Del via

Samle revisjonslogger ved hjelp av en egendefinert kobling (avskrevet)

  • Artikkel

Viktig

Bruk av den dedikerte løsningen Center of Excellence - revisjonslogg og den egendefinerte koblingen Office 365 Management til innsamling av revisjonslogghendelser er avskrevet. Løsningen og den egendefinerte koblingen blir fjernet fra startpakken for CoE i august 2023. Vi har en ny flyt som samler inn revisjonslogghendelser, som er en del av løsningen Center of Excellence – Kjernekomponenter. Denne nye flyten bruker en HTTP-kobling. Mer informasjon: Samle revisjonslogger ved hjelp av en HTTP-handling

Flyten for synkronisering av revisjonsloggen kobles til Microsoft 365-revisjonsloggen for å samle inn telemetridata (unike brukere, starter) for apper. Flyten bruker en egendefinert kobling til å koble til revisjonsloggen. I følgende instruksjoner skal du konfigurere den egendefinerte koblingen og flyten.

Center of Excellence (CoE)-startpakken fungerer uten denne flyten, men bruksinformasjonen (appstarter, unike brukere) på Power BI instrumentbordet er da tom.

Forutsetning

Før du bruker koblingen for revisjonsloggen

  1. Søk i Microsoft 365-revisjonslogg må være aktivert for at koblingen for revisjonslogg skal fungere. Hvis du vil ha mer informasjon, se Aktivere eller deaktivere overvåking

  2. Brukeridentiteten som kjører flyten, må ha tillatelse til loggene for sporing av endringer. Minimumstillatelser er beskrevet i Før du søker i overvåkingsloggen.

  3. Leieren din må ha et abonnement som støtter enhetlig logging av sporing. Hvis du vil ha mer informasjon, kan du se Microsoft 365 veiledning for sikkerhet og samsvar.

  4. En global administrator kreves for å konfigurere Microsoft Entra-appregistreringen.

Office 365-API-ene for administrasjon bruker Microsoft Entra ID til å tilby godkjenningstjenester du kan bruke til å gi appen tilgang til dem.

Opprett en Microsoft Entra-appregistrering for Office 365-API-en for administrasjon

Du følger disse trinnene for å konfigurere en Microsoft Entra-appregistrering som brukes i en egendefinert kobling og Power Automate-flyten til å koble til revisjonsloggen. Mer informasjon: Komme i gang med Office 365-API-er for administrasjon

  1. Logg deg på Azure-portalen.

  2. Gå til Microsoft Entra ID>Appregistreringer.

    Skjermbilde som viser appregistreringen Microsoft Entra .

  3. Velg + Ny registrering.

  4. Skriv inn et navn (for eksempel Microsoft 365-administrasjon), ikke endre andre innstillinger, og velg deretter Registrer.

  5. Velg API-tillatelser>+ Legg til en tillatelse.

    Skjermbilde som viser API-tillatelser – Legg til en tillatelse.

  6. Velg API-et Office 365-administrsajon, og konfigurer deretter tillatelser slik:

    1. Velg Delegerte tillatelser, og velg deretter ActivityFeed.Read.

      Skjermbilde som viser delegerte tillatelser.

    2. Velg Legg til tillatelser.

  7. Velg Gi administratorsamtykke for (organisasjonen din). Krav: Gi administrator på hele leieren samtykke til et program

    API-tillatelsene gjenspeiler nå delegerte ActivityFeed.Read med statusen Tildelt for (organisasjonen din).

  8. Velg Sertifikater og hemmeligheter.

  9. Velg + Ny klienthemmelighet.

  10. Legg til en beskrivelse og utløpsdato (i tåd med organisasjonens policyer), og velg deretter Legg til.

  11. Du kan kopiere og lime inn hemmeligheten i et tekstdokument i Notisblokk for øyeblikket.

  12. Velg Oversikt, og kopier og lim inn verdiene for app-ID (klient) og katalog-ID (leier) i det samme tekstdokumentet. Pass på at du noterer hvilken GUID som gjelder for hvilken verdi. Du trenger disse verdiene i neste trinn når du konfigurerer den egendefinerte koblingen.

La Azure-portalen være åpen, fordi du må gjøre noen konfigurasjonsoppdateringer etter at du har konfigurert den egendefinerte koblingen.

Konfigurere den egendefinerte koblingen

Nå konfigurerer og konfigurerer du en egendefinert kobling som bruker administrasjons-API-ene Office 365 .

  1. Gå til Power Apps>Dataverse>Egendefinerte koblinger. Den Office 365 egendefinerte koblingen for administrasjons-API er oppført Her. Koblingen importeres med kjernekomponentløsningen.

  2. Velg Rediger.

  3. Hvis leieren din er i en kommersiell leier, lar du Generell-siden være som den er.

    Viktig!

    • Hvis leieren er en GCC-leier, endrer du verten til manage-gcc.office.com.
    • Hvis leieren er en leier, endrer du verten GCC High til manage.office365.us.
    • Hvis leieren er en DoD-leier, endrer du verten til manage.protection.apps.mil.

    Hvis du vil ha mer informasjon, kan du se Aktivitets-API-operasjoner.

  4. Velg Sikkerhet.

  5. Velg Rediger nederst i OAuth 2.0-området for å redigere godkjenningsparameterne.

    Skjermbilde som viser hvordan du kan redigere OAuth 2.0-delen av Sikkerhet-fanen i Egendefinerte koblinger.

  6. Endre Identitetsleverandør til Microsoft Entra ID.

    Endre identitetsleverandøren til Microsoft Entra ID.

  7. Lim inn app-ID-en (klient) du kopierte fra appregistreringen, i Klient-ID.

  8. Lim inn klienthemmeligheten du kopierte fra appregistreringen, i Klienthemmelighet.

  9. Ikke endre Leier-ID.

  10. La påloggings-URL-adressen være som den er for kommersielle og GCC-leiere, men for en eller DoD-leier GCC High endrer du URL-adressen til https://login.microsoftonline.us/.

  11. Angi URL-adressen for ressursen:

    Type leier URL
    Kommersiell https://manage.office.com
    GCC https://manage-gcc.office.com
    GCC High https://manage.office365.us
    DoD https://manage.protection.apps.mil

  12. Velg Oppdater kobling.

  13. Kopier URL-adressen for omadressering til et tekstdokument, for eksempel Notisblokk.

Merk

Hvis du har konfigurert en policy for hindring av datatap (DLP) for CoE-startpakkemiljøet, legger du til denne koblingen i gruppen bare for forretningsdata i denne policyen.

Oppdatere Microsoft Entra-appregistrering med URL-adressen for omadressering

  1. Gå til Azure-portalen og appregistreringene dine.

  2. Under Oversikt velger du Legg til en URI for omdirigering.

  3. Velg + Legg til en plattform>Web.

  4. Skriv inn URL-adressen du kopierte fra delen URL-adresse for omdirigering i den egendefinerte koblingen.

  5. Velg Konfigurer.

Starte et abonnement og overvåke logginnhold

Gå tilbake til den egendefinerte koblingen for å konfigurere en tilkobling til den egendefinerte koblingen, og start et abonnement på innholdet i revisjonsloggen, slik det er beskrevet i følgende trinn.

Viktig

Du må fullføre disse trinnene for at de etterfølgende trinnene skal fungere. Hvis du ikke oppretter en ny tilkobling og tester koblingen Her, mislykkes konfigurasjonen av flyten og den underordnet flyten i senere trinn.

  1. På siden Egendefinert kobling velger du Test.

  2. Velg + Ny tilkobling, og logg deg på med kontoen din.

  3. Under Operasjoner velger du Start abonnement.

    Skjermbilde som viser den egendefinerte koblingen Start abonnement.

  4. Lim inn katalog-ID-en (leier-ID-en) – som ble kopiert tidligere fra oversiktssiden Appregistrering i Microsoft Entra ID – i feltet Leier.

  5. Lim inn katalog-ID-en (leier-ID-en) i PublisherIdentifier.

  6. Velg Testoperasjon.

Du skal se en (200) status returnert, noe som betyr at spørringen var vellykket.

Skjermbilde som viser en vellykket status returnert fra StartSubscription-aktiviteten.

Viktig!

Hvis du tidligere har aktivert abonnementet, ser du en (400) The subscription is already enabled melding. Dette betyr at abonnementet allerede er aktivert. Ignorer denne feilen og fortsett med oppsettet.

Hvis du ikke ser meldingen ovenfor eller et (200) svar, mislyktes forespørselen sannsynligvis. Der kan være en feil med oppsettet som hindrer flyten i å fungere. Vanlige problemer som må sjekkes:

  • Identitetsleverandøren i kategorien Sikkerhet skal være satt til Microsoft Entra ID.
  • Logger for sporing av endringer skal være aktivert, og du har tillatelse til å vise dem. Kontroller tilgangen din ved å søke i Microsoft Samsvarsbehandling.
  • Hvis du ikke har tillatelser, kan du se Før du søker i overvåkingsloggen.
  • Hvis du nylig har aktivert overvåkingsloggene, kan du prøve å søke på nytt om noen minutter for å gi overvåkingsloggen tid til å aktivere.
  • Leier-ID-en fra Microsoft Entra appregistreringen skal være riktig.
  • URL-adressen til ressursen skal ikke ha mellomrom eller tegn på slutten.
  • Se gjennom trinnene i appregistreringen Microsoft Entra for å se om de er korrekte.
  • Sikkerhetsinnstillingene for den egendefinerte koblingen, som beskrevet i trinn 6 i oppsettet av den egendefinerte koblingen, bør oppdateres på riktig måte.

Hvis du fortsatt ser feil, kan tilkoblingen være i en dårlig tilstand. Hvis du vil ha mer informasjon, kan du se Trinnvise instruksjoner for å reparere tilkoblingen til overvåkingsloggen.

Konfigurere Power Automate-flyten

En Power Automate-flyt bruker den egendefinerte koblingen, spør loggen for sporing av endringer daglig og skriver inn Power Apps- lanseringshendelsene til en Microsoft Dataverse-tabell. Denne tabellen brukes deretter i Power BI-instrumentbordet til å rapportere om økter og unike brukere av en app.

  1. Last ned løsningen i Konfigurere kjernekomponenter.

  2. Gå til make.powerapps.com.

  3. Importer løsningen for Center of Excellence-revisjonslogger ved hjelp av CenterofExcellenceAuditLogs_*x_x_x_xxx*_managed.zip filen.

  4. Opprett tilkoblinger, og aktiver deretter løsningen. Hvis du oppretter en ny tilkobling, må du velge Oppdater. Du mister ikke importfremdriften.

    Skjermbilde som viser hvordan du importerer løsningen for CoE-revisjonsloggkomponenter.

  5. Åpne Center of Excellence – revisjonsloggløsning.

  6. Fjern det uadministrerte laget fra [Underordnet] Administrator | Synkroniseringslogger.

  7. Velg [Underordnet] Administrator | Synkroniseringslogger.

  8. Rediger innstillingene for Brukere som bare kan kjøre.

    Underordnet flyt – brukere som bare kan kjøre.

  9. For den egendefinerte koblingen for API for Office 365 Management endrer du verdien til Bruk denne tilkoblingen (userPrincipalName@company.com). Hvis det ikke er noen tilkobling for noen av koblingene, går du til Dataverse>Tilkoblinger og oppretter en for koblingen.

    Skjermbilde som viser hvor du finner valget Konfigurer bare kjørebrukere.

  10. For Microsoft Dataverse-koblingen lar du tillatelsesverdien for kun kjøring være tom, og bekreft at tilkoblingsreferansen for koblingen CoE-revisjonslogger - Dataverse er konfigurert korrekt. Hvis tilkoblingen viser en feil, må du oppdatere tilkoblingsreferansen for CoE-revisjonslogger - Dataverse-tilkoblingsreferansen.

    Skjermbilde som viser hvor du kan kontrollere CoE-revisjonsloggene - Dataverse tilkoblingsreferanse.

  11. Velg Lagre, og lukk deretter kategorien Flytdetaljer.

  12. (Valgfritt) Rediger og TimeInterval-Unit miljøvariablene TimeInterval-Interval for å samle inn Mindre tidsbiter. Standardverdien er å dele 1 dag i 1 timesegmenter. Du mottar et varsel fra denne løsningen hvis loggen for sporing av endringer ikke kan samle inn alle dataene med det konfigurerte tidsintervallet.

    Navn Beskrivelse
    StartTime-Interval Må være et heltall for å representere starttiden for hvor langt tilbake du kan hente det. Standardverdi: 1 (for én dag tilbake)
    StartTime-Unit Bestemmer enheter for hvor langt tilbake i tid det skal gå for å hente data. Må være en verdi fra godtatt som inndataparameter til Legg til i klokkeslett. Eksempel på juridiske verdier: Minute, Hour,. Day Standardverdien er Day.
    TimeInterval-Unit Bestemmer enheter for å dele inn tiden fra start. Må være en verdi fra godtatt som inndataparameter til Legg til i klokkeslett. Eksempel på juridiske verdier: Minute, Hour,. Day Standardverdien er Hour.
    TimeInterval-Interval Må være et heltall for å representere antall deler av typen enhet. Standardverdien er 1 (for 1-times biter).
    TimeSegment-CountLimit Må være et heltall for å representere grensen for antall biter som kan opprettes. Standardverdien er 60.

    [! ITIP] Disse standardverdiene fungerer i en mellomstor leier. Det kan hende du må justere verdiene flere ganger for at dette skal fungere for leierstørrelsen.

Hvis du vil ha mer informasjon om oppdatering av miljøvariabler, kan du se Oppdatere miljøvariabler.

  1. Gå tilbake til løsningen, og aktiver både flyten [Underordnet] Administrator | Synkroniser logger og flyten Administrator | Synkroniser revisjonslogger.

    Skjermbilde som viser hvordan du aktiverer flyter for overvåkingslogg.

Eksempelkonfigurasjoner for miljøvariabler

Her er eksempler på konfigurasjoner for disse verdiene:

StartTime-Interval StartTime-Unit TimeInterval-Interval TimeInterval-Unit TimeSegment-CountLimit Forventning
1 dag 1 time 60 Opprett 24 underordnede flyter, som er innenfor grensen på 60. Hver underordnet flyt trekker tilbake 1 time med logger fra de siste 24 timene.
2 dag 1 time 60 Opprett 48 underordnede flyter, som er innenfor grensen på 60. Hver underordnet flyt trekker tilbake 1 time med logger fra de siste 48 timene.
1 dag Fem minutt 300 Oppretter 288 underordnede flyter, som er innenfor grensen på 300. Hver underordnet flyt trekker tilbake 5 minutter med logger fra de siste 24 timene.
1 dag 15 minutt 100 Opprett 96 underordnede flyter, som er innenfor grensen på 100. Hver underordnet flyt trekker tilbake 15 minutter med logger fra de siste 24 timene.

Slik skaffer du deg eldre data

Når den er konfigurert, samler denne løsningen inn applanseringer, men er ikke konfigurert til å samle inn historiske applanseringer. Avhengig av lisensen Microsoft 365 erhistoriske data tilgjengelige i opptil ett år ved hjelp av overvåkingsloggen i Microsoft Purview.

Du kan laste inn historiske data manuelt i tabellene i CoE-startpakken. Hvis du vil ha mer informasjon, kan du se Slik importerer du gamle overvåkingslogger.

Jeg fant en feil med CoE-startpakken. Hvor skal jeg gå?

Hvis du vil rapportere en feil mot løsningen, går du til aka.ms/coe-starter-kit-issues.