clé secrète client.

  10. Ajoutez une description et une date d’expiration (conformément aux politiques de votre organisation), puis cliquez sur Ajouter.

  11. Copiez-collez la clé secrète dans un document texte dans le Bloc-notes Windows, pour le moment.

  12. Sélectionnez Aperçu, puis copiez-collez la valeur l’ID d’application (client) dans un document texte.

Mettre à jour les variables d’environnement

Les variables d’environnement permettent de stocker l’ID client et la clé secrète client pour l’inscription de l’application. Elles stockent également les points de terminaison du service d’audience et d’autorité en fonction de votre cloud (commercial, GCC, GCC High, DoD) pour l’action HTTP. Mettez à jour les variables d’environnement avant d’activer les flux.

Remarque

Vous pouvez stocker la clé secrète client en texte brut dans la variable d’environnement Journaux d’audit - Clé secrète client ou stocker la clé secrète client dans Azure Key Vault et la référencer dans la variable d’environnement Journaux d’audit - Clé secrète Azure client. Ces étapes décrivent l’utilisation d’une clé secrète client, bien qu’Azure Key Vault soit la méthode recommandée par Microsoft.

  1. Accédez à Power Apps.

  2. Accédez à Solutions.

  3. Cliquez sur l’onglet Tout, puis sur la solution Center of Excellence - Composants de base pour l’ouvrir.

  4. Cliquez sur Applications dans le menu gauche et lancez l’application Centre de commandes administrateur du CoE.

  5. Cliquez sur Variables d’environnement dans le menu gauche de l’application.

  6. Recherchez la variable d’environnement Journaux d’audit - Audience et assurez-vous que la valeur correspond au point de terminaison du service d’audience pour votre type de cloud.

    Vous pouvez trouver les valeurs d’audience pour votre type de cloud dans le tableau ci-dessous. Si la valeur ne correspond pas à votre type de cloud, sélectionnez la ligne dans l’application Centre de commande et cliquez sur Modifier dans la barre de commandes.

  7. Saisissez la valeur secrète copiée de la section précédente.

  8. Recherchez la variable d’environnement Journaux d’audit - Autorité et assurez-vous que la valeur correspond au point de terminaison du service d’autorité pour votre type de cloud.

    Vous pouvez trouver les valeurs d’autorité pour votre type de cloud dans le tableau ci-dessous. Si la valeur ne correspond pas à votre type de cloud, sélectionnez la ligne dans l’application Centre de commande et cliquez sur Modifier dans la barre de commandes.

  9. Recherchez la variable d’environnement Journaux d’audit - ClientID et saisissez l’ID client copié de la section précédente.

  10. Recherchez la variable d’environnement Journaux d’audit - Clé secrète client et saisissez la clé secrète client copiée de la section précédente.

    Remarque

    Le flux utilisant cette variable d’environnement est configuré avec une condition pour attendre la variable d’environnement Journaux d’audit - Clé secrète client ou Journaux d’audit - Clé secrète Azure client. Il n’est pas nécessaire de modifier le flux pour utiliser Azure Key Vault.

Nom Description Valeur
Journaux d’audit - Audience Paramètre d’audience pour les appels HTTP. Commercial (par défaut) : https://manage.office.com
GCC : https://manage-gcc.office.com
GCC High : https://manage.office365.us
DoD : https://manage.protection.apps.mil
Journaux d’audit - Autorité Champ d’autorité dans les appels HTTP. Commercial (par défaut) : https://login.windows.net
GCC : https://login.windows.net
GCC High : https://login.microsoftonline.us
DoD : https://login.microsoftonline.us
Journaux d’audit - ClientID ID client d’inscription d’application. ID client d’application issu de l’étape Créer une inscription d’application Microsoft Entra pour l’API de gestion Office 365.
Journaux d’audit - Clé secrète client Clé secrète client d’inscription d’application en texte brut. Clé secrète client d’application issue de l’étape Créer une inscription d’application Microsoft Entra pour l’API de gestion Office 365. Laissez vide si vous stockez votre ID client et votre clé secrète client à l’aide d’Azure Key Vault.
Journaux d’audit - Clé secrète Azure client Référence Azure Key Vault de la clé secrète client d’inscription d’application. Référence Azure Key Vault pour la clé secrète client d’application issue de l’étape Créer une inscription d’application Microsoft Entra pour l’API de gestion Office 365. Laissez vide si vous stockez votre ID client en texte brut dans la variable d’environnement Journaux d’audit - Clé secrète client. Cette variable attend la référence Azure Key Vault, et non le secret. En savoir plus : Utiliser les clés secrètes Azure Key Vault dans les variables d’environnement

Démarrer un abonnement au contenu du journal d’audit

  1. Accédez à PowerApps.

  2. Cliquez sur Solutions dans le menu gauche.

  3. Cliquez sur l’onglet Tout pour afficher toutes les solutions.

  4. Ouvrez la solution Center of Excellence - Composants de base.

  5. Activez le flux Administrateur | Journaux d’audit | Abonnement à l’API de gestion Office 365 et exécutez-le, puis saisissez démarrer comme opération à exécuter.

  6. Ouvrez le flux et vérifiez que l’action de démarrage de l’abonnement est réussie.

Important

Si vous avez déjà activé l’abonnement, vous voyez un message (400) L’abonnement est déjà activé. Cela signifie que l’abonnement a été activé avec succès dans le passé. Vous pouvez ignorer cette erreur et poursuivre la configuration. Si vous ne voyez pas le message ci-dessus ou une réponse (200), la demande a peut-être échoué. Il peut y avoir une erreur dans votre configuration qui empêche le flux de fonctionner. Les problèmes courants à vérifier sont les suivants :

  • Les journaux d’audit sont-ils activés et avez-vous l’autorisation d’afficher les journaux d’audit ? Vérifiez si vous pouvez effectuer une recherche dans Gestionnaire de conformité Microsoft.
  • Avez-vous activé le journal d’audit très récemment ? Si tel est le cas, réessayez dans quelques minutes pour donner au journal d’audit le temps de s’activer.
  • Vérifiez que vous avez correctement suivi les étapes de l’inscription d’application Microsoft Entra.

Vérifiez que vous avez correctement mis à jour les variables d’environnement pour ces flux.

Activer des flux

  1. Accédez à make.powerapps.com.

  2. Cliquez sur l’onglet Tout pour afficher toutes les solutions.

  3. Ouvrez la solution Center of Excellence - Composants de base.

  4. Activez le flux Administrateur | Journaux d’audit | Synchroniser les journaux d’audit (V2). Ce flux s’exécute selon un calendrier horaire et recueille les événements de journal d’audit dans la table Journal d’audit.