Zbieranie dzienników inspekcji przy użyciu akcji HTTP
Przepływy synchronizacji dziennika inspekcji łączą się z Office 365 dokumentacją interfejsu API działań zarządzania w celu zbierania danych telemetrycznych, takich jak unikatowi użytkownicy i uruchomienia aplikacji. Przepływy używają akcji HTTP, aby uzyskać dostęp do API. W tym artykule skonfigurujesz rejestrację aplikacji dla akcji HTTP i zmiennych środowiskowych potrzebnych do uruchomienia przepływów.
Uwaga
Zestaw startowy centrum doskonałości (CoE) działa bez tych przepływów, ale informacje o użyciu, takie jak uruchomienia aplikacji i unikatowi użytkownicy, na pulpicie Power BI nawigacyjnym są puste.
Wymagania wstępne
- Wypełnij artykuły Przed skonfigurowaniem zestawu startowego CoE i Konfigurowanie składników inwentaryzacji.
- Skonfiguruj swoje środowisko.
- Zaloguj się przy użyciu poprawnej tożsamości.
Porada
Skonfiguruj przepływy dziennika inspekcji tylko wtedy, gdy wybrano przepływy w chmurze jako mechanizm spisu i telemetrii.
Przed skonfigurowaniem przepływów dziennika inspekcji
- Łącznik dziennika inspekcji Microsoft 365 musi być włączony, jeśli wyszukiwanie dziennika inspekcji ma funkcjonować. Aby uzyskać więcej informacji, zobacz Włączanie i wyłączanie przeszukiwania dziennika inspekcji.
- Twoja dzierżawa musi mieć subskrypcję obsługującą zunifikowane rejestrowanie inspekcji. Aby uzyskać więcej informacji, zobacz Dostępność Centrum zabezpieczeń i zgodności dla planów biznesowych i korporacyjnych.
- Do skonfigurowania rejestracji aplikacji Microsoft Entra jest wymagany administrator globalny.
Uwaga
Interfejsy API zarządzania Office 365 umożliwiają korzystanie z usług uwierzytelniania Microsoft Entra ID w celu przyznawania użytkownikom uprawnień dostępu do aplikacji.
Utwórz rejestrację aplikacji Microsoft Entra dla interfejsu API zarządzania Office 365
Korzystając z tych kroków, można skonfigurować rejestrację aplikacji Microsoft Entra dla wywołania HTTP w przepływie Power Automate, aby połączyć się z dziennikiem inspekcji. Aby uzyskać więcej informacji, zobacz Wprowadzenie do interfejsów Office 365 API zarządzania.
Zaloguj się do Portal Azure.
Wybierz + Nowa rejestracja.
Wprowadź nazwę, taką jak Microsoft 365 Zarządzanie, ale nie zmieniaj żadnych innych ustawień, a następnie wybierz pozycję Zarejestruj.
Wybierz opcję Interfejs API Office 365 Management i skonfiguruj uprawnienia w następujący sposób:
Wybierz Daj zgodę dla (twoja organizacja). Aby skonfigurować zawartość administracyjną, zobacz Udzielanie zgody administratora dla całej dzierżawy na aplikację.
Uprawnienia API odzwierciedlają teraz uprawnienia delegowane ActivityFeed.Read ze statusem Granted for (Twoja organizacja).
Wybierz opcję Certyfikaty i wpisy tajne.
Wybierz pozycję + Nowe wpisy tajne klienta.
Dodaj opis i zasadę wygasania (zgodnie z zasadami obowiązującymi w organizacji), a następnie wybierz przycisk Dodaj.
Skopiuj i wklej identyfikator aplikacji (klienta) do dokumentu tekstowego, takiego jak Notatnik.
Wybierz Przegląd i skopiuj oraz wklej wartości ID aplikacji (klienta) i ID katalogu (dzierżawy) do tego samego dokumentu tekstowego. Pamiętaj, aby zanotować, który identyfikator GUID odpowiada której wartości. Te wartości są potrzebne podczas konfigurowania łącznika niestandardowego.
Aktualizacja zmiennych środowiskowych
Zmienne środowiskowe są używane do przechowywania identyfikatora klienta i wpisu tajnego dla rejestracji aplikacji. Zmienne są również używane do przechowywania punktów końcowych usługi odbiorców i urzędu, w zależności od chmury (komercyjnej, GCC, GCC High DoD) dla akcji HTTP. Zaktualizuj zmienne środowiska przed włączeniem przepływów.
Klucz tajny klienta można przechowywać w postaci zwykłego tekstu w zmiennej środowiskowej Dzienniki inspekcji — klucz tajny klienta, co nie jest zalecane. Zamiast tego zalecamy utworzenie i zapisanie klucza tajnego klienta w usłudze Azure Key Vault i odwołanie się do niego w zmiennej środowiskowej Dzienniki inspekcji — wpis tajny klienta platformy Azure.
Uwaga
Przepływ korzystający z tej zmiennej środowiskowej jest skonfigurowany z warunkiem oczekiwania na zmienną środowiskową Dzienniki inspekcji - klucz tajny lub Dzienniki inspekcji - klucz tajny Azure. Nie musisz jednak edytować przepływu, aby pracować z usługą Azure Key Vault.
Nazwa/nazwisko | Podpis | Wartości |
---|---|---|
Dzienniki inspekcji – odbiorcy | Parametr odbiorcy dla wywołań HTTP | Komercyjne (domyślnie): https://manage.office.com GCC: https://manage-gcc.office.com GCC High: https://manage.office365.us Dod: https://manage.protection.apps.mil |
Dzienniki inspekcji – uprawnienia | Pole autorytetu w wywołaniach HTTP | Komercyjne (domyślnie): https://login.windows.net GCC: https://login.windows.net GCC High: https://login.microsoftonline.us Dod: https://login.microsoftonline.us |
Dzienniki inspekcji – ClientID | Identyfikator klienta rejestracji aplikacji | Identyfikator klienta aplikacji pochodzi z kroku Tworzenie Microsoft Entra rejestracji aplikacji dla Office 365 interfejsu API zarządzania. |
Dzienniki inspekcji – klucz tajny klienta | Klucz tajny klienta rejestracji aplikacji (nie identyfikator wpisu tajnego, ale rzeczywista wartość) w postaci zwykłego tekstu | Klucz tajny klienta aplikacji pochodzi z kroku Tworzenie Microsoft Entra rejestracji aplikacji dla Office 365 interfejsu API zarządzania. Pozostaw puste, jeśli używasz Azure Key Vault do przechowywania identyfikatora klienta i klucza tajnego. |
Dzienniki inspekcji – klucz tajny Azure klienta | Dokumentacja klucza tajnego klienta rejestracji aplikacji w usłudze Azure Key Vault | Dokumentacja usługi Azure Key Vault dla wpisu tajnego klienta aplikacji pochodzi z kroku Tworzenie Microsoft Entra rejestracji aplikacji dla Office 365 interfejsu API zarządzania. Pozostaw puste, jeśli identyfikator klienta jest zapisywany jako zwykły tekst w zmiennej środowiskowej Dzienniki inspekcji – klucz tajny. Ta zmienna oczekuje odwołania do usługi Azure Key Vault, a nie wpisu tajnego. Aby uzyskać więcej informacji, zobacz Używanie wpisów tajnych usługi Azure Key Vault w zmiennych środowiskowych. |
Rozpoczynanie subskrypcji na zawartość dziennika inspekcji
- Przejdź do witryny make.powerapps.com.
- Wybierz Rozwiązania.
- Przejdź do rozwiązania Centrum doskonałości – składniki podstawowe.
- Włączanie aplikacji Administracja | Dzienniki audytu | Office 365 Przepływ subskrypcji interfejsu API zarządzania i uruchom go, wprowadź start jako operację do uruchomienia.
- Otwórz przepływ i sprawdź, czy akcja uruchamiania subskrypcji została przekazana.
Ważne
Jeśli subskrypcja została wcześniej włączona, zostanie wyświetlony komunikat ( 400) Subskrypcja jest już włączona . Oznacza to, że subskrypcja została pomyślnie włączona w przeszłości. Możesz zignorować ten komunikat i kontynuować instalację. Jeśli nie widzisz powyższego komunikatu lub (200) odpowiedzi, prawdopodobnie żądanie nie powiodło się. Być może wystąpił błąd w konfiguracji, który uniemożliwia działanie przepływu. Typowe problemy dotyczące sprawdzania są następujące:
- Czy dzienniki inspekcji są włączone i czy masz uprawnienia do wyświetlania dzienników inspekcji? Przetestuj, czy dzienniki są włączone, wyszukując w Menedżerze zgodności firmyMicrosoft.
- Czy dziennik inspekcji został ostatnio włączony? W takim przypadku należy ponowić próbę za kilka minut, aby dać czas na aktywację dziennika inspekcji.
- Sprawdź, czy pozostało poprawnie po wykonaniu procedury w rejestracji aplikacji Microsoft Entra.
- Weryfikacja poprawności aktualizacji zmiennych środowiskowych dla tych przepływów.
Włączanie przepływów
- Przejdź do witryny make.powerapps.com.
- Wybierz Rozwiązania.
- Przejdź do rozwiązania Centrum doskonałości – składniki podstawowe.
- Włączanie aplikacji Administracja | Dzienniki audytu | Przepływ aktualizacji danych (V2). Ten przepływ aktualizuje tabelę PowerApps o informacje o ostatnim uruchomieniu i dodaje metadane do rekordów dzienników inspekcji.
- Włączanie aplikacji Administracja | Dzienniki audytu | Przepływ synchronizowania dzienników inspekcji (V2). Ten przepływ jest uruchamiany zgodnie z harmonogramem godzinowym i zbiera zdarzenia z dziennika inspekcji do tabeli dziennika inspekcji.
Jak uzyskać starsze dane
To rozwiązanie zbiera uruchomienia aplikacji po skonfigurowaniu, ale nie jest skonfigurowane do zbierania historycznych uruchomień aplikacji. W zależności od Microsoft 365 licencji dane historyczne są dostępne przez maksymalnie jeden rok przy użyciu dziennika inspekcji w usłudze Microsoft Purview.
Dane historyczne można załadować do tabel zestawu startowego CoE ręcznie, korzystając z jednego z przepływów w rozwiązaniu.
Uwaga
Użytkownik pobierający dzienniki inspekcji musi mieć do nich uprawnienia. Aby uzyskać więcej informacji, zobacz Przed przeszukaniem dzienników inspekcji.
Przejdź do Wyszukiwanie dziennika inspekcji.
Wyszukaj aktywność Uruchomiona aplikacja w dostępnym zakresie dat.
Po uruchomieniu wyszukiwania wybierz pozycję Eksportuj , aby pobrać wyniki.
Przejdź do tego przepływu w podstawowym rozwiązaniu: Administrator | Dzienniki audytu | Wczytaj zdarzenia z wyeksportowanego pliku CSV dziennika audytu.
Włącz przepływ i uruchom go, wybierając pobrany plik dla parametru CSV dziennika inspekcji.
Uwaga
Jeśli po wybraniu opcji Importuj nie widzisz wczytywania pliku, może to oznaczać, że przekroczy on dozwolony rozmiar zawartości dla tego wyzwalacza. Spróbuj rozsyłać plik na mniejsze pliki (50 000 wierszy na plik) i uruchom przepływ jeden na plik. Przepływ można uruchomić dla wielu plików.
Po zakończeniu te dzienniki są uwzględniane w telemetrii. Lista ostatnio uruchomionych aplikacji jest aktualizowana, jeśli zostaną znalezione nowsze uruchomienia.
Rozwiązywanie problemów
Uprawnienia API
Przejdź do rejestracji aplikacji i sprawdź, czy masz odpowiednie uprawnienia interfejsu API. Rejestracja aplikacji wymaga uprawnień aplikacji, które nie są delegowane. Sprawdź, czy stan to Przyznano.
Zmienna środowiskowa wpisu tajnego — wpis tajny platformy Azure
Jeśli używasz wartości klucza platformy Azure do przechowywania wpisu tajnego rejestracji aplikacji, sprawdź, czy uprawnienia usługi Azure Key Vault są poprawne. Użytkownik musi być w roli użytkownika klucza tajnego Key Vault, aby odczytywać, i w roli współautora Key Vault, aby aktualizować.
Jeśli masz inne problemy z usługą Azure Key Vault dotyczące zapory, statycznych adresów IP dla Dataverse środowiska lub innych podobnych problemów z funkcjami, skontaktuj się z pomocą techniczną produktu, aby je rozwiązać.
Tajna zmienna środowiskowa — zwykły tekst
Jeśli używasz zwykłego tekstu do przechowywania wpisu tajnego rejestracji aplikacji, sprawdź, czy została wprowadzona wartość wpisu tajnego, a nie identyfikator wpisu tajnego. Wartość wpisu tajnego jest dłuższym ciągiem z większym zestawem znaków niż identyfikator GUID, na przykład ciąg może zawierać znaki tyldy.
Znalazłem błąd w zestawie startowym CoE. Co należy robić?
Aby zgłosić usterkę względem rozwiązania, przejdź do aka.ms/coe-starter-kit-issues.