Partilhar via

Recolher registos de auditoria através de uma ação HTTP

  • Artigo

Os fluxos de sincronização do log de auditoria se conectam à referência Office 365 da API de Atividade de Gerenciamento para coletar dados de telemetria, como usuários exclusivos e inicializações para aplicativos. Os fluxos usam uma ação HTTP para aceder à API. Neste artigo, você configura o registro do aplicativo para a ação HTTP e as variáveis de ambiente necessárias para executar os fluxos.

Nota

O Starter Kit do Centro de Excelência (CoE) funciona sem esses fluxos, mas as informações de uso, como inicializações de aplicativos e usuários exclusivos, no painel estão em Power BI branco.

Pré-requisitos

  1. Conclua os artigos Antes de configurar o CoE Starter Kit e Configurar componentes de inventário.
  2. Configure seu ambiente.
  3. Faça login com a identidade correta.

Sugestão

Configure os fluxos de log de auditoria somente se você escolher fluxos de nuvem como o mecanismo para inventário e telemetria.

Antes de configurar os fluxos do registo de auditoria

  1. A pesquisa de registos de auditoria do Microsoft 365 tem de estar ativa para que o conector de registo de auditoria funcione. Para obter mais informações, consulte Ativar ou desativar a pesquisa de log de auditoria.
  2. O seu inquilino deve ter uma subscrição que suporte a registo de auditoria unificado. Para obter mais informações, consulte Segurança e disponibilidade do Centro de Conformidade para planos empresariais e empresariais.
  3. Microsoft Entra Permissões podem ser necessárias para configurar o registro do Microsoft Entra aplicativo. Dependendo da sua configuração do Entra, essa pode ser uma função de desenvolvedor de aplicativos ou superior. Analise as funções menos privilegiadas por tarefa em Microsoft Entra ID para obter mais orientações.

Nota

As API de Gestão do Office 365 utilizam o Microsoft Entra ID para fornecer serviços de autenticação que pode utilizar para conceder direitos para que a sua aplicação aceda aos mesmos.

Criar um registo de aplicações do Microsoft Entra para a API de Gestão do Office 365

Utilizando estes passos, pode configurar um registo de aplicações do Microsoft Entra para uma chamada HTTP num fluxo do Power Automate para se ligar ao registo de auditoria. Para obter mais informações, consulte Introdução às Office 365 APIs de gerenciamento.

  1. Inicie sessão no portal do Azure.

  2. Aceda a Microsoft Entra ID>Registos de aplicações. Captura de ecrã a mostrar a localização do serviço Azure de registos de aplicações.

  3. Selecione + Novo Registo.

  4. Insira um nome, como Microsoft 365 Gerenciamento, mas não altere nenhuma outra configuração e selecione Registrar.

  5. Selecione Permissões de API>+ Adicionar uma permissão. Captura de tela mostrando o local do botão +Adicionar uma permissão do menu de permissões da API.

  6. Selecione API de Gestão do Office 365 e configure permissões da seguinte forma:

    1. Selecione Permissões de aplicação e, em seguida, selecione ActivityFeed.Read. Captura de tela que mostra a configuração ActivityFeed.Read na página Solicitar permissões da API do menu de permissões da API.

    2. Selecione Adicionar permissões.

  7. Selecione Conceder Consentimento de Administrador (à sua organização). Para configurar conteúdo de administrador, consulte Conceder consentimento de administrador para todo o locatário a um aplicativo.

    As permissões da API agora refletem ActivityFeed.Read delegada com um estado de Concedido para (a sua organização).

  8. Selecione Certificados e segredos.

  9. Selecione + Novo segredo do cliente.

  10. Adicione uma descrição e expiração, em conformidade com as políticas da sua organização e, em seguida, selecione Adicionar.

  11. Copie e cole o ID do aplicativo (cliente) em um documento de texto, como o Bloco de Notas.

  12. Selecione Descrição geral e copie e cole os valores de ID da aplicação (cliente) e ID do diretório (inquilino) no mesmo documento de texto. Certifique-se de que tomou nota de que GUID se destina a que valor. Você precisa desses valores ao configurar o conector personalizado.

Atualizar variáveis de ambiente

As variáveis de ambiente são usadas para armazenar o ID do cliente e o segredo para o registro do aplicativo. As variáveis também são usadas para armazenar pontos de extremidade de serviço de audiência e autoridade, dependendo da sua nuvem (comercial, GCC, GCC High DoD) para a ação HTTP. Atualize as variáveis de ambiente antes de ativar os fluxos.

Você pode armazenar o segredo do cliente em texto sem formatação na variável de ambiente Audit Logs - Client Secret , o que não é recomendado. Em vez disso, recomendamos que você crie e armazene o segredo do cliente no Cofre da Chave do Azure e faça referência a ele na variável de ambiente Logs de Auditoria - Segredo do Azure do Cliente.

Nota

O fluxo que utiliza esta variável de ambiente está configurado com uma condição para esperar a variável de ambiente Registos de Auditoria — Segredo do Cliente ou Registos de Auditoria — Segredo do Azure do Cliente. No entanto, você não precisa editar o fluxo para trabalhar com o Azure Key Vault.

Name Description Valores
Registos de Auditoria — Audiência O parâmetro audiência para as chamadas HTTP Comercial (Padrão): https://manage.office.com

CCG: https://manage-gcc.office.com

GCC High: https://manage.office365.us

DoD: https://manage.protection.apps.mil
Registos de Auditoria — Autoridade O campo autoridade nas chamadas HTTP Comercial (Padrão): https://login.windows.net

CCG: https://login.windows.net

GCC High: https://login.microsoftonline.us

DoD: https://login.microsoftonline.us
Registos de Auditoria — ClientID ID do cliente de registo da aplicação O ID do cliente do aplicativo é do passo Criar um Microsoft Entra registro de aplicativo para a Office 365 API de Gerenciamento.
Registos de Auditoria — Segredo do Cliente Segredo do cliente de registro de aplicativo (não o ID secreto, mas o valor real) em texto sem formatação O segredo do cliente do aplicativo é do registro Criar um Microsoft Entra aplicativo para a Office 365 API de Gerenciamento passo. Deixe em branco se estiver a usar o Azure Key Vault para armazenar o seu ID de cliente e o segredo.
Registos de Auditoria — Segredo do Azure do Cliente Referência do Azure Key Vault do segredo do cliente de registo da Aplicação A referência do Cofre da Chave do Azure para o segredo do cliente do aplicativo é da secção Criar um Microsoft Entra registro de aplicativo para a Office 365 API de Gerenciamento passo. Deixe em branco se estiver a armazenar o ID de cliente em texto simples na variável de ambiente Registos de Auditoria — Segredo do Cliente. Esta variável espera a referência do Azure Key Vault, não o segredo. Para obter mais informações, consulte Usar segredos do Azure Key Vault em variáveis de ambiente.

Inicie uma subscrição para o conteúdo do registo de auditoria

  1. Aceda a make.powerapps.com.
  2. Selecione Soluções.
  3. Abra a solução Centro de Excelência — Componentes Centrais.
  4. Ativar o Admin | Logs de auditoria | Office 365 Fluxo de assinatura da API de gerenciamento e execute-o, insira iniciar como a operação a ser executada. Captura de tela que mostra o local do botão Executar na barra de navegação e a operação de início no painel Fluxo de execução.
  5. Abra o fluxo e verifique se a ação para iniciar a assinatura foi passada.

Importante

Se tiver ativado anteriormente a subscrição, verá a (400) A subscrição já está ativada . Isso significa que a assinatura foi habilitada com êxito no passado. Pode ignorar esta mensagem e continuar com a configuração. Se você não vir a mensagem acima ou um resposta (200), a solicitação provavelmente falhou. Pode haver um erro com sua configuração que está a impedir o fluxo de funcionar. Os problemas comuns a verificar são:

  • Os registos de auditoria estão ativos e tem permissão para ver os registos de auditoria? Teste se os logs estão habilitados pesquisando no Gerenciador de Microsoft Conformidade.
  • Você habilitou o log de auditoria recentemente? Se sim, tente novamente dentro de alguns minutos para que o registo de auditoria tenha tempo de ser ativado.
  • Valide que seguiu corretamente os passos no registo de aplicações do Microsoft Entra.
  • Valide que atualizou corretamente as variáveis de ambiente para estes fluxos.

Ativar fluxos

  1. Aceda a make.powerapps.com.
  2. Selecione Soluções.
  3. Abra a solução Centro de Excelência — Componentes Centrais.
  4. Ativar o Admin | Logs de auditoria | Fluxo de dados de atualização (V2). Esse fluxo atualiza a tabela com as PowerApps últimas informações de inicialização e adiciona metadados aos registros de logs de auditoria.
  5. Ativar o Admin | Logs de auditoria | Fluxo de logs de auditoria de sincronização (V2). Esse fluxo é executado em uma programação horária e coleta eventos de log de auditoria na tabela de log de auditoria.

Como obter dados mais antigos

Esta solução recolhe os arranques de aplicações depois de configurada, mas não está configurada para recolher iniciações históricas de aplicações. Dependendo da sua Microsoft 365 licença, os dados históricos ficam disponíveis por até um ano usando o log de auditoria no Microsoft Purview.

Você pode carregar dados históricos nas tabelas do CoE Starter Kit manualmente, usando um dos fluxos da solução.

Nota

O utente que recupera logs de auditoria precisa de permissão para acessá-los. Para obter mais informações, consulte Antes de pesquisar os logs de auditoria.

  1. Navegue para a Pesquisa do Registo de Auditoria.

  2. Pesquise pela atividade da aplicação Iniciada no intervalo de datas disponível. Captura de tela que destaca o intervalo de datas e a atividade do aplicativo iniciado para uma pesquisa na página Auditoria do Microsoft Purview.

  3. Quando a pesquisa for executada, selecione Exportar para baixar os resultados.

  4. Navegue até este fluxo na solução principal: Admin | Logs de auditoria | Carregue eventos do arquivo CSV do Log de Auditoria exportado.

  5. Ative o fluxo e execute-o, selecionando o arquivo baixado para o parâmetro CSV do Log de Auditoria. Captura de tela que mostra o campo de importação CSV do Log de Auditoria e o botão Fluxo de execução do painel Fluxo de execução.

    Nota

    Se você não vir o arquivo carregando depois de selecionar Importar, ele poderá exceder o tamanho de conteúdo permitido para esse gatilho. Tente dividir o ficheiro em ficheiros mais pequenos (50.000 linhas por ficheiro) e execute o fluxo uma vez por ficheiro. O fluxo pode ser executado simultaneamente para vários ficheiros.

  6. Quando concluídos, esses logs são incluídos na sua telemetria. A última lista de lançamentos para os aplicativos é atualizada se forem encontrados lançamentos mais recentes.

Resolução de Problemas

Permissões de API

Vá para o registro do aplicativo e valide se você tem as permissões de API corretas. O registro do aplicativo requer permissões de aplicativo não delegadas. Valide se o estatuto é Concedido.

Variável de ambiente secreta - Segredo do Azure

Se você estiver a usar o valor da Chave do Azure para armazenar o segredo de registro do aplicativo, valide se as permissões do Cofre da Chave do Azure estão corretas. Um utente precisa estar na função Usuário Secreto do Cofre da Chave para ler e na função contribuinte Cofre da Chave para atualizar. Captura de ecrã que mostra as funções de Utilizador do contribuinte do Cofre da Chave e dos Segredos do Cofre da Chave.

Se você tiver outros problemas com o Azure Key Vault relacionados a um firewall, IPs estáticos para Dataverse Ambiente ou outros problemas de recursos semelhantes, entre em contato com o suporte ao produto para resolvê-los.

Variável de ambiente secreto - texto simples

Se estiver a utilizar texto simples para armazenar o segredo de registo da aplicação, valide se introduziu o próprio valor secreto e não o ID secreto. O valor secreto é uma cadeia de caracteres mais longa com um conjunto de caracteres maior do que um GUID, por exemplo, a cadeia de caracteres pode ter caracteres til.

Eu encontrei um bug com o CoE Starter Kit. Para onde devo ir?

Para arquivar um erro relativamente à solução, aceda a aka.ms/coe-starter-kit-issues.