Бөлісу құралы:

Реттелетін қосқыш (құнсызданған) көмегімен аудит журналдарын жинау

  • Мақала

Маңызды

Арнайы бөлінген Біліктілікті арттыру орталығы - Аудит журналының шешімін пайдалану және Office 365 аудиторлық журнал іс-шараларын жинау үшін Басқарудың реттелетін қосқышы құнсызданады. Шешім мен реттелетін қосқыш CoE Starter Kit-тен 2023 жылдың тамыз айында алынып тасталады.

Бізде аудиторлық журнал іс-шараларын жинайтын жаңа ағым бар, ол Біліктілікті арттыру орталығы – негізгі компоненттер шешімін құрайды. Бұл жаңа ағын HTTP қосқышын пайдаланады. Қосымша ақпарат: HTTP әрекетін пайдаланып аудит журналдарын жинау

Тексеру журналын синхрондау ағыны бағдарламалар үшін телеметрия деректерін (бірегей пайдаланушылар, іске қосушылар) жинау үшін Microsoft 365 тексеру журналына қосылады. Ағын тексеру журналына қосылу үшін реттелетін қосқышты пайдаланады. Келесі нұсқауларда реттелетін қосқышты орнатып, ағынды конфигурациялайсыз.

Біліктілікті арттыру орталығы (CoE) Starter Kit бұл ағынсыз жұмыс істейді, бірақ бақылау тақтасындағы Power BI пайдалану ақпараты (бағдарламаны іске қосу, бірегей пайдаланушылар) бос болады.

Маңызды

Нұсқауларды орындаңыз CoE Starter жиынтығын орнатпас бұрын және осы мақалада орнатуды жалғастырмас бұрын инвентаризация компоненттерін орнатыңыз. Бұл мақалада өз ортаңызды орнатып , дұрыс сәйкестік куәлігімен кіргеніңізді болжайды.

Бұлт ағындарын инвентаризация мен телеметрия механизмі ретінде таңдаған жағдайда ғана Аудит журналы шешімін орнатыңыз.

Тексеру журналының қосқышын орнату жолы туралы қадамдық нұсқаулықты қараңыз.

Тексеру журналы қосқышын пайдаланар алдында

  1. Microsoft 365 тексеру журналының іздеуі тексеру журналының қосқышы жұмыс істеуі үшін қосулы болуы керек. Қосымша ақпарат: Тексеру журналынан іздеуді қосу немесе өшіру

  2. Ағынды іске қосатын пайдаланушы куәлігінің аудит журналдарына рұқсаты болуы тиіс. Бұл үшін ең аз рұқсаттар мына жерде сипатталған: Аудит журналдарын іздемес бұрын

  3. Қатысушыңызда бірыңғай тексеру журналын жүргізуді қолдайтын жазылым болуы керек. Қосымша ақпарат: Security > Комплаенс-орталықтың бизнес және кәсіпорын жоспарларына қолжетімділігі

  4. Бағдарламаны тіркеуді конфигурациялау Microsoft Entra үшін Global Admin қажет.

Office 365 Басқарудың API қызметі сіздің өтінішіңізге қатынасу құқығын беру үшін пайдалануға болатын аутентификация қызметтерін көрсету үшін идентификаттауды пайдаланады Microsoft Entra .

Басқару API үшін Microsoft Entra бағдарламаны тіркеуді жасау Office 365

Осы қадамдарды пайдаланып, аудит журналына қосылу үшін реттелетін қосқышта және Microsoft Entra ағында қолданылатын бағдарламаны тіркеуді орнатасыз Power Automate . Қосымша ақпарат: Office 365 басқару API интерфейстерімен жұмысқа кірісу

  1. portal.azure.com сайтына кіріңіз.

  2. ID Microsoft Entra бағдарламасын тіркеуге> өтіңіз.

    Microsoft Entra бағдарламаны тіркеу.

  3. + Жаңа тіркеу опциясын таңдаңыз.

  4. Атауын енгізіңіз (мысалы, Microsoft 365 басқару), басқа параметрлерді өзгертпеңіз, содан кейін Тіркеу опциясын таңдаңыз.

  5. API рұқсаттары>+ Рұқсат қосу тармақтарын таңдаңыз.

    API рұқсаттары - Рұқсат қосу.

  6. Office 365 басқару API параметрін таңдап, рұқсаттарды келесідей конфигурациялаңыз:

    1. Берілген рұқсаттар, содан кейін ActivityFeed.Read тармағын таңдаңыз.

      Берілген рұқсаттар.

    2. Рұқсаттарды қосу опциясын таңдаңыз.

  7. (Ұйымыңыз) үшін әкімші келісімін беру параметрін таңдаңыз. Алғышарттар: Бағдарламаға клиент деңгейіндегі әкімші келісімін беріңіз

    API рұқсаттары енді Рұқсат берілген: (ұйымыңыз) күйімен өкілетті ActivityFeed.Read көрсетеді.

  8. Сертификаттар мен құпиялар тармағын таңдаңыз.

  9. + Жаңа тұтынушы құпиясы опциясын таңдаңыз.

    Жаңа клиент құпиясы.

  10. Сипаттама мен жарамдылық мерзімін қосыңыз (ұйымыңыздың саясаттарына сәйкес), содан кейін Қосу опциясын таңдаңыз.

  11. Құпия өрісін көшіріп, қазіргі уақытта қойын дәптердегі мәтіндік құжатқа қойыңыз.

  12. Шолу тармағын таңдап, бағдарлама (тұтынушы) идентификаторы мен каталогінің (қатысушы) идентификатор мәндерін сол мәтіндік құжатқа көшіріп қойыңыз; қайсы GUID қай мән үшін екенін ескертіңіз. Бұл мәндер келесі қадамда теңшелетін қосқыштарды конфигурациялау үшін қажет болады.

Azure порталын ашық қалдырыңыз, өйткені теңшелетін қосқышты орнатқаннан кейін бірнеше конфигурация жаңартуларын жасауыңыз керек.

Реттелмелі қосқышты орнату

Енді сіз Office 365 басқару API интерфейстері мүмкіндігін пайдаланатын теңшелетін қосқышты конфигурациялайсыз және орнатасыз.

  1. Реттелетін қосқыштар Power Apps>Dataverse> бөлімінеөтіңіз. Office 365 Management API реттелетін қосқышы осында көрсетілген, ол негізгі компоненттер шешімімен импортталған.

  2. Өңдеу пәрменін таңдаңыз.

  3. Клиент коммерциялық клиент болса, Жалпы бетті сол күйінде қалдырыңыз.

    Маңызды

    • Егер клиент GCC клиенті болса, хостты manage-gcc.office.com веб‑сайтына өзгертіңіз.
    • Егер қатысушы қатысушы болса GCC High , хостты manage.office365.us деп өзгертіңіз.
    • Егер клиент DoD клиенті болса, хостты manage.protection.apps.mil веб‑сайтына өзгертіңіз.

    Қосымша ақпарат: Әрекеттің API операциялары

  4. Қауіпсіздік параметрін таңдаңыз.

  5. Oauth 2.0 аймағының төменгі жағынан Өңдеу параметрін таңдап, түпнұсқалық растама параметрлерін өңдеңіз.

    OAuth баптауын өңдеу.

  6. Идентификатор провайдері идентификаторына өзгертіңіз Microsoft Entra .

    Идентификатор провайдері идентификаторына Microsoft Entra өзгертіңіз.

  7. Бағдарламаны тіркеуден көшіріп алған бағдарлама (тұтынушы) идентификаторын Тұтынушы идентификаторы өрісіне қойыңыз.

  8. Бағдарламаны тіркеуден көшіріп алған тұтынушы құпиясын Тұтынушы құпиясы өрісіне қойыңыз.

  9. Қатысушы идентификаторы өрісін өңдеуге болмайды.

  10. Коммерциялық және GCC жалға алушыларына арналғандай Кіру URL мекенжайын қалдырып , оны https:// кіру.microsoftonline.us/ немесе DOD қатысушысы үшінөзгертіңіз. GCC High

  11. Басқару үшін ресурстың URL мекенжайын https://орнатыңыз.office.com коммерциялық қатысушы үшін, https:// GCC қатысушысы үшін басқару-gcc.office.com,клиентке https:// арналған# GCC High office365.us және https://басқарыңыз.#DOD қатысушысы үшінprotection.apps.mil.

  12. Қосқышты жаңарту опциясын таңдаңыз.

  13. Қайта бағыттау URL мекенжайы өрісін қойын дәптердегі мәтіндік құжатқа көшіріңіз.

Ескертпе

ОТО іске қосу жинағының ортасы үшін конфигурацияланған деректердің жоғалуын болдырмау (DLP) саясатыңыз болса, бұл қосқышты осы саясаттың тек бизнес деректерінің тобына қосуыңыз керек.

URL мекенжайын қайта бағыттаумен бағдарламаны тіркеуді жаңарту Microsoft Entra

  1. Azure порталына және бағдарламаны тіркеуге өтіңіз.

  2. Шолу бөліміндегі Қайта бағыттау URI мекенжайын қосу опциясын таңдаңыз.

  3. + Платформа қосу>Веб тармақтарын таңдаңыз.

  4. Теңшелетін қосқыштың Қайта бағыттау URL мекенжайы бөлімінен көшіріп алған URL мекенжайын енгізіңіз.

  5. Конфигурациялау пәрменін таңдаңыз.

Тексеру журналының мазмұнына жазылуды бастау

Теңшелетін қосқышқа қосылымды орнату үшін теңшелетін қосқышқа оралыңыз және келесі қадамдарда сипатталғандай тексеру журналының мазмұнына жазылуды бастаңыз.

Маңызды

Келесі жұмыс қадамдарына өту үшін осы қадамдарды орындауыңыз керек. Егер сіз жаңа қосылым жасамасаңыз және осы жерде қосқышты сынамасаңыз, кейінгі қадамдардағы ағын мен қосалқы ағынды орнату сәтсіз болады.

  1. Реттелетін қосқыш бетінен Сынау параметрін таңдаңыз.

  2. + Жаңа қосылым тармағын таңдаңыз, содан кейін жүйеге тіркелгіңізбен кіріңіз.

  3. Операциялар тармағынан StartSubscription опциясын таңдаңыз.

    Реттелетін қосқыш Жазылымды бастау.

  4. Каталогты (қатысушы) идентификаторын — ID- дегі Бағдарламаны тіркеуге шолу бетінен бұрынкөшірілген идентификаторды —Қатысушы өрісіне Microsoft Entra қойыңыз .

  5. Каталог (қатысушы) идентификаторын PublisherIdentifier бағдарламасына қойыңыз .

  6. Операцияны сынау параметрін таңдаңыз.

Сіз қайтарылған (200) күйді көруіңіз керек, бұл сұрау сәтті болғанын білдіреді.

Сәтті күй StartSubscription қызметінен қайтарылады.

Маңызды

Жазылымды бұрын қосқан болсаңыз, (400) Жазылым қосулы хабарламасын көресіз. Бұл жазылым бұрын сәтті қосылғанын білдіреді. Бұл қатені елемей, орнатуды жалғастыра аласыз.

Жоғарыдағы хабарламаны немесе (200) жауапты көрмесеңіз, сұрау сәтсіз болуы мүмкін. Орнатуыңызда ағынның жұмыс істеуіне кедергі келтіретін қате болуы мүмкін. Тексеруге арналған жалпы мәселелер:

  • Қауіпсіздік қойындысындағы сәйкестік куәлігі провайдері идентификаторға орнатылғанын Microsoft Entra тексеріңіз.
  • Тексеру журналдары қосылған ба және сізде тексеру журналын көруге рұқсат бар ма? Microsoft сәйкестік реттеушісінде іздеуге болатынын көру арқылы тексеріңіз.
  • Егер сізде рұқсат жоқ болса, Аудит журналын іздеу алдында тақырыбын қараңыз.
  • Жақында тексеру журналын қостыңыз ба? Олай болса, тексеру журналын іске қосуға уақыт беру үшін әрекетті бірнеше минуттан кейін қайталаңыз.
  • Бағдарламаны тіркеуден дұрыс клиент идентификаторына жапсырдыңыз Microsoft Entra ба?
  • Сізде дұрыс URL мекенжайы соңында бос орын немесе таңбасыз қойылды ма?
  • Бағдарламаны тіркеудегі Microsoft Entra қадамдарды дұрыс орындағаныңызды тексеріңіз.
  • Реттемелі қосқыштың қауіпсіздік параметрлерін осы мақаланың реттемелі қосқышты орнатудың 6-қадамы бөлімінде сипатталғандай дұрыс жаңартқаныңызды тексеріңіз.

Егер әлі де істен шығулар көрінсе, байланысыңыз жаман күйде болуы мүмкін. Қосымша ақпарат: Аудит журналы қосылымын жөндеу бойынша қадамдық нұсқаулар

Power Automate ағынын орнату

Power Automate ағыны теңшелетін қосқышты пайдаланады, аудит журналын күнделікті сұрайды және Power Apps іске қосу оқиғаларын Microsoft Dataverse кестесіне жазады. Содан кейін бұл кесте сеанстар мен бағдарламаның бірегей пайдаланушылары туралы есеп беру үшін Power BI бақылау тақтасында пайдаланылады.

  1. Шешімді жүктеп алу үшін Негізгі құрамдастарды орнату бөліміндегі қадамдарды орындаңыз.

  2. make.powerapps.com сайтына өтіңіз.

  3. Озық тәжірибе орталығы тексеру журналдарының шешімін импорттаңыз (CenterofExcellenceAuditLogs_x_x_x_xxx_managed.zip).

  4. Шешімді белсендіру үшін қосылымдарды орнатыңыз. Жаңа қосылым жасасаңыз, Жаңарту опциясын таңдауыңыз керек. Импорт прогресін жоғалтпайсыз.

    КоЭ аудит журналы компоненттерінің шешімін импорттау.

  5. Озық тәжірибе орталығы – Тексеру журналының шешімі бөлімін ашыңыз.

  6. Басқарылмайтын қабатты[Еншілес] Әкімші | Синхрондау журналдары тармағынан алып тастаңыз.

  7. [Еншілес] Әкімші | Синхрондау журналдары тармағын таңдаңыз.

  8. Тек пайдаланушыларды іске қосу параметрлерін өңдеңіз.

    Балалар ағыны - тек қана пайдаланушылар.

  9. Басқару API реттелетін қосқышы үшін Office 365 осы қосылымды пайдалану (userPrincipalName@company.com)мәнін өзгертіңіз. Егер қосқыштардың ешқайсысы үшін қосылым болмаса, Dataverse>Қосылымдар тармағына өтіп, қосқыш үшін біреуін жасаңыз.

    Тек іске қосылған пайдаланушыларды теңшеу.

  10. Қосқыш үшін Microsoft Dataverse тек іске қосу рұқсатының мәнін бос қалдырыңыз және CoE аудит журналдарына арналған Dataverse қосылым сілтемесінің дұрыс конфигурацияланғанын растаңыз. Егер қосылым қатені көрсетсе, CoE аудит журналдары - қосылым сілтемесі үшін қосылым сілтемесі Dataverse жаңартылсын.

    Қосылым сілтемесін растау Dataverse тіркелгіңізге орнатылған.

  11. Сақтау опциясын таңдап, Ағын туралы мәліметтер қойыншасын жабыңыз.

  12. (Міндетті емес) Уақыттың кішірек бөліктерін жинау үшін TimeInterval-Unit және TimeInterval-Interval орта айнымалыларын өңдеңіз. Әдепкі мәні — 1 күнді 1 сағаттық сегменттерге бөлу. Аудит журналы барлық деректерді конфигурацияланған уақыт аралығымен жинай алмаса, осы шешімнен ескерту аласыз.

    Атауы Сипаттамасы
    StartTime-Interval Алынатын уақыттың басталу уақытын білдіретін бүтін сан болуы керек.
    Әдепкі мән: 1 (бір күн бұрын)
    StartTime-Unit Деректерді алу үшін уақыт бірлігіне қанша уақыт кететінін анықтайды.
    Уақытқа қосу үшін кіріс ретінде қабылданатын параметрдің мәні болуы керек.
    Рұқсат етілетін мәндер мысалы: минут, сағат, күн
    Әдепкі мән: күн
    TimeInterval-Unit Басынан бастап уақытты бөлу бірліктерін анықтайды.
    Уақытқа қосу үшін кіріс ретінде қабылданатын параметрдің мәні болуы керек.
    Рұқсат етілетін мәндер мысалы: минут, сағат, күн
    Әдепкі мән: сағат
    TimeInterval-Interval Бірлік түріне жататын бөліктер санын білдіру үшін бүтін сан болуы керек (жоғарыда).
    Әдепкі мәні: 1 (1 сағаттық бөліктер үшін)
    TimeSegment-CountLimit Жасалатын бөліктер санының шегін білдіретін бүтін сан болуы керек.
    Әдепкі мәні: 60

    Маңызды

    Әдепкі мәндер орташа қатысушыда жұмыс істеуді қамтамасыз етті. Клиент өлшеміңізге жұмыс істеуі үшін мәндерді бірнеше рет реттеу қажет болуы мүмкін.

    Маңызды

    Орта айнымалыларын жаңарту әдісін үйрену: Орта айнымалыларын жаңарту

  13. Шешімге оралып, [Еншілес] Әкімші | Журналдар ағынын синхрондау және Әкімші | Тексеру журналдары ағындарын синхрондауын іске қосыңыз.

    Аудит журналының ағындарын қосу.

Орта айнымалылары үшін мысал конфигурациялары

Мына мәндерге арналған мысал конфигурациялары берілген:

StartTime-Interval StartTime-Unit TimeInterval-Interval TimeInterval-Unit TimeSegment-CountLimit Болжам
1-көше күн 1-көше сағат 60 24 қосалқы ағын жасайды, ол 60 шегінде.
Әрбір бала ағымы өткен тәуліктен бастап 1 сағаттық бөренелерді кері тарту бойынша жұмысты орындайды
2-көше күн 1-көше сағат 60 48 қосалқы ағын жасайды, ол 60 шегінде.
Әрбір бала ағымы өткен 48 сағаттан бастап 1 сағаттық бөренелерді кері тарту бойынша жұмысты орындайды
1-көше күн 5 минут 300 288 қосалқы ағын жасайды, ол 300 шегінде.
Әрбір бала ағымы өткен тәуліктен бастап 5 минут бөренелерді кері тарту бойынша жұмысты орындайды
1-көше күн 15 минут 100-көше 96 қосалқы ағын жасайды, ол 100 шегінде.
Әрбір бала ағымы өткен тәуліктен бастап 15 минут бөренелерді кері тарту бойынша жұмысты орындайды

Ескі деректерді алу жолы

Бұл шешім бағдарламаны іске қосуды конфигурацияланған сәттен бастап жинайды және тарихи бағдарламаны іске қосуды жинау үшін орнатылмайды. Сіздің Microsoft 365 лицензияңызға байланысты тарихи деректер Microsoft Purview жүйесіндегі аудит журналы арқылы бір жылға дейін қолжетімді болады.

Тарихи деректерді ОТО іске қосу жинағының кестелеріне қолмен жүктей аласыз. Толығырақ: Ескі аудит журналдарын импорттау жолы

CoE Starter жиынтығы бар қатені таптым; қайда бару керек?

Шешімге қарсы қатені жіберу үшін өтіңіз aka.ms/coe-starter-kit-issues.