Udostępnij za pośrednictwem

Zbieranie dzienników audytu przy użyciu niestandardowego łącznika (wycofane)

Ważne

Korzystanie z dedykowanego rozwiązania Centrum doskonałości – dzienniki inspekcji i niestandardowego łącznika zarządzania Office 365 do zbierania zdarzeń dziennika audytu jest przestarzałe. Rozwiązanie i niestandardowy łącznik zostaną usunięte z zestawu startowego CoE w sierpniu 2023 roku. Mamy nowy przepływ, który zbiera zdarzenia dziennika audytu, który jest częścią rozwiązania Centrum doskonałości – składniki podstawowe. Ten nowy przepływ wykorzystuje łącznik HTTP. Dowiedz się więcej: Zbieraj dzienniki audytu za pomocą akcji HTTP

Przepływ synchronizacji dziennika inspekcji łączy się z dziennikiem inspekcji Microsoft 365, aby zebrać dane telemetryczne (unikatowi użytkownicy, uruchomienia) dla aplikacji. Przepływ korzysta z łącznika niestandardowego w celu połączenia się z dziennikiem inspekcji. Poniższe instrukcje konfigurują łącznik niestandardowy i przepływ.

Zestaw startowy centrum doskonałości (CoE) działa bez tego przepływu, ale informacje o użyciu (uruchomienia aplikacji, unikatowi użytkownicy) na pulpicie Power BI nawigacyjnym są wtedy puste.

Wymagania wstępne

Przed rozpoczęciem korzystania z łącznika dziennika inspekcji

  1. Łącznik dziennika inspekcji Microsoft 365 musi być włączony, jeśli wyszukiwanie dziennika inspekcji ma funkcjonować. Aby uzyskać więcej informacji, zobacz Włączanie i wyłączanie inspekcji

  2. Tożsamość użytkownika uruchamiającego przepływ musi mieć uprawnienia do dzienników inspekcji. Minimalne uprawnienia są opisane w temacie Przed przeszukaniem dziennika inspekcji.

  3. Twoja dzierżawa musi mieć subskrypcję obsługującą zunifikowane rejestrowanie inspekcji. Aby uzyskać więcej informacji, zobacz Microsoft 365 wskazówki dotyczące zabezpieczeń i zgodności.

  4. Uprawnienia Microsoft Entra mogą być wymagane do skonfigurowania rejestracji aplikacji Microsoft Entra. W zależności od konfiguracji Entra może to być rola Programista aplikacji lub wyższa. Zapoznaj się z rolami o najniższych uprawnieniach według zadania w Microsoft Entra identyfikatorze , aby uzyskać więcej wskazówek.

Interfejsy API zarządzania Office 365 umożliwiają korzystanie z usług uwierzytelniania Microsoft Entra ID w celu przyznawania użytkownikom uprawnień dostępu do aplikacji.

Utwórz rejestrację aplikacji Microsoft Entra dla interfejsu API zarządzania Office 365

Opisane kroki służą do skonfigurowania rejestracji aplikacji Microsoft Entra używanej w łączniku niestandardowym Power Automate i przepływie do łączenia się z dziennikem inspekcji. Więcej informacji: Rozpoczęcie pracy z interfejsem API zarządzania Office 365

  1. Zaloguj się do Portal Azure.

  2. Przejdź do Microsoft Entra ID>Rejestracje aplikacji.

    Zrzut ekranu przedstawiający rejestrację Microsoft Entra aplikacji.

  3. Wybierz + Nowa rejestracja.

  4. Wprowadź nazwę (na przykład Microsoft 365 Zarządzanie), nie zmieniaj żadnych innych ustawień, a następnie wybierz opcję Zarejestruj.

  5. Wybierz przycisk Uprawnienia API>Dodaj uprawnienie.

    Zrzut ekranu przedstawiający uprawnienia interfejsu API — dodaj uprawnienie.

  6. Wybierz opcję Interfejs API Office 365 Management i skonfiguruj uprawnienia w następujący sposób:

    1. Wybierz Uprawnienia delegowane, a następnie wybierz opcję ActivityFeed.Read.

      Zrzut ekranu przedstawiający delegowane uprawnienia.

    2. Wybierz Przyznaj uprawnienia.

  7. Wybierz Daj zgodę dla (twoja organizacja). Wymagania wstępne: Udziel zgody administratora dla całej dzierżawy na aplikację

    Uprawnienia API odzwierciedlają teraz uprawnienia delegowane ActivityFeed.Read ze statusem Granted for (Twoja organizacja).

  8. Wybierz opcję Certyfikaty i wpisy tajne.

  9. Wybierz pozycję + Nowe wpisy tajne klienta.

  10. Dodaj opis i zasadę wygasania (zgodnie z zasadami obowiązującymi w organizacji), a następnie wybierz przycisk Dodaj.

  11. Skopiuj i wklej Wpis tajny do dokumentu tekstowego w Notatniku.

  12. Wybierz opcję Przegląd, a następnie skopiuj i wklej wartości identyfikatorów aplikacji (klientów) i katalogów (dzierżawcy) do tego samego dokumentu tekstowego. Pamiętaj, aby zanotować, który identyfikator GUID ma odpowiedni numer. Te wartości będą potrzebne w następnym kroku podczas konfigurowania łącznika niestandardowego.

Nie zamykaj usługi Azure Portal, ponieważ po skonfigurowaniu łącznika niestandardowego trzeba będzie przeprowadzić niektóre aktualizacje konfiguracji.

Konfigurowanie niestandardowego łącznika

Teraz skonfigurujesz i skonfigurujesz łącznik niestandardowy, który korzysta z Office 365 interfejsów API zarządzania.

  1. Przejdź do obszaru Power Apps>Dataverse>Łączniki niestandardowe. Łącznik Office 365 niestandardowy interfejsu API zarządzania jest wymieniony tutaj. Łącznik jest importowany z rozwiązaniem podstawowych komponentów.

  2. Zaznacz Edytuj.

  3. Jeśli dzierżawca znajduje się w chmurze komercyjnej, pozostaw stronę Ogólne bez zmian.

    Ważne

    • Jeśli dzierżawa jest dzierżawą GCC, zmień hosta na manage-gcc.office.com.
    • Jeśli dzierżawa jest dzierżawą GCC High , zmień hosta na manage.office365.us.
    • Jeśli dzierżawa jest dzierżawą DoD, zmień hosta na manage.protection.apps.mil.

    Aby uzyskać więcej informacji, zobacz Operacje interfejsu API działania.

  4. Kliknij Zabezpieczenia.

  5. Wybierz pozycję Edytuj w dolnej części obszaru 2.0 OAuth , aby edytować parametry uwierzytelniania.

    Zrzut ekranu przedstawiający sposób edytowania OAuth sekcji 2.0 karty Zabezpieczenia łączników niestandardowych.

  6. Zmień Dostawcę tożsamości na Microsoft Entra ID.

    Zmień Dostawcę tożsamości na Microsoft Entra ID.

  7. Wklej identyfikator aplikacji (klienta), który został skopiowany z rejestracji aplikacji do pola Identyfikator klienta.

  8. Wklej wpis tajny klienta, który został skopiowany z rejestracji aplikacji do pola Wpis tajny klienta.

  9. Nie zmieniaj wartości w polu Identyfikator klienta.

  10. Pozostaw adres URL logowania bez zmian wprzypadku dzierżaw komercyjnych i GCC, ale w przypadku dzierżawy lub DoD zmień adres URL na GCC High . https://login.microsoftonline.us/

  11. Ustaw adres URL zasobu:

    Typ najemcy URL
    Komercyjne https://manage.office.com
    GCC https://manage-gcc.office.com
    GCC High https://manage.office365.us
    DoD https://manage.protection.apps.mil

  12. Wybierz pozycję Aktualizuj łącznik.

  13. Skopiuj adres URL przekierowania do dokumentu tekstowego, takiego jak Notatnik.

Notatka

Jeśli masz skonfigurowane zasady ochrony przed utratą danych (DLP) dla środowiska zestawu startowego CoE, dodaj ten łącznik do grupy tylko danych biznesowych tej zasady.

Zaktualizuj rejestrację aplikacji Microsoft Entra przy użyciu adresu URL przekierowania

  1. Przejdź do portalu Azure i rejestracji aplikacji.

  2. W obszarze Przegląd zaznacz pole wyboru Dodaj identyfikator URI przekierowania.

  3. Wybierz + Dodaj nową platformę>Web.

  4. Wprowadź adres URL, który został skopiowany z sekcji Przekierowanie adresu URL w łączniku niestandardowym.

  5. Wybierz Skonfiguruj.

Rozpoczynanie subskrypcji i zawartości dziennika inspekcji

Wróć do łącznika niestandardowego, aby skonfigurować połączenie z tym łącznikiem niestandardowym, a następnie Rozpocznij subskrypcję zawartości dziennika inspekcji, tak jak to opisano w poniższych krokach.

Ważne

Aby kolejne kroki działały, należy wykonać te kroki. Jeśli nie utworzysz nowego połączenia i nie przetestujesz łącznika w tym miejscu, skonfigurowanie przepływu i przepływu podrzędnego w późniejszych krokach zakończy się niepowodzeniem.

  1. Na stronie Łączniki niestandardowe wybierz Test.

  2. Wybierz opcję + Nowe połączenie, a następnie zaloguj się przy użyciu konta.

  3. W obszarze Operacje wybierz opcję StartSubscription.

    Zrzut ekranu przedstawiający łącznik niestandardowy Rozpocznij subskrypcję.

  4. W polu Dzierżawca wklej identyfikator Katalogu (dzierżawca) – skopiowany wcześniej ze strony przeglądowej Rejestracja aplikacji w Microsoft Entra ID.

  5. Wklej identyfikator katalogu (dzierżawcy) do identyfikatora PublisherIdentifier.

  6. Wybierz Testuj operację.

Powinien zostać wyświetlony zwracany stan (200), co oznacza, że zapytanie zakończyło się powodzeniem.

Zrzut ekranu przedstawiający pomyślny stan zwrócony z działania StartSubscription.

Ważne

Jeśli subskrypcja została wcześniej włączona, zostanie wyświetlony (400) The subscription is already enabled komunikat. Oznacza to, że subskrypcja została już pomyślnie włączona. Zignoruj ten błąd i kontynuuj instalację.

Jeśli powyższy komunikat lub odpowiedź (200) nie są widzieć, żądanie może się nie powieść. Mogą się pojawiać błędy w konfiguracji, przez co nie działa przepływ. Typowe problemy dotyczące sprawdzania są następujące:

  • Dostawca tożsamości na karcie Zabezpieczenia powinien być ustawiony na Microsoft Entra wartość Identyfikator.
  • Dzienniki inspekcji powinny być włączone i mieć uprawnienia do ich wyświetlania. Sprawdź swój dostęp, przeszukując Microsoft Menedżera zgodności.
  • Jeśli nie masz uprawnień, zobacz Przed przeszukaniem dziennika inspekcji.
  • Jeśli dzienniki inspekcji zostały włączone niedawno, spróbuj ponownie naszyć za kilka minut, aby dać czas na aktywację dziennika inspekcji.
  • Identyfikator dzierżawy z Microsoft Entra rejestracji aplikacji powinien być poprawny.
  • Adres URL zasobu nie powinien zawierać dodanych spacji ani znaków na końcu.
  • Zapoznaj się z krokami rejestracji Microsoft Entra aplikacji, aby upewnić się, że są poprawne.
  • Ustawienia zabezpieczeń łącznika niestandardowego, zgodnie z opisem w kroku 6 konfiguracji łącznika niestandardowego, powinny zostać poprawnie zaktualizowane.

Jeśli nadal występują awarie, może to oznaczać, że połączenie jest w złym stanie. Aby uzyskać więcej informacji, zobacz Instrukcje krok po kroku dotyczące naprawy połączenia dziennika inspekcji.

Konfigurowanie przepływu Power Automate

Przepływ Power Automate używa niestandardowego konektora, codziennie odpytuje dziennik audytu i zapisuje zdarzenia uruchamiania aplikacji Power Apps w tabeli Microsoft Dataverse. Ta tabela jest następnie używana na pulpicie nawigacyjnym Power BI do raportów o sesjach i unikatowych użytkownikach aplikacji.

  1. Pobierz rozwiązanie w temacie Konfigurowanie podstawowych składników.

  2. Przejdź do witryny make.powerapps.com.

  3. Zaimportuj rozwiązanie dzienników inspekcji centrum doskonałości przy użyciu CenterofExcellenceAuditLogs_*x_x_x_xxx*_managed.zip pliku.

  4. Nawiąż połączenia, a następnie aktywuj rozwiązanie. W przypadku utworzenia nowego połączenia należy wybrać opcję Odśwież. Nie utracisz postępu importu.

    Zrzut ekranu przedstawiający sposób importowania rozwiązania składników dziennika inspekcji CoE.

  5. Otwórz rozwiązanie Centrum doskonałości – rozwiązanie inspekcji dziennika.

  6. Usuń warstwę niezarządzaną z [Element podrzędny] Administracja | Synchronizuj dzienniki.

  7. Wybierz [Podrzędny] Admin | Synchronizacja logów.

  8. Dokonaj edycji ustawienia Tylko tych użytkowników.

    Przepływ podrzędny – tylko dla użytkowników

  9. W przypadku łącznika niestandardowego Office 365 Management API zmień wartość na Użyj tego połączenia (userPrincipalName@company.com). Jeśli nie ma połączenia dla żadnego z łączników, wybierz opcję Dataverse>Połączenia i utwórz je dla łącznika.

    Zrzut ekranu przedstawiający miejsce, w którym można znaleźć wybór Konfiguruj użytkowników tylko do uruchamiania.

  10. Dla łącznika Microsoft Dataverse pozostaw pustą wartość uprawnienia run-only i potwierdź, że referencja połączenia dla połączenia Dzienniki inspekcji CoE - Dataverse jest skonfigurowana prawidłowo. Jeśli połączenie wykazuje błąd, zaktualizuj odwołanie do łącznika dla Dzienników inspekcji CoE - Dataverse odniesienia do połączenia.

    Zrzut ekranu pokazujący, gdzie można sprawdzić dzienniki inspekcji CoE — Dataverse odwołanie do połączenia.

  11. Wybierz opcję Zapisz, a następnie zamknij kartę Szczegóły przepływu.

  12. (Opcjonalnie) Edytuj TimeInterval-Unit zmienne środowiskowe i TimeInterval-Interval , aby zebrać mniejsze fragmenty czasu. Wartością domyślną jest dzielenie 1 dnia na 1 segmenty godzinowe. Jeśli w dzienniku inspekcji nie można zebrać wszystkich danych ze skonfigurowanym odstępem czasu, jest odbierany alert z tego rozwiązania.

    Imię i nazwisko/nazwa Opis
    StartTime — interwał Musi być liczbą całą, aby przedstawiać czas rozpoczęcia dla określenia jak daleko wstecz rozpocząć pobieranie. Wartość domyślna: 1 (dla jednego dnia wstecz)
    StartTime-Unit Określa jednostki dla określenia, jak daleko wstecz rozpocząć pobieranie danych. Musi być wartością od przyjętą jako parametr wejściowy do Dodaj do czasu. Przykładowe wartości dozwolone: Minute, Hour, Day. Wartość domyślna to Day.
    TimeInterval-Unit Określa jednostki podziału czasu od początku. Musi być wartością od przyjętą jako parametr wejściowy do Dodaj do czasu. Przykładowe wartości dozwolone: Minute, Hour, Day. Wartość domyślna to Hour.
    TimeInterval-Interval Musi być liczbą całkowitą, aby reprezentować liczbę fragmentów jednostki typu. Wartość domyślna to 1 (dla fragmentów 1-godzinnych).
    TimeSegment — CountLimit Wartość musi być liczbą całą, aby reprezentować limit liczby fragmentów, które można utworzyć. Wartość domyślna to 60.

    [! ITIP] Te wartości domyślne działają w średniej wielkości dzierżawie. Może być konieczne wielokrotne dostosowanie wartości, aby działało to dla rozmiaru dzierżawy.

Aby uzyskać więcej informacji na temat aktualizowania zmiennych środowiskowych, zobacz Aktualizowanie zmiennych środowiskowych.

  1. Po powrocie do rozwiązania włącz zarówno [Podrzędne] Admin | Sync Logs przepływu dzienników i administratora | Synchronizuj przepływ dzienników inspekcji.

Przykładowe konfiguracje zmiennych środowiskowych

Poniżej podano przykładowe konfiguracje dla tych wartości:

StartTime-Interval StartTime-Unit TimeInterval-Interval TimeInterval-Unit TimeSegment — CountLimit Oczekiwania
1 dzień 1 godzina 60 Utwórz 24 przepływy elementu podrzędnego, co mieści się w limicie 60. Każdy przepływ podrzędny ściąga 1 godzinę dzienników z ostatnich 24 godzin.
2 dzień 1 godzina 60 Utwórz 48 przepływów elementów podrzędnych, co mieści się w limicie 60. Każdy przepływ podrzędny ściąga 1 godzinę dzienników z ostatnich 48 godzin.
1 dzień 5 min. 300 Tworzy 288 przepływów elementów podrzędnych, co mieści się w limicie 300. Każdy przepływ podrzędny pobiera 5 minut dzienników z ostatnich 24 godzin.
1 dzień 15 min. 100 Utwórz 96 przepływów elementów podrzędnych, co mieści się w limicie 100. Każdy przepływ podrzędny ściąga 15 minut dzienników z ostatnich 24 godzin.

Jak uzyskać starsze dane

Po skonfigurowaniu to rozwiązanie zbiera uruchomienia aplikacji, ale nie jest skonfigurowane do zbierania historycznych uruchomień aplikacji. W zależności od Microsoft 365 licencji dane historyczne są dostępne przez maksymalnie jeden rok przy użyciu dziennika inspekcji w ramach Microsoft usługi Purview.

Dane historycznych można ładować ręcznie do tabel zestawu CoE Starter Kit. Aby uzyskać więcej informacji, zobacz Jak zaimportować stare dzienniki inspekcji.

Znalazłem błąd w zestawie startowym CoE. Co należy robić?

Aby zgłosić usterkę względem rozwiązania, przejdź do aka.ms/coe-starter-kit-issues.