Megosztás a következőn keresztül:

Auditnaplók gyűjtése egyéni összekötő használatával (elavult)

  • Cikk

Fontos

A dedikált Kiválósági központ – Auditnapló megoldás és a Felügyelet egyéni összekötő használata az auditnapló-események Office 365 gyűjtésére elavult. A megoldás és az egyéni csatlakozó 2023 augusztusában eltávolításra kerül a CoE Starter Kitből.

Van egy új folyamatunk, amely összegyűjti az auditnapló-eseményeket, amely a Kiválósági központ – Alapvető összetevők megoldás része. Ez az új folyamat HTTP-összekötőt használ. További információ: Auditnaplók gyűjtése HTTP-művelettel

Az auditnapló szinkronizálási folyamata az Microsoft 365 auditnaplóhoz csatlakozik telemetriai adatok (egyedi felhasználók, indítások) gyűjtéséhez alkalmazások számára. A folyamat egy egyéni összekötőt használ az auditnaplóhoz való csatlakozáshoz. A következő utasításokban beállíthatja az egyéni összekötőt, és konfigurálhatja a folyamatot.

A Kiválósági Központ (CoE) kezdőcsomagja e folyamat nélkül működik, de az Power BI irányítópult használati adatai (alkalmazásindítások, egyedi felhasználók) üresek lesznek.

Fontos

Végezze el a CoE Starter Kit beállítása előtt és a Készletösszetevők beállítása című részben található utasításokat, mielőtt folytatná a jelen cikkben szereplő beállítást. Ez a cikk feltételezi, hogy be van állítva a környezete, és amegfelelő identitással van bejelentkezve.

Csak akkor állítsa be az auditnapló-megoldást, ha a felhőfolyamatokat választotta a leltár és a telemetria mechanizmusaként.

Tekintse meg az útmutatót az auditnapló összekötő beállításáról.

Az auditnapló összekötő használata előtt

  1. A Microsoft 365 auditnaplóban történő keresést az auditnapló összekötőjének működéséhez be kell kapcsolni. További információ: Az auditnapló-keresés be- vagy kikapcsolása

  2. A folyamatot futtató felhasználói identitásnak engedéllyel kell rendelkeznie az auditnaplókhoz. Az ehhez szükséges minimális engedélyek leírása itt található: Mielőtt keresne az auditnaplókban

  3. A bérlőnek rendelkeznie kell egy olyan előfizetéssel, amely támogatja az auditnaplózást. További információ: A Biztonsági és megfelelőségi központ elérhetősége üzleti és nagyvállalati csomagok esetén

  4. Az alkalmazásregisztráció konfigurálásához Microsoft Entra globális rendszergazda szükséges.

A Office 365 felügyeleti API-k az ID használatával Microsoft Entra biztosítanak hitelesítési szolgáltatásokat, amelyek segítségével jogosultságokat adhat az alkalmazásnak a hozzáféréshez.

Microsoft Entra Alkalmazásregisztráció létrehozása a Office 365 felügyeleti API-hoz

Ezekkel a lépésekkel beállíthat egy alkalmazásregisztrációt, amely egy Microsoft Entra egyéni összekötőben és Power Automate folyamatban használható az auditnaplóhoz való csatlakozáshoz. További információk: Ismerkedés az Office 365 felügyeleti API-kkal

  1. Jelentkezzen be a portal.azure.com webhelyen.

  2. Ugrás az ID Microsoft Entra alkalmazásregisztrációk> elemre.

    Microsoft Entra alkalmazásregisztráció.

  3. Válassza a + Új regisztráció lehetőséget.

  4. Adjon meg egy nevet (például Microsoft 365 Management), ne módosítsa a többi beállítást, majd válassza a Regisztrálás lehetőséget.

  5. Kattintson az API-engedélyek>+ Engedély hozzáadása lehetőségre.

    API-engedélyek – Engedély hozzáadása.

  6. Válassza az Office 365 felügyeleti API lehetőséget, és konfigurálja az engedélyeket az alábbiak szerint:

    1. Válassza a Delegált engedélyek lehetőséget, majd válassza az ActivityFeed.Read lehetőséget.

      Delegált engedélyek.

    2. Jelölje be az Engedélyek hozzáadása lehetőséget.

  7. Válassza a Rendszergazdai hozzájárulás adása (a szervezete) számára lehetőséget. Előfeltételek: Az alkalmazás bérlőre kiterjedő rendszergazdai beleegyezés megadása

    Az API-engedélyek most már a delegált ActivityFeed.Read engedélyt tükrözik, és állapotuk Megadva (az Ön szervezete) részére.

  8. Válassza a Tanúsítványok és titkos kódok lehetőséget.

  9. Válassza a + Új titkos ügyfélkód elemet.

    Új titkos ügyféltitk.

  10. Adja meg a leírást és a lejáratot (a saját szervezetének házirendjeivel összhangban), majd válassza a Hozzáadás lehetőséget.

  11. Másolja ki és illessze be a Titkos kódot egy szöveges dokumentumba a Jegyzettömbben egyelőre.

  12. Válassza az Áttekintés lehetőséget, majd másolja és illessze be az alkalmazás (ügyfél) azonosítójának és a címtár (bérlő) azonosítójának értékeit ugyanabba a szöveges dokumentumba. Ügyeljen arra, hogy a GUID-azonosító melyik értékre vonatkozik. A következő lépésben ezeket az értékeket kell megadnia az egyéni összekötő konfigurálásakor.

Hagyja nyitva az Azure Portal programot, mert az egyéni összekötő beállítását követően néhány konfigurációs frissítést el kell végeznie.

Az egyéni összekötő beállítása

Ekkor konfigurálnia kell és be kell állítania egy egyéni összekötőt, amely az Office 365 felügyeleti API-kat használja.

  1. Lépjen az Egyéni összekötők Power Apps>Dataverse> elemre. A Office 365 Management API egyéni összekötője itt van felsorolva; az alapvető összetevők megoldással lett importálva.

  2. Válassza a Szerkesztés lehetőséget.

  3. Ha a bérlő kereskedelmi bérlő, akkor hagyja úgy az Általános oldalt, ahogy találta.

    Fontos

    • Ha a bérlő GCC bérlő, módosítsa az állomást erre: manage-gcc.office.com.
    • Ha a GCC High bérlő bérlő, módosítsa a gazdagépet manage.office365.us.
    • Ha a bérlő DoD bérlő, módosítsa az állomást erre: manage.protection.apps.mil.

    További információ: Tevékenység API műveletek

  4. Válassza a Biztonság lehetőséget.

  5. A hitelesítési paraméterek szerkesztéséhez válassza az OAuth 2.0 terület alján található Szerkesztés lehetőséget.

    OAuth-konfiguráció szerkesztése.

  6. Módosítsa az identitásszolgáltatót azonosítóra Microsoft Entra .

    Módosítsa az identitásszolgáltatót azonosítóra Microsoft Entra .

  7. Illessze be az alkalmazás (ügyfél) alkalmazásregisztrációból másolt azonosítóját az Ügyfélazonosító mezőbe.

  8. Illessze be az alkalmazásregisztrációból másolt titkos ügyfélkódot a Titkos ügyfélkód mezőbe.

  9. Ne módosítsa a Bérlőazonosító elemet.

  10. Hagyja meg a bejelentkezési URL-címet a kereskedelmi és GCC-bérlők esetében, és módosítsa login https://.microsoftonline.us/ értékre egyvagy DoD-bérlőhöz GCC High .

  11. Állítsa be az erőforrás URL-címét https://manage.office.com kereskedelmi bérlőhöz,manage-gcc.office.com GCC-bérlőhöz,manage https://.office365.usbérlőhöz és https://manage GCC High https://.protection.apps.mil DoD-bérlőhöz.

  12. Válassza az Összekötő frissítése lehetőséget.

  13. Másolja az Átirányítási URL-címet a Jegyzettömb programba a szöveges dokumentumba.

Feljegyzés

Ha van egy adatvesztés-megelőzési (DLP) házirend konfigurálva a CoE Starter Kit környezethez, akkor ezt az összekötőt fel kell vennie az üzleti adatok csak ezen házirend csoportjához.

Alkalmazásregisztráció frissítése Microsoft Entra az átirányítási URL-címmel

  1. Nyissa meg a Azure Portal és az alkalmazásregisztrációkat.

  2. Az Áttekintés területen jelölje be az Átirányítási URI hozzáadása jelölőnégyzetet.

  3. Válassza a + Platform hozzáadása>Web lehetőséget.

  4. Adja meg az egyéni összekötő Átirányítási URL szakaszából másolt URL-címet.

  5. Válassza a Konfigurálás elemet.

Előfizetés indítása az auditnapló tartalmához

Térjen vissza az egyéni összekötőhöz, állítsa be a kapcsolatot az egyéni összekötővel, és indítsa el az előfizetést az auditnapló tartalmára az alábbi lépésekkel leírtak szerint.

Fontos

A művelet végrehajtásához a következő lépéseket kell végrehajtania. Ha nem hoz létre új kapcsolatot, és nem teszteli itt az összekötőt, akkor a későbbi lépésekben a folyamat és az alárendelt folyamat beállítása sikertelen lesz.

  1. Az Egyéni összekötő lapon válassza a Teszt lehetőséget.

  2. Válassza a + Új kapcsolat lehetőséget, majd jelentkezzen be a fiókjával.

  3. A Műveletek területen válassza a StartSubscription elemet.

    Egyéni összekötő Előfizetés indítása.

  4. Illessze be a címtár (bérlő) azonosítóját – amelyet korábbanaz Alkalmazásregisztráció áttekintése oldalról másolt az Azonosító – a Microsoft Entra Bérlő mezőbe.

  5. Illessze be a címtár (bérlő) azonosítóját a PublisherIdentifier mezőbe.

  6. Válassza a Tesztművelet lehetőséget.

Meg kell jelennie a (200) állapotnak, ami azt jelenti, hogy a lekérdezés sikeresen megtörtént.

A StartSubscription tevékenység sikeres állapotot ad vissza.

Fontos

Ha korábban engedélyezte az előfizetést, megjelenik egy (400) Az előfizetés már engedélyezve van üzenet. Ez azt jelenti, hogy az előfizetést már korábban sikeresen engedélyezték. Ezt a hibát figyelmen kívül hagyhatja, és folytathatja a telepítést.

Ha nem jelenik meg a fenti üzenet vagy a (200) válasz, akkor előfordulhat, hogy a kérelem sikertelen volt. Hiba lehet a beállításban, ami megakadályozza a folyamat működését. Az ellenőrzendő gyakori problémák:

  • Ellenőrizze, hogy a Biztonság lapon található identitásszolgáltató azonosítója-e Microsoft Entra .
  • Engedélyezve vannak az auditnaplók, és rendelkezik engedéllyel az auditnaplók megtekintéséhez? Ellenőrizze, hogy tud-e keresni a Microsoft Megfelelőségkezelőben.
  • Ha nincs engedélye, lásd: Mielőtt keresést végez az auditnaplóban.
  • Nemrég engedélyezte az auditnaplót? Ha igen, próbálja meg újra néhány perc múlva, hogy az auditnaplózásnak legyen ideje aktiválódni.
  • Beillesztette a megfelelő bérlőazonosítót az Microsoft Entra alkalmazásregisztrációból?
  • Beillesztve a megfelelő erőforrás URL-címet hozzáadott szóköz vagy karakter nélkül a végén?
  • Ellenőrizze, hogy megfelelően követte-e Microsoft Entra az alkalmazásregisztráció lépéseit.
  • Ellenőrizze, hogy helyesen frissítette-e az egyéni csatlakozó biztonsági beállításait a cikkben korábban ismertetett egyéni összekötő-telepítési eljárás 6. lépésében leírtak szerint.

Ha továbbra is hibákat tapasztal, előfordulhat, hogy a kapcsolat rossz állapotban van. További információ: Részletes utasítások az auditnapló kapcsolatának javításához

A Power Automate-folyamat beállítása

A Power Automate folyamat az egyéni összekötőt használja, naponta lekérdezi az auditnaplót, és a Power Apps indítási eseményeket egy Microsoft Dataverse-táblába írja. Ezt követően a táblát a Power BI irányítópulton használják a munkamenetekkel és az alkalmazás egyedi felhasználóival kapcsolatos jelentésekhez.

  1. Kövesse az Alapösszetevők beállítása rész útmutatásait a megoldás letöltéséhez.

  2. Ugrás a make.powerapps.com webhelyre.

  3. Importálja a Kiválósági központ auditnapló-megoldását (CenterofExcellenceAuditLogs_x_x_x_xxx_managed.zip).

  4. Kapcsolatok létrehozása a megoldás aktiválásához. Ha új kapcsolatot hoz létre, akkor a Frissítés lehetőséget kell választania. Az importálási folyamat nem vész el.

    Importálja a CoE auditnapló-összetevők megoldását.

  5. Nyissa meg a Kiválósági központ – Auditnapló megoldást.

  6. A nem felügyelt réteg eltávolítása innen: [Gyermek] Rendszergazda | Naplók szinkronizálása.

  7. Válassza ki a [Gyermek] Rendszergazda | Naplók szinkronizálása lehetőséget.

  8. Szerkessze a Csak felhasználók futtatása beállítást.

    Gyermekfolyamat – csak futtatható felhasználók.

  9. Office 365 A Management API egyéni összekötőhöz módosítsa az értéket a Kapcsolat használata ( )userPrincipalName@company.com értékre. Ha valamelyik összekötőhöz nincs kapcsolat, nyissa meg a Dataverse>Kapcsolatok elemet, és hozzon létre egyet az összekötőhöz.

    Csak futtatható felhasználók konfigurálása.

  10. Microsoft Dataverse Az összekötőhöz hagyja üresen a csak futtatási engedély értékét, és ellenőrizze, hogy a CoE-auditnaplók - Dataverse connection kapcsolathivatkozása megfelelően van-e konfigurálva. Ha a kapcsolat hibát jelez, frissítse a CoE auditnaplók - Dataverse kapcsolat hivatkozását.

    Ellenőrizze, hogy Dataverse a kapcsolathivatkozás be van-e állítva a fiókjához.

  11. Válassza a Mentés lehetőséget, majd zárja be a Folyamat részletei lapot.

  12. (Opcionális) Szerkessze a TimeInterval-Unit és a TimeInterval-Interval környezeti változókat kisebb időtömbök gyűjtéséhez. Az alapértelmezett érték 1 napot 1 órás szegmensekké tömbösít. Ez a megoldás riasztást kap, ha az auditnapló nem gyűjti össze az összes adatot a beállított időintervallummal.

    Adatfolyam neve Ismertetés
    StartTime-Interval Egész számnak kell lennie ahhoz, hogy képvlselje a kezdés időpontját, azaz, hogy mennyire menjen vissza a lekérés.
    Alapértelmezett érték: 1 (egy nappal vissza)
    StartTime-Unit Meghatározza, hogy milyen mértékegységben legyen megadva, hogy meddig kell visszanyúlni az adatok beolvasása során.
    Az Hozzáadás időhöz bemeneti paramétereként elfogadott értéknek kell lennie.
    Példa jogi értékekre: Perc, Óra, Nap
    Alapértelmezett érték: Nap
    TimeInterval-Unit Meghatározza az indulás óta eltelt idő egységeit a tömbösítéshez.
    Az Hozzáadás időhöz bemeneti paramétereként elfogadott értéknek kell lennie.
    Példa jogi értékekre: Perc, Óra, Nap
    Alapértelmezett érték: óra
    TimeInterval-Interval Egész számnak kell lennie, hogy jelezze a típusegység adattömbjeinek számát (fent).
    Alapértelmezett érték: 1 (1 órás adattömbökhöz)
    TimeSegment-CountLimit A létrehozható adattömbök számának korlátját adja meg, és egész számnak kell lennie.
    Alapértelmezett érték: 60

    Fontos

    A megadott alapértelmezett értékek közepes méretű bérlőben működnek. Előfordulhat, hogy az értékeket többször is módosítania kell ahhoz, hogy a bérlő méretének megfelelően működjön.

    Fontos

    Ismerje meg, hogyan frissítheti a környezeti változókat: Környezeti változók frissítése

  13. Térjünk vissza a megoldásba, kapcsolja be a [Gyermek] Rendszergazda | Szinkronizálási naplófolyamat és a Rendszergazda | Auditnapló folyamat szinkronizálása lehetőséget is.

    Kapcsolja be az auditnapló-folyamatokat.

Példa a környezetváltozók konfigurációiról

Íme néhány példa ezekre az értékekre:

StartTime-Interval StartTime-Unit TimeInterval-Interval TimeInterval-Unit TimeSegment-CountLimit Elvárás
0 nap 0 óra 60 24 gyermekfolyamatot hoz létre, amely a 60-as korláton belül van.
Minden gyermekfolyamat 1 órányi naplót húz vissza az elmúlt 24 órából
2 nap 0 óra 60 48 gyermekfolyamatot hoz létre, amely a 60-as korláton belül van.
Minden gyermekfolyamat 1 órányi naplót húz vissza az elmúlt 48 órából
0 nap 5 perc 300 288 gyermekfolyamatot hoz létre, amely a 300-as korláton belül van.
Minden gyermekfolyamat 5 percnyi naplót húz vissza az elmúlt 24 órából
0 nap 15 perc 100 96 gyermekfolyamatot hoz létre, amely a 100-as korláton belül van.
Minden gyermekfolyamat 15 percnyi naplót húz vissza az elmúlt 24 órából

Hogyan lehet régebbi adatokat lekérni

Ez a megoldás a konfigurálás pillanatától gyűjti az alkalmazásindításokat, és nincs beállítva az előzményalkalmazásindítások gyűjtésére. A Microsoft 365-licenctől függően akár egy évre visszamenően is elérhetők az előzményadatok a Microsoft Purview auditnaplója segítségével.

Az előzményadatokat manuálisan is betöltheti a CoE kezdőcsomag tábláiba. További információ: A régi auditnaplók importálása

Hibát találtam a CoE Starter Kit-ben; hová menjek?

Ha hibát szeretne bejelenteni a megoldással kapcsolatban, lépjen ide: aka.ms/coe-starter-kit-issues.