演習 - 監査ログ コネクタの設定
監査ログ同期フローは、Microsoft 365 監査ログに接続して、アプリのデータ (ユニーク ユーザー、起動回数など) を収集します。 フローでは、カスタム コネクタを使用して監査ログに接続します。 次の指示では、カスタム コネクタを設定し、フローを構成します。
注
Center of Excellence (CoE) スタート キットは、このフローを使用せずに動作します。ただし、Power BI ダッシュボードの使用状況情報は空白になります。
監査ログ コネクタを使用する前に
監査ログ コネクタを使用する前に、次の前提条件を満たす必要があります。
Microsoft 365 監査ログ コネクタが機能するには、Microsoft 365 監査ログ検索を有効にする必要があります。 詳細については、「監査ログ検索を有効または無効にする」を参照してください。
テナントには、統合された監査ログをサポートするサブスクリプションが必要です。 詳細については、「Microsoft 365 のセキュリティとコンプライアンスに関するガイダンス」を参照してください。
Microsoft Entra アプリ登録を構成するには、グローバル管理者の権限が必要です。
Office 365 管理 API は、Microsoft Entra ID を使用して、ユーザーのアプリケーションがそれらにアクセスするための権限の付与に使用できる認証サービスを提供します。
Office 365 管理 API に対する Microsoft Entra アプリ登録の作成
これらの手順を使用すると、Microsoft Entra フローで HTTP 呼び出しの Power Automate アプリ登録を設定し、監査ログに接続できます。 詳細については、「Office 365 管理 API の使用を開始する」を参照してください。
portal.azure.com にサインインします。
Microsoft Entra ID に移動してから、アプリ登録を検索および選択します。
新規登録を選択します。
名前 (Microsoft 365 管理など) を入力しますが、他の設定は変更しません。 登録を選択します。
![名前を入力して [登録] を選択するスクリーンショット。](media/new-app-register-ss.png)
API のアクセス許可 > アクセス許可の追加の順に選択します。
![[API のアクセス許可] と [アクセス許可の追加] を選択するスクリーンショット。](media/app-api-permission-ssm.png)
Office 365 管理 API を選択してから、アクセス許可を次のように構成します。
a. 委任されたアクセス許可を選択してから、ActivityFeed.Read を選択します。
![[Office 365 管理 API] を選択し、アクセス許可を構成するスクリーンショット。](media/office-365-management-api-ssm.png)
b. アプリケーションのアクセス許可を選択してから、ActivityFeed.Read および ServiceHealth.Read を選択します。
![[アプリケーションのアクセス許可] を選択するスクリーンショット。](media/request-api-permissions-ssm.png)
c. アクセス許可の追加を選択します。
(ユーザーの組織) に管理者の同意を付与するを選択します。
これで、API のアクセス許可は、委任された ActivityFeed.Read とアプリケーションの ActivityFeed.Read と ServiceHealth.Read へのアクセス許可を (ユーザーの組織) に付与済みのステータスで反映しています。
証明書とシークレットを選択します。
新しいクライアント シークレットを選択します。
![[新しいクライアント シークレット] を選択するスクリーンショット。](media/client-secret-ssm.png)
(組織のポリシーに従って) 説明と有効期限を追加し、追加を選択します。
今すぐ Windows メモ帳のテキスト ドキュメントに移動し、シークレットをコピーして貼り付けます。
概要を選択してから、アプリケーション (クライアント) ID 値をコピーしてテキスト ドキュメントに貼り付けます。
![名前を入力して [登録] を選択するスクリーンショット。](media/new-app-register-ss.png#lightbox)
![[API のアクセス許可] と [アクセス許可の追加] を選択するスクリーンショット。](media/app-api-permission-ssm.png#lightbox)
![[Office 365 管理 API] を選択し、アクセス許可を構成するスクリーンショット。](media/office-365-management-api-ssm.png#lightbox)
![[アプリケーションのアクセス許可] を選択するスクリーンショット。](media/request-api-permissions-ssm.png#lightbox)
![[新しいクライアント シークレット] を選択するスクリーンショット。](media/client-secret-ssm.png#lightbox)
環境変数の更新
環境変数は、アプリ登録のクライアント ID とシークレットを保存するために使用されます。 また、HTTP アクションのクラウド (商用、GCC、GCC High、DoD) に応じて、対象者および権限サービス エンドポイントも保存されます。 フローをオンにする前に環境変数を更新します。
注
クライアント シークレットは、監査ログ - クライアント シークレット環境変数にプレーン テキストで格納するか、クライアント シークレットを Azure Key Vault に格納して、監査ログ - クライアント Azure シークレット環境変数で参照するように作成します。 これらの手順では、クライアント シークレットの使用について概説しますが、Azure Key Vault がマイクロソフトの推奨する方法です。
Power Apps に移動します。
ソリューションに移動します。
すべてタブを選択し、Center of Excellence - コア コンポーネント ソリューションを選択して開きます。
左側のメニューからアプリを選択し、CoE 管理者コマンド センターr アプリを使用します。
アプリの左側のメニューで、環境変数を選択します。
![コマンド センター アプリと更新する [環境変数] のスクリーンショット。](media/command-app.svg)
監査ログ - 対象者環境変数を見つけて、値がクラウドの種類の対象者サービス エンドポイントと一致していることを確認します。
以下の表で、クラウドの種類の対象者の値を確認できます。 値がクラウドの種類と一致しない場合は、コマンド センター アプリで行を選択し、コマンド バーから編集を選択します。
前のセクションからコピーしたシークレット値を入力します。
監査ログ - オーソリティ環境変数を見つけて、値がクラウドの種類のオーソリティ サービス エンドポイントと一致していることを確認します。
以下の表で、クラウドの種類のオーソリティの値を確認できます。 値がクラウドの種類と一致しない場合は、コマンド センター アプリで行を選択し、コマンド バーから編集を選択します。
監査ログ - クライアント ID 環境変数を見つけて、前のセクションからコピーしたクライアント ID を入力します。
監査ログ - クライアント シークレット 環境変数を見つけて、前のセクションからコピーしたクライアント シークレットを入力します。
注
この環境変数を使用するフローには、監査ログ - クライアント シークレット、または監査ログ - クライアント Azure シークレットのいずれかの環境変数を必要とする条件が設定されています。 Azure Key Vault を使用するために、フローを編集する必要はありません。
![コマンド センター アプリと更新する [環境変数] のスクリーンショット。](media/command-app.svg#lightbox)
| 名前 | 説明 | 値 |
|---|---|---|
| 監査ログ - 対象者 | HTTP 呼び出しの対象者パラメーター。 | 商用 (デフォルト): https://manage.office.com GCC: https://manage-gcc.office.com GCC High: https://manage.office365.us DoD: https://manage.protection.apps.mil |
| 監査ログ - オーソリティ | HTTP 呼び出しの [オーソリティ] フィールド。 | 商用 (デフォルト): https://login.windows.net GCC: https://login.windows.net GCC High: https://login.microsoftonline.us DoD: https://login.microsoftonline.us |
| 監査ログ - ClientID | アプリ登録のクライアント ID。 | 「Office 365 管理 API に対して Microsoft Entra アプリ登録を作成する」ステップからのアプリケーション クライアント ID。 |
| 監査ログ - クライアント シークレット | プレーン テキストのアプリ登録クライアント シークレット。 | 「Office 365 管理 API に対して Microsoft Entra アプリ登録を作成する」ステップからのアプリケーション クライアント シークレット。 Azure Key Vault を使用してクライアント ID とシークレットを格納している場合は、空にしておきます。 |
| 監査ログ - クライアント Azure シークレット | アプリ登録クライアント シークレットの Azure Key Vault 参照。 | 「Office 365 管理 API に対して Microsoft Entra アプリ登録を作成する」ステップからのアプリケーション クライアント シークレットに対する Azure Key Vault 参照。 クライアント ID を「監査ログ - クライアント シークレット」環境変数にプレーン テキストで格納する場合は、空のままにしておきます。 この変数は、シークレットではなく、Azure Key Vault 参照が必要です。 詳細情報: 環境変数で Azure Key Vault シークレットを使用する |
監査ログ コンテンツに対するサブスクリプションの開始
PowerApps に移動します
左側のメニューで、ソリューションを選択します。
すべてのソリューションを表示するには、すべてタブを選択します。
Center of Excellence - コア コンポーネント ソリューションを開きます。
管理者 | 監査ログ | Office 365 管理 API サブスクリプション フローをオンにして実行し、実行する操作として start と入力します。
フローを開いて、サブスクリプションを開始するアクションが成功したことを確認します。
重要
サブスクリプションが既に有効になっている場合は、(400) サブスクリプションは既に有効になっていますというメッセージが表示されます。 これは、サブスクリプションが過去に正常に有効化されたことを意味します。 このエラーは無視して、設定を続行できます。 上記のメッセージまたは応答 (200) が表示されない場合は、要求が失敗した可能性があります。 設定にエラーがあり、フローが動作していない可能性があります。 以下の一般的な問題が発生していないかを確認してください。
- 監査ログは有効になっており、さらに監査ログを表示する権限を持っていますか? Microsoft コンプライアンス マネージャーで検索できるかどうかを確認してください。
- 監査ログを有効にしたばかりですか? その場合は、監査ログがアクティブ化する時間を考慮して、数分後にもう一度行ってみてください。
- Microsoft Entra アプリの登録の手順を正しく実行したことを確認します。
これらのフローの環境変数が正しく更新されたことを確認します。
フローをオンにする
make.powerapps.com に移動します。
すべてのソリューションを表示するには、すべてタブを選択します。
Center of Excellence - コア コンポーネント ソリューションを開きます。
管理者 | 監査ログ | 監査ログの同期 (V2) フローをオンにします。 このフローは時間ごとのスケジュールで実行され、監査ログ イベントを監査ログ テーブルに収集します。