Bendrinti naudojant

Audito žurnalų rinkimas naudojant pasirinktinę jungtį (nebenaudojama)

  • Straipsnis

Svarbu

Naudojant specialų kompetencijos centro audito žurnalo sprendimą ir Office 365 valdymo pasirinktinę jungtį audito žurnalo įvykiams rinkti, nebenaudojami. Sprendimas ir pasirinktinė jungtis bus pašalinti iš CoE starter rinkinio 2023 m. rugpjūčio mėn. Turime naują srautą, kuris renka audito žurnalo įvykius, kuris yra kompetencijos centro - pagrindinių komponentų sprendimo dalis . Šis naujas srautas naudoja HTTP jungtį. Sužinokite daugiau: Audito žurnalų rinkimas naudojant HTTP veiksmą

Tikrinimo žurnalo sinchronizavimo srautas prisijungia prie „Microsoft 365“ tikrinimo žurnalo, kad surinktų programų telemetrijos duomenis (unikalius vartotojus, paleistis). Kad prisijungtų prie tikrinimo žurnalo, srautas naudoja pasirinktinę jungtį. Toliau pateiktose instrukcijose galite nustatyti pasirinktinę jungtį ir sukonfigūruoti srautą.

Kompetencijos centro (CoE) pradinis rinkinys veikia be šio srauto, tačiau naudojimo informacija (programų paleidimai, unikalūs vartotojai) Power BI prietaisų skydelyje yra tuščia.

Būtinosios sąlygos

Prieš naudojant auditavimo žurnalo jungtį

  1. Kad veiktų tikrinimo žurnalo jungtis, reikia įjungti „Microsoft 365“ tikrinimo žurnalo iešką. Daugiau informacijos ieškokite Audito įjungimas arba išjungimas

  2. Vartotojo tapatybė, vykdanti srautą, turi turėti teisę į audito žurnalus. Minimalios teisės aprašytos straipsnyje Prieš atliekant iešką audito žurnale.

  3. Jūsų nuomotojas turi turėti prenumeratą, palaikančią vieningą tikrinimo registraciją. Daugiau informacijos ieškokite Microsoft 365 saugos ir atitikties gairėse.

  4. Microsoft Entra Norint sukonfigūruoti programos registraciją, Microsoft Entra gali prireikti leidimų. Atsižvelgiant į jūsų "Entra" konfigūraciją, tai gali būti programos kūrėjo vaidmuo arba aukštesnis. Peržiūrėkite mažiausiai privilegijuotus vaidmenis pagal ID Microsoft Entra užduotį, kad gautumėte daugiau nurodymų.

Valdymo Office 365 API naudoja Microsoft Entra ID, kad teiktų autentifikavimo paslaugas, kurias galite naudoti, kad suteiktumėte savo programai teises jas pasiekti.

Microsoft Entra "Management" Office 365 API programos registracijos kūrimas

Atlikdami šiuos veiksmus nustatote Microsoft Entra programos registraciją, kuri naudojama pasirinktinėje jungtyje ir Power Automate sraute, kad būtų galima prisijungti prie audito žurnalo. Daugiau informacijos: Darbo su „Office 365“ valdymo API sąsajomis pradžia

  1. Prisijunkite prie „Azure“ portalo.

  2. Eikite į Microsoft Entra ID>Programų registracijos.

    Ekrano kopija, kurioje rodoma Microsoft Entra programos registracija.

  3. Pasirinkite + Nauja registracija.

  4. Įveskite pavadinimą (pavyzdžiui, „Microsoft 365 Management“), nekeiskite jokių kitų nustatymų, o tada pasirinkite Registruoti.

  5. Pasirinkite API teisės>+ Įtraukti teisę.

    Ekrano kopija, kurioje rodomi API leidimai – pridėkite leidimą.

  6. Rinkitės „Office 365“ valdymo API ir konfigūruoti leidimus kaip toliau parodyta:

    1. Pasirinkite Suteiktos teisės, tada – ActivityFeed.Read.

      Ekrano kopija, kurioje rodomos įgaliotosios teisės.

    2. Pasirinkite Įtraukti teises.

  7. Pasirinkite Duoti administratoriaus sutikimą (jūsų organizacija). Būtinosios sąlygos: Nuomotojo administratoriaus sutikimas taikomajai programai

    API leidimai dabar atspindi deleguotą ActivityFeed.Read su būsena Suteikta (jūsų organizacijai).

  8. Pasirinkite Sertifikatai ir paslaptys.

  9. Pasirinkite + Nauja kliento paslaptis.

  10. Įtraukite aprašą ir pabaigą (kartu su jūsų organizacijos politikomis) ir tada rinkitės Įtraukti.

  11. Paslaptį kol kas nukopijuokite ir įklijuokite į teksto dokumentą programoje „Notepad“.

  12. Pasirinkite Apžvalga ir nukopijuokite bei įklijuokite programos (kliento) ID ir katalogo (nuomotojo) ID reikšmes į tą patį teksto dokumentą; būtinai pasižymėkite, kuris GUID priklauso kuriai reikšmei. Šių reikšmių reikės atliekant kitą veiksmą, konfigūruojant pasirinktinę jungtį.

Palikite „Azure“ portalą atidarytą, nes, nustatę pasirinktinę jungtį, turėsite atlikti keletą konfigūracijos naujinimų.

Pasirinktinės jungties nustatymas

Dabar galite sukonfigūruoti ir nustatyti pasirinktinę jungtį, Office 365 kuri naudoja valdymo API.

  1. Eikite į Power Apps>Dataverse>Pasirinktinės jungtys. Čia Office 365 pateikiama valdymo API pasirinktinė jungtis. Jungtis importuojama su pagrindinių komponentų sprendimu.

  2. Pasirinkite Redaguoti.

  3. Jei nuomotojas yra komercinis nuomotojas, palikite bendrąjį puslapį taip, kaip yra.

    Svarbu

    • Jei jūsų nuomotojas yra GCC nuomotojas, pakeiskite pagrindinį kompiuterį į manage-gcc.office.com.
    • Jei jūsų nuomotojas yra nuomotojas GCC High , pakeiskite pagrindinį kompiuterį į manage.office365.us.
    • Jei jūsų nuomotojas yra DoD nuomotojas, pakeiskite pagrindinį kompiuterį į manage.protection.apps.mil.

    Daugiau informacijos rasite Veiklos API operacijos.

  4. Pasirinkite Sauga.

  5. 2.0 srities apačioje pasirinkite OAuth Redaguoti , kad redaguotumėte autentifikavimo parametrus.

    Ekrano kopija, kurioje rodoma, kaip galite redaguoti OAuth pasirinktinių jungčių skirtuko Sauga 2.0 skyrių.

  6. Pakeiskite tapatybės teikėją į Microsoft Entra ID.

    Pakeiskite tapatybės teikėją į Microsoft Entra ID.

  7. Programos (kliento) ID, kurį nukopijavote iš programos registracijos, įklijuokite į lauką Kliento ID.

  8. Kliento paslaptį, kurią nukopijavote iš programos registracijos, įklijuokite į lauką Kliento paslaptis.

  9. Lauko Nuomotojo ID nekeiskite.

  10. Palikite prisijungimo URLtokį, koks jis yra komerciniams ir GCC nuomotojams, bet GCC High DoD nuomotojui pakeiskite URL į https://login.microsoftonline.us/.

  11. Nustatykite išteklių URL:

    Nuomotojo tipas URL
    Komercinis https://manage.office.com
    GCC https://manage-gcc.office.com
    GCC High https://manage.office365.us
    DoD https://manage.protection.apps.mil

  12. Pasirinkite Naujinti jungtį.

  13. Nukopijuokite peradresavimo URL į tekstinį dokumentą, pvz., užrašinę.

Pastaba.

Jei duomenų praradimo prevencijos (DLP) strategiją sukonfigūravote savo CoE darbo pradžios rinkinio aplinkai, įtraukite šią jungtį į šios strategijos tik verslo duomenų grupę.

Atnaujinkite Microsoft Entra programos registraciją naudodami peradresavimo URL

  1. Eikite į "Azure" portalą ir savo programų registracijas.

  2. Skyriuje Apžvalga, rinkitės Įtraukti nukreiptą URI.

  3. Pasirinkite + Įtraukti platformą>Žiniatinklis.

  4. Įveskite URL, kurį nukopijavote iš pasirinktinės jungties skyriaus Peradresavimo URL.

  5. Pasirinkite Konfigūruoti.

Prenumeratos ir audito žurnalo turinio pradžia

Grįžkite į pasirinktinę jungtį, kad su ja nustatytumėte ryšį ir paleistumėte tikrinimo žurnalo turinio prenumeratą, kaip aprašyta toliau pateiktuose veiksmuose.

Svarbu

Privalote užbaigti šiuos žingsnius tolesniems darbo žingsniams. Jei nesukuriate naujo ryšio ir neišbandote jungties čia, nustatyti srautą ir antrinis srautas vėlesniais veiksmais nepavyks.

  1. Puslapyje Pasirinktinė jungtis pasirinkite Išbandyti.

  2. Pasirinkite + Naujas ryšys ir prisijunkite naudodami savo paskyrą.

  3. Dalyje Operacijos pasirinkite StartSubscription.

    Ekrano kopija, kurioje rodoma pasirinktinė jungtis Pradėti prenumeratą.

  4. Įklijuokite katalogo (nuomotojo) ID, kuris anksčiau buvo nukopijuotas iš programos registracijos apžvalgos puslapio ID dalyje Microsoft Entra , į nuomotojo lauką.

  5. Įklijuokite katalogo (nuomotojo) ID į PublisherIdentifier.

  6. Pasirinkite Išbandyti operaciją.

Turėtumėte matyti būseną „(200)“, o tai reiškia, kad užklausa buvo sėkminga.

Ekrano kopija, kurioje rodoma sėkminga būsena, grįžusi iš

Svarbu

Jei anksčiau įgalinote prenumeratą, matysite (400) The subscription is already enabled pranešimą. Tai reiškia, kad prenumerata jau sėkmingai įjungta. Nepaisykite šios klaidos ir tęskite sąranką.

Jei nematote aukščiau pateikto pranešimo arba (200) atsakymas, užklausa greičiausiai nepavyko. Gali būti, kad įvyko sąrankos klaida, dėl kurios srautas neveikia. Toliau nurodytos dažnos problemos, kurias reikia patikrinti.

  • Tapatybės teikėjas skirtuke Sauga turi būti nustatytas kaip Microsoft Entra ID.
  • Audito žurnalai turėtų būti įjungti ir jūs turite teisę juos peržiūrėti. Patikrinkite savo prieigą ieškodami atitikties tvarkytuvėje Microsoft .
  • Jei neturite teisių, žiūrėkite Prieš atliekant iešką audito žurnale.
  • Jei neseniai įjungėte audito žurnalus, pabandykite po kelių minučių dar kartą suaktyvinti audito žurnalą.
  • Nuomotojo ID iš jūsų Microsoft Entra programos registracijos turi būti teisingas.
  • Jūsų išteklių URL pabaigoje neturėtų būti pridėtų tarpų ar simbolių.
  • Peržiūrėkite, ar programos registracijos Microsoft Entra veiksmai yra teisingi.
  • Pasirinktinės jungties saugos parametrai, kaip aprašyta pasirinktinės jungties sąrankos 6 veiksme, turi būti tinkamai atnaujinti.

Jei vis tiek matote gedimų, jūsų ryšys gali būti blogos būsenos. Daugiau informacijos ieškokite Nuoseklios audito žurnalo ryšio taisymo instrukcijos.

„Power Automate“ srauto nustatymas

„Power Automate“ srautas naudoja pasirinktinę jungtį, kasdien pateikia tikrinimo žurnalo užklausas ir „Microsoft Dataverse“ lentelėje rašo „Power Apps“ paleidimo įvykius. Tada ši lentelė naudojama „Power BI“ ataskaitų srityje seansams ir unikaliems programos vartotojams pateikti.

  1. Atsisiųskite sprendimą dalyje Pagrindinių komponentų nustatymas.

  2. Eikite į make.powerapps.com.

  3. Importuokite kompetencijos centro audito žurnalų sprendimą naudodami CenterofExcellenceAuditLogs_*x_x_x_xxx*_managed.zip failą.

  4. Užmegzkite ryšius, tada suaktyvinkite savo sprendimą. Jei sukuriate naują jungtį, privalote pasirinkti Paleisti iš naujo. Jūs neprarandate importavimo eigos.

    Ekrano kopija, kurioje rodoma, kaip importuoti KC audito žurnalo komponentų sprendimą.

  5. Atidarykite Kompetencijos centras – Tikrinimo žurnalų sprendimas.

  6. Pašalinkite nevaldomas sluoksnis [antrinis] administratoriaus | Sinchronizuoti žurnalus.

  7. Pasirinkite [Antrinis] Administratorius | Sinchronizavimo žurnalai.

  8. Redaguokite dalies Tik paleidimo teisę turintys vartotojai parametrus.

    Antrinis srautas - tik vykdomi vartotojai.

  9. Office 365 Valdymo API pasirinktinės jungties reikšmę pakeiskite į Naudoti šį ryšį (userPrincipalName@company.com). Jei nėra jokių jungties ryšių, nueikite į „Dataverse“>Ryšiai ir vieną sukurkite.

    Ekrano kopija, kurioje rodoma, kur rasti pasirinkimą Konfigūruoti tik vykdomus vartotojus.

  10. Microsoft Dataverse Jei naudojate jungtį, palikite tik vykdymo teisių reikšmę tuščią ir patikrinkite, ar KC audito žurnalų – ryšio ryšio nuoroda Dataverse sukonfigūruota tinkamai. Jei ryšys rodo klaidą, atnaujinkite KC audito žurnalų ryšio nuoroda ryšio nuoroda Dataverse .

    Ekrano kopija, kurioje rodoma, kur patikrinti KC audito žurnalus - Dataverse ryšio nuoroda.

  11. Pasirinkite Įrašyti, tada uždarykite skirtuką Srauto informacija.

  12. (Pasirinktinai) Redaguokite TimeInterval-Unit ir TimeInterval-Interval aplinkos kintamuosius, kad surinktumėte mažesnes laiko dalis. Numatytoji reikšmė yra dienos padalijimas 1 į 1 valandų segmentus. Iš šio sprendimo gausite įspėjimą, jei audito žurnale nepavyksta surinkti visų duomenų su jūsų sukonfigūruotu laiko intervalu.

    Pavadinimas / vardas ir pavardė Aprašymas
    „StartTime”‑Intervalas Turi būti sveikasis skaičius, atspindintis pradžios laiką, nuo kurio nuskaitomi duomenys. Numatytoji reikšmė: 1 (vienai dienai atgal)
    „StartTime”‑vienetas Nustato, kokio senumo duomenys nuskaitote. Turi būti reikšmė iš priimamos kaip įvesties parametras norint Įtraukti į laiką . Teisinių reikšmių pavyzdžiai: Minute, Hour, Day. Numatytoji reikšmė yra Day.
    TimeInterval-Vienetas Apibrėžia laiko vienetus nuo pradžios. Turi būti reikšmė iš priimamos kaip įvesties parametras norint Įtraukti į laiką . Teisinių reikšmių pavyzdžiai: Minute, Hour, Day. Numatytoji reikšmė yra Hour.
    TimeInterval–intervalas Turi būti sveikasis skaičius, nurodantis tipo vieneto dalių skaičių. Numatytoji reikšmė yra 1 (1 valandos dalims).
    „TimeSegment-CountLimit” Turi būti sveikasis skaičius, atspindintis galimų sukurti segmentų skaičiaus ribą. Numatytoji reikšmė yra 60.

    [! ITIP] Šios numatytosios reikšmės veikia vidutinio dydžio nuomotojuje. Gali tekti kelis kartus koreguoti reikšmes, kad tai veiktų jūsų nuomotojo dydžiui.

Daugiau informacijos apie aplinkos kintamųjų naujinimą ieškokite Aplinkos kintamųjų naujinimas.

  1. Grįžę į sprendimą, įjunkite tiek [Antrinio] Administratoriaus | Sinchronizavimo žurnalų srautą, tiek Administratoriaus | Sinchronizavimo tikrinimo žurnalų srautą.

Aplinkos kintamųjų konfigūracijų pavyzdžiai

Toliau pateikiami šių reikšmių konfigūracijų pavyzdžiai.

„StartTime”‑Intervalas „StartTime”‑vienetas TimeInterval–intervalas TimeInterval-Vienetas „TimeSegment-CountLimit” Lūkesčiai
1 d. 1 val. 60 Sukurkite 24 antrinis srautus, kurie neviršija 60. Kiekvienas antrinis srautas ištraukia 1 valandą žurnalų iš pastarųjų 24 valandų.
2 d. 1 val. 60 Sukurkite 48 antrinis srautus, kurie neviršija 60. Kiekvienas antrinis srautas ištraukia 1 valandą žurnalų iš pastarųjų 48 valandų.
1 d. 5 minutė 300 Sukuria 288 antrinis srautus, kurie neviršija 300. Kiekvienas antrinis srautas ištraukia 5 minutes žurnalų iš pastarųjų 24 valandų.
1 d. 15 minutė 100 Sukurkite 96 antrinis srautus, kurie neviršija 100. Kiekvienas antrinis srautas ištraukia 15 minučių žurnalų iš pastarųjų 24 valandų.

Kaip gauti senesnius duomenis

Sukonfigūravus šis sprendimas renka programų paleidimus, tačiau nėra nustatytas rinkti istorinių programų paleidimų. Atsižvelgiant į jūsų Microsoft 365 licenciją, istoriniai duomenys pasiekiami iki vienerių metų naudojant "Purview" audito Microsoft žurnalą.

Į „CoE Starter Kit“ rinkinio lenteles galite rankiniu būdu įkelti retrospektyvinius duomenis. Norėdami gauti daugiau informacijos, žiūrėkite Kaip importuoti senus audito žurnalus.

Radau klaidą su CoE pradiniu rinkiniu. Kur turėčiau eiti?

Norėdami pateikti klaidą prieš sprendimą, eikite į aka.ms/coe-starter-kit-issues.