Share via

Zbieranie dzienników audytu przy użyciu niestandardowego łącznika (wycofane)

  • Artykuł

Ważne

Korzystanie z dedykowanego rozwiązania Centrum doskonałości – dzienniki inspekcji i niestandardowego łącznika zarządzania Office 365 do zbierania zdarzeń dziennika audytu jest przestarzałe. Rozwiązanie i niestandardowy łącznik zostaną usunięte z zestawu startowego CoE w sierpniu 2023 roku.

Mamy nowy przepływ, który zbiera zdarzenia dziennika audytu, który jest częścią rozwiązania Centrum doskonałości – składniki podstawowe. Ten nowy przepływ wykorzystuje łącznik HTTP. Dowiedz się więcej: Zbieraj dzienniki audytu za pomocą akcji HTTP

Przepływ synchronizacji dziennika inspekcji łączy się z dziennikiem inspekcji Microsoft 365, aby zebrać dane telemetryczne (unikatowi użytkownicy, uruchomienia) dla aplikacji. Przepływ korzysta z łącznika niestandardowego w celu połączenia się z dziennikiem inspekcji. Poniższe instrukcje konfigurują łącznik niestandardowy i przepływ.

Pakiet startowy Centrum doskonałości (CoE) działa bez tego przepływu. Jednak informacje dotyczące użycia (uruchamiania aplikacji, unikatowi użytkownicy) na pulpicie nawigacyjnym Power BI będą puste.

Ważne

Przed rozpoczęciem konfigurowania opisanego w tym artykule wykonaj instrukcje z tematów Przed skonfigurowaniem zestawu startowego dla CoE i Konfigurowanie składników zapasów. W tym artykule o założono, że użytkownik ma konfigurację środowiska i jest zalogowany przy użyciu poprawnej tożsamości.

Skonfiguruj rozwiązanie Dziennik inspekcji tylko wtedy, gdy wybrano przepływy w chmurze jako mechanizmu zapasów i telemetrii.

Zobacz przewodnik, jak skonfigurować łącznik dziennika kontroli.

Przed rozpoczęciem korzystania z łącznika dziennika inspekcji

  1. Łącznik dziennika inspekcji Microsoft 365 musi być włączony, jeśli wyszukiwanie dziennika inspekcji ma funkcjonować. Więcej informacji: Włączanie i wyłączanie wyszukiwania dziennika inspekcji

  2. Tożsamość użytkownika uruchamiającego przepływ musi mieć uprawnienia do dzienników inspekcji. Minimalne uprawnienia dotyczące tej funkcji są opisane tutaj: Zanim przeszukasz dzienniki inspekcji

  3. Twoja dzierżawa musi mieć subskrypcję obsługującą zunifikowane rejestrowanie inspekcji. Więcej informacji: Dostępność Centrum zabezpieczeń i zgodności dla planów biznesowych i enterprise

  4. Do skonfigurowania rejestracji aplikacji Microsoft Entra jest wymagany administrator globalny.

Interfejsy API zarządzania Office 365 umożliwiają korzystanie z usług uwierzytelniania Microsoft Entra ID w celu przyznawania użytkownikom uprawnień dostępu do aplikacji.

Utwórz rejestrację aplikacji Microsoft Entra dla interfejsu API zarządzania Office 365

Opisane kroki służą do skonfigurowania rejestracji aplikacji Microsoft Entra używanej w łączniku niestandardowym Power Automate i przepływie do łączenia się z dziennikem inspekcji. Więcej informacji: Rozpoczęcie pracy z interfejsem API zarządzania Office 365

  1. Zaloguj się na portal.azure.com.

  2. Przejdź do Microsoft Entra ID>Rejestracje aplikacji.

    Rejestracja aplikacji platformy Microsoft Entra.

  3. Wybierz + Nowa rejestracja.

  4. Wprowadź nazwę (na przykład Microsoft 365 Zarządzanie), nie zmieniaj żadnych innych ustawień, a następnie wybierz opcję Zarejestruj.

  5. Wybierz przycisk Uprawnienia API>Dodaj uprawnienie.

    Uprawnienia API - Dodaj uprawnienie.

  6. Wybierz opcję Interfejs API Office 365 Management i skonfiguruj uprawnienia w następujący sposób:

    1. Wybierz Uprawnienia delegowane, a następnie wybierz opcję ActivityFeed.Read.

      Delegowane uprawnień.

    2. Wybierz Przyznaj uprawnienia.

  7. Wybierz Daj zgodę dla (twoja organizacja). Wymagania wstępne: Udziel zgody administratora dla całej dzierżawy na aplikację

    Uprawnienia API odzwierciedlają teraz uprawnienia delegowane ActivityFeed.Read ze statusem Granted for (Twoja organizacja).

  8. Wybierz opcję Certyfikaty i wpisy tajne.

  9. Wybierz pozycję + Nowe wpisy tajne klienta.

    Nowy wpis tajny klienta.

  10. Dodaj opis i zasadę wygasania (zgodnie z zasadami obowiązującymi w organizacji), a następnie wybierz przycisk Dodaj.

  11. Skopiuj i wklej Wpis tajny do dokumentu tekstowego w Notatniku.

  12. Wybierz opcję Przegląd, a następnie skopiuj i wklej wartości identyfikatorów aplikacji (klientów) i katalogów (dzierżawcy) do tego samego dokumentu tekstowego. Pamiętaj, aby zanotować, który identyfikator GUID ma odpowiedni numer. Te wartości będą potrzebne w następnym kroku podczas konfigurowania łącznika niestandardowego.

Nie zamykaj usługi Azure Portal, ponieważ po skonfigurowaniu łącznika niestandardowego trzeba będzie przeprowadzić niektóre aktualizacje konfiguracji.

Konfigurowanie niestandardowego łącznika

Teraz skonfigurujesz łącznik niestandardowy, który korzysta z interfejsów API zarządzania Office 365.

  1. Przejdź do obszaru Power Apps>Dataverse>Łączniki niestandardowe. Łącznik niestandardowy interfejsu API Office 365 zarządzania zostanie wyświetlony na liście w tym miejscu, ale został zaimportowany wraz z głównym rozwiązaniem.

  2. Zaznacz Edytuj.

  3. Jeśli dzierżawca znajduje się w chmurze komercyjnej, pozostaw stronę Ogólne bez zmian.

    Ważne

    • Jeśli Twój najemca jest najemcą o poziomie GCC, zmień hosta na manage-gcc.office.com.
    • Jeśli Twój najemca jest najemcą o poziomie GCC High, zmień hosta na manage.office365.us.
    • Jeśli Twój najemca jest najemcą DoD, zmień host na manage.protection.apps.mil.

    Więcej informacji: Aktywność działań API

  4. Kliknij Zabezpieczenia.

  5. Wybierz Edytuj u dołu obszaru OAuth 2,0, aby edytować parametry uwierzytelniania.

    Edytuj konfigurację OAuth.

  6. Zmień Dostawcę tożsamości na Microsoft Entra ID.

    Zmień Dostawcę tożsamości na Microsoft Entra ID.

  7. Wklej identyfikator aplikacji (klienta), który został skopiowany z rejestracji aplikacji do pola Identyfikator klienta.

  8. Wklej wpis tajny klienta, który został skopiowany z rejestracji aplikacji do pola Wpis tajny klienta.

  9. Nie zmieniaj wartości w polu Identyfikator klienta.

  10. Pozostaw adres URL logowania bez zmian dla dzierżaw komercyjnych i GCC i zmień go na https://login.microsoftonline.us/ dla dzierżawy GCC High lub DoD.

  11. Ustaw adres URL zasobu na https://manage.office.com dla dzierżawcy komercyjnego, https://manage-gcc.office.com dla dzierżawcy GCC, https://manage.office365.us dla dzierżawcy GCC High i https://manage.protection.apps.mil dla dzierżawcy DoD.

  12. Wybierz pozycję Aktualizuj łącznik.

  13. Skopiuj Adres URL przekierowania do dokumentu tekstowego w Notatniku.

Uwaga

Jeśli masz skonfigurowaną zasadę zapobiegania utracie danych (DLP) dla środowiska CoE Starter Kit, musisz dodać to łącznik do grupy tej zasady — obejmującej tylko dane biznesowe.

Zaktualizuj rejestrację aplikacji Microsoft Entra przy użyciu adresu URL przekierowania

  1. W portalu Azure przejdź do rejestracji swojej aplikacji.

  2. W obszarze Przegląd zaznacz pole wyboru Dodaj identyfikator URI przekierowania.

  3. Wybierz + Dodaj nową platformę>Web.

  4. Wprowadź adres URL, który został skopiowany z sekcji Przekierowanie adresu URL w łączniku niestandardowym.

  5. Wybierz Skonfiguruj.

Rozpoczynanie subskrypcji na zawartość dziennika inspekcji

Wróć do łącznika niestandardowego, aby skonfigurować połączenie z tym łącznikiem niestandardowym, a następnie Rozpocznij subskrypcję zawartości dziennika inspekcji, tak jak to opisano w poniższych krokach.

Ważne

Aby kolejne kroki działały, należy wykonać te kroki. Jeśli nie utworzysz nowego połączenia i przetestujsz tutaj łącznik, skonfigurowanie przepływu i przepływu podrzędnego w kolejnych krokach zakończy się niepowodzeniem.

  1. Na stronie Łączniki niestandardowe wybierz Test.

  2. Wybierz opcję + Nowe połączenie, a następnie zaloguj się przy użyciu konta.

  3. W obszarze Operacje wybierz opcję StartSubscription.

    Uruchamianie subskrypcji łącznika niestandardowego.

  4. W polu Dzierżawca wklej identyfikator Katalogu (dzierżawca) – skopiowany wcześniej ze strony przeglądowej Rejestracja aplikacji w Microsoft Entra ID.

  5. Wklej identyfikator katalogu (dzierżawcy) do identyfikatora PublisherIdentifier.

  6. Wybierz Testuj operację.

Powinien zostać wyświetlony zwracany stan (200), co oznacza, że zapytanie zakończyło się powodzeniem.

Stan udany jest zwracany z działania StartSubscription.

Ważne

Jeśli wcześniej włączono subskrypcję, zostanie wyświetlony komunikat (400) Subskrypcja jest już włączona. Oznacza to, że subskrypcja została pomyślnie włączona w przeszłości. Można zignorować ten błąd i kontynuować instalację.

Jeśli powyższy komunikat lub odpowiedź (200) nie są widzieć, żądanie może się nie powieść. Mogą się pojawiać błędy w konfiguracji, przez co nie działa przepływ. Typowe problemy dotyczące sprawdzania są następujące:

  • Sprawdź, czy dostawca tożsamości na karcie Bezpieczeństwo jest ustawiony na Microsoft Entra ID.
  • Czy dzienniki inspekcji są włączone i czy masz uprawnienia do wyświetlania dzienników inspekcji? Aby sprawdzić, czy można przeszukiwać konto w menedżerze Menedżer zgodności Microsoft.
  • Jeśli użytkownik nie ma uprawnień, zobacz Przed przeszukaniem dziennika inspekcji.
  • Czy dziennik inspekcji był włączony ostatnio? W takim przypadku należy ponowić próbę za kilka minut, aby dać czas na aktywację dziennika inspekcji.
  • Czy został wklejony w poprawnym identyfikatorze dzierżawcy w rejestracji Twojej aplikacji Microsoft Entra?
  • Czy został wklejony poprawny adres URL zasobu bez dodawania spacji i znaków na końcu?
  • Sprawdź, czy pozostało poprawnie po wykonaniu procedury w rejestracji aplikacji Microsoft Entra.
  • Sprawdź, czy poprawnie Zaktualizowano ustawienia zabezpieczeń łącznika niestandardowego, tak jak to opisano w kroku 6 procedury konfiguracji łącznika niestandardowego znajdującym się we wcześniejszej części tego artykułu.

Jeśli nadal widać błędy, połączenie może być w złym stanie. Więcej informacji: Instrukcje krok po kroku dotyczące naprawy połączenia z funkcją Dziennik inspekcji

Konfigurowanie przepływu Power Automate

Przepływ Power Automate używa niestandardowego konektora, codziennie odpytuje dziennik audytu i zapisuje zdarzenia uruchamiania aplikacji Power Apps w tabeli Microsoft Dataverse. Ta tabela jest następnie używana na pulpicie nawigacyjnym Power BI do raportów o sesjach i unikatowych użytkownikach aplikacji.

  1. Postępuj zgodnie z instrukcjami wyświetlanymi w sekcji Konfigurowanie podstawowych składników, aby pobrać rozwiązanie.

  2. Przejdź do witryny make.powerapps.com.

  3. Zaimportuj rozwiązanie dzienników audytów Center of Excellence (CenterofExcellenceAuditLogs_x_x_x_xxx_managed.zip).

  4. Nawiązywanie połączeń w celu aktywowania rozwiązania. W przypadku utworzenia nowego połączenia należy wybrać opcję Odśwież. Nie utracisz postępu importowania.

    Importowanie rozwiązania CoE dziennika inspekcji dotyczącego składników.

  5. Otwórz rozwiązanie Centrum doskonałości – rozwiązanie inspekcji dziennika.

  6. Usuń warstwę niezarządzaną z listy[Podrzędny] Admin | Synchronizacja logów.

  7. Wybierz [Podrzędny] Admin | Synchronizacja logów.

  8. Dokonaj edycji ustawienia Tylko tych użytkowników.

    Przepływ podrzędny – tylko dla użytkowników

  9. W przypadku łącznika niestandardowego Office 365 Management API zmień wartość na Użyj tego połączenia (userPrincipalName@company.com). Jeśli nie ma połączenia dla żadnego z łączników, wybierz opcję Dataverse>Połączenia i utwórz je dla łącznika.

    Konfigurowanie uruchamiania tylko dla użytkowników.

  10. Dla łącznika Microsoft Dataverse pozostaw pustą wartość uprawnienia run-only i potwierdź, że referencja połączenia dla połączenia Dzienniki inspekcji CoE - Dataverse jest skonfigurowana prawidłowo. Jeśli połączenie wykazuje błąd, zaktualizuj odwołanie do łącznika dla Dzienników inspekcji CoE - Dataverse odniesienia do połączenia.

    Potwierdź, że referencja połączenia Dataverse jest ustawiona na Twoje konto.

  11. Wybierz opcję Zapisz, a następnie zamknij kartę Szczegóły przepływu.

  12. (opcjonalnie) Edytuj zmienne środowiska TimeInterval-Unit i TimeInterval-Interval, aby uwzględniać krótsze okresy. Domyślna wartość to fragmenty 1 dzień w segmentach po 1 godzinie. Jeśli w dzienniku inspekcji nie można zebrać wszystkich danych ze skonfigurowanym odstępem czasu, jest odbierany alert z tego rozwiązania.

    Imię i nazwisko/nazwa Opis
    StartTime — interwał Musi być liczbą całą, aby przedstawiać czas rozpoczęcia dla określenia jak daleko wstecz rozpocząć pobieranie.
    Wartość domyślna: 1 (dla jednego dnia wstecz)
    StartTime-Unit Określa jednostki dla określenia, jak daleko wstecz rozpocząć pobieranie danych.
    Musi być wartością od przyjętą jako parametr wejściowy do Dodaj do czasu.
    Przykłady wartości prawnych: Minuta, Godzina, Dzień
    Wartość domyślna: dzień
    TimeInterval-Unit Określa jednostki podziału czasu od początku.
    Musi być wartością od przyjętą jako parametr wejściowy do Dodaj do czasu.
    Przykłady wartości prawnych: Minuta, Godzina, Dzień
    Wartość domyślna: godzina
    TimeInterval-Interval Musi być liczbą całkowitą, aby reprezentować liczbę fragmentów typu jednostki (powyżej).
    Wartość domyślna: 1 (dla fragmentów po 1 godzinie)
    TimeSegment — CountLimit Wartość musi być liczbą całą, aby reprezentować limit liczby fragmentów, które można utworzyć.
    Wartość domyślna: 60

    Ważne

    Podane wartości domyślne działają w przypadku dzierżawcy średniej wielkości. Może być konieczne wielokrotne dostosowanie wartości, aby to działało dla rozmiaru Twojej dzierżawy.

    Ważne

    Informacje na temat aktualizacji zmiennych środowiska: Aktualizowanie zmiennych środowiska

  13. Po powrocie do rozwiązania włącz zarówno [Podrzędne] Admin | Sync Logs przepływu dzienników i administratora | Synchronizuj przepływ dzienników inspekcji.

    Włączanie przepływów dziennika inspekcji.

Przykładowe konfiguracje zmiennych środowiskowych

Poniżej podano przykładowe konfiguracje dla tych wartości:

StartTime-Interval StartTime-Unit TimeInterval-Interval TimeInterval-Unit TimeSegment — CountLimit Oczekiwania
1 dzień 1 godzina 60 Spowoduje utworzenie 24 przepływów podrzędnych, których limit wynosi 60.
Każdy przepływ podrzędny wykonuje pracę w celu pobrania 1 godziny dzienników z ostatnich 24 godzin
2 dzień 1 godzina 60 Spowoduje utworzenie 48 przepływów podrzędnych, których limit wynosi 60.
Każdy przepływ podrzędny wykonuje pracę w celu pobrania 1 godziny dzienników z ostatnich 48 godzin
1 dzień 5 min. 300 Spowoduje utworzenie 288 przepływów podrzędnych, których limit wynosi 300.
Każdy przepływ podrzędny wykonuje pracę w celu pobrania 5 minut dzienników z ostatnich 24 godzin
1 dzień 15 min. 100 Spowoduje utworzenie 96 przepływów podrzędnych, których limit wynosi 100.
Każdy przepływ podrzędny wykonuje pracę w celu pobrania 15 minut dzienników z ostatnich 24 godzin

Jak uzyskać starsze dane

To rozwiązanie zbiera informacje o uruchamianiu aplikacji od momentu jego skonfigurowania i nie jest skonfigurowane do zbierania historycznego uruchamiania aplikacji. W zależności od licencji Microsoft 365 dane historycznych będą dostępne przez maksymalnie rok przy użyciu dziennika inspekcji dostępnego w programie Microsoft Purview.

Dane historycznych można ładować ręcznie do tabel zestawu CoE Starter Kit. Więcej informacji o importowaniu starych dzienników inspekcji

Wygląda na to, że znalazłem błąd w pakiecie startowym CoE; gdzie powinienem pójść?

Aby zgłosić usterkę względem rozwiązania, przejdź do aka.ms/coe-starter-kit-issues.