Recolher registos de auditoria utilizando um conector personalizado (preterido)

Importante

A utilização da solução Centro de Excelência — Registo de Auditoria dedicada e do conector personalizado de Gestão do Office 365 para recolher eventos do registo de auditoria foi preterida. A solução e o conector personalizado serão removidos do Kit de Iniciação CoE em agosto de 2023. Temos um novo fluxo que recolhe eventos do registo de auditoria, que faz parte da solução Centro de Excelência — Componentes Centrais. Este novo fluxo utiliza um conector HTTP. Mais informações: Recolher registos de auditoria através de uma ação HTTP

O fluxo de Sincronização do Registo de Auditoria é ligado ao registo de auditoria do Microsoft 365 para reunir os dados de telemetria (utilizadores exclusivos, iniciações) para aplicações. O fluxo utiliza um conector personalizado para ligar ao Registo de Auditoria. Nas seguintes instruções, irá configurar o conector personalizado e configurar o fluxo.

O Kit Inicial do Centro de Excelência (CoE) funciona sem esse fluxo, mas as informações de uso (inicializações de aplicativos, usuários únicos) no Power BI painel ficam em branco.

Pré-requisitos

• Conclua os artigos Antes de configurar o CoE Starter Kit e Configurar componentes de inventário antes de continuar com a configuração neste artigo.

• Configure seu ambiente.

• Faça login com a identidade correta.

• (Opcional) Configure a solução de Log de Auditoria somente se escolher fluxos de nuvem como mecanismo de inventário e telemetria.

  Veja instruções sobre como configurar o conector do registo de auditoria.

Antes de utilizar o conector de registo de auditoria

1. A pesquisa de registos de auditoria do Microsoft 365 tem de estar ativa para que o conector de registo de auditoria funcione. Para obter mais informações, consulte Ativar ou desativar a auditoria

2. A identidade de utilizador que está a executar o fluxo tem de ter permissão para os registos de auditoria. As permissões mínimas são descritas em Antes de pesquisar o log de auditoria.

3. O seu inquilino deve ter uma subscrição que suporte a registo de auditoria unificado. Para obter mais informações, consulte Microsoft 365 as diretrizes de segurança e conformidade.

4. É necessário um Admin Global para configurar o registo da aplicação do Microsoft Entra.

As API de Gestão do Office 365 utilizam o Microsoft Entra ID para fornecer serviços de autenticação que pode utilizar para conceder direitos para que a sua aplicação aceda aos mesmos.

Criar um registo de aplicações do Microsoft Entra para a API de Gestão do Office 365

Utilizando estes passos, irá configurar um registo de aplicação do Microsoft Entra que é utilizado num conector personalizado e num fluxo do Power Automate para ligar ao registo de auditoria. Mais informações: Introdução às APIs de Gestão do Office 365

1. Inicie sessão no portal do Azure.

2. Aceda a Microsoft Entra ID>Registos de aplicações.

   

3. Selecione + Novo Registo.

4. Introduza um nome (por exemplo, Gestão do Microsoft 365), não altere qualquer outra definição e, em seguida, selecione Registar.

5. Selecione Permissões de API>+ Adicionar uma permissão.

   

6. Selecione API de Gestão do Office 365 e configure permissões da seguinte forma:

   1. Selecione Permissões delegadas e, em seguida, selecione ActivityFeed.Read.

      

   2. Selecione Adicionar permissões.

7. Selecione Conceder Consentimento de Administrador (à sua organização). Pré-requisitos: Conceder consentimento do administrador ao nível do inquilino a uma aplicação

   As permissões da API agora refletem ActivityFeed.Read delegada com um estado de Concedido para (a sua organização).

8. Selecione Certificados e segredos.

9. Selecione + Novo segredo do cliente.

   

10. Adicione uma descrição e expiração (em conformidade com as políticas da sua organização) e, em seguida, selecione Adicionar.

11. Copie e cole o Segredo num documento de texto do Bloco de Notas por enquanto.

12. Selecione Descrição geral e copie e cole os valores de ID da aplicação (cliente) e ID do diretório (inquilino) no mesmo documento de texto; certifique-se de que anota qual o GUID referente a cada valor. Necessitará destes valores no passo seguinte, quando configurar o conector personalizado.

Deixe o portal do Azure aberto, porque terá de efetuar algumas atualizações de configuração depois de configurar o conector personalizado.

Configurar o conector personalizado

Agora você configura e configura um conector personalizado que usa as Office 365 APIs de gerenciamento.

1. Aceda a Power Apps>Dataverse>Conectores Personalizados. O Office 365 conector personalizado da API de gerenciamento está listado aqui. O conector é importado com a solução de componentes principais.

2. Selecione Editar.

3. Se o seu inquilino for um inquilino comercial, deixe a página Geral como está.

   Importante

   • Se o seu locatário for um locatário do GCC, altere o host para manage-gcc.office.com.
   • Se o seu inquilino for um GCC High inquilino, altere o anfitrião para manage.office365.us.
   • Se o seu locatário for um locatário do DoD, altere o host para manage.protection.apps.mil.

   Para obter mais informações, consulte Operações da API de atividade.

4. Selecione Segurança.

5. Seleccone Editar na parte inferior da área OAuth 2.0 para editar os parâmetros de autenticação.

   

6. Mudar o Fornecedor de Identidade para o Microsoft Entra ID.

   

7. Cole o ID da aplicação (cliente) que copiou do registo de aplicação no ID de Cliente.

8. Cole o segredo do cliente que copiou do registo de aplicação no Segredo do cliente.

9. Não altere o ID do inquilino.

10. Deixe a URL de login como estápara locatários comerciais e do GCC, mas para um locatário ou DoD altere a URL para GCC High . https://login.microsoftonline.us/

11. Defina o URL dorecurso:

    Tipo de locatário	URL
    Comercial	https://manage.office.com
    GCC	https://manage-gcc.office.com
    GCC High	https://manage.office365.us
    DoD	https://manage.protection.apps.mil

12. Selecione Atualizar Conector.

13. Copie o URL de redirecionamento para um documento de texto, como o Bloco de Notas.

Nota

Se você tiver uma política de prevenção de perda de dados (DLP) configurada para seu ambiente CoE Starter Kit, adicione esse conector ao grupo somente dados corporativos desta política.

Atualizar o registo de aplicação do Microsoft Entra com o URL de redirecionamento

1. Vá para o portal do Azure e seus registros de aplicativo.

2. Em Descrição geral, selecione Adicionar um URI de redirecionamento.

3. Selecione + Adicionar uma plataforma>Web.

4. Introduza o URL que copiou da secção URL de redirecionamento do conector personalizado.

5. Selecione Configurar.

Iniciar uma subscrição e auditar o conteúdo do registo

Volte ao conector personalizado para configurar uma ligação para o conector personalizado e inicie uma subscrição do conteúdo do registo de auditoria, conforme descrito nos seguintes passos.

Importante

Deve completar estes passos para os passos seguintes funcionarem. Se você não criar uma nova conexão e testar o conector aqui, a configuração do fluxo e fluxo subordinado em etapas posteriores falhará.

1. Na página Conector Personalizado, selecione Teste.

2. Selecione + Nova ligação e, em seguida, inicie sessão com a sua conta.

3. Em Operações, selecione StartSubscription.

   

4. Cole o ID do diretório (inquilino)— copiado anteriormente a partir da página de descrição geral Registo de Aplicações no Microsoft Entra ID—no campo Inquilino.

5. Cole o ID do diretório (inquilino) em PublisherIdentifier.

6. Selecione Testar Operação.

Deverá ver um estado (200) devolvido, o que significa que a consulta foi concluída com êxito.

Importante

Se tiver ativado anteriormente a subscrição, verá uma (400) The subscription is already enabled mensagem. Isso significa que a assinatura já está habilitada com êxito. Ignore este erro e continue com a configuração.

Se você não vir a mensagem acima ou um resposta (200), a solicitação provavelmente falhou. Pode haver um erro com sua configuração que está impedindo o fluxo de funcionar. Os problemas comuns a verificar são:

• O provedor de identidade na guia Segurança deve ser definido como Microsoft Entra ID.
• Os logs de auditoria devem ser habilitados e você tem permissão para visualizá-los. Verifique seu acesso pesquisando no Microsoft Compliance Manager.
• Se você não tiver permissões, consulte Antes de pesquisar o log de auditoria.
• Se você habilitou os logs de auditoria recentemente, tente digitalizar novamente em alguns minutos para dar tempo de ativação ao log de auditoria.
• O ID do locatário do registro do aplicativo Microsoft Entra deve estar correto.
• O URL do recurso não deve ter espaços ou caracteres adicionados no final.
• Analise as etapas no registro Microsoft Entra do seu aplicativo para verificar se estão corretas.
• As configurações de segurança do conector personalizado, conforme descrito em passo 6 da configuração do conector personalizado, devem ser atualizadas corretamente.

Se você ainda estiver vendo falhas, sua conexão pode estar em mau estado. Para obter mais informações, consulte Instruções passo a passo para reparar a conexão do log de auditoria.

Configurar o fluxo do Power Automate

Um fluxo do Power Automate utiliza o conector personalizado, consulta diariamente o registo de auditoria e escreve os eventos de iniciação do Power Apps para uma tabela do Microsoft Dataverse. Esta tabela é utilizada no dashboard do Power BI para reportar sessões e utilizadores exclusivos de uma aplicação.

1. Transfira a solução em Configurar componentes principais.

2. Aceda a make.powerapps.com.

3. Importe a solução de logs de auditoria do Center of Excellence usando o CenterofExcellenceAuditLogs_*x_x_x_xxx*_managed.zip arquivo.

4. Estabeleça conexões e ative sua solução. Se criar uma nova ligação, tem de selecionar Atualizar. Você não perde o progresso da importação.

   

5. Abra o Centro de Excelência – Solução de Registo de Auditoria.

6. Remova a camada não gerida do [Subordinado] Admin | Registos de Sincronização.

7. Selecione o [Subordinado] Admin | Registos de Sincronização.

8. Edite as definições Executar apenas utilizadores.

   

9. Para o conector personalizado da API de Gestão do Office 365, altere o valor para Utilizar esta ligação (userPrincipalName@company.com). Se não houver ligação para nenhum dos conectores, vá a Dataverse>Ligações e crie uma para o conector.

   

10. Para o conector do Microsoft Dataverse, deixe o valor da permissão só de leitura em branco e confirme que a referência de ligação para a ligação Registos de Auditoria de CoE — Dataverse está corretamente configurada. Se a ligação estiver a mostrar um erro, atualize a referência de ligação para a referência de ligação Registos de Auditoria de CoE — Dataverse.

    

11. Selecione Guardar e, em seguida, feche o separador Detalhes do fluxo.

12. (Opcional) Edite as variáveis e TimeInterval-Unit de TimeInterval-Interval ambiente para reunir pedaços menores de tempo. O valor padrão é dividir 1 o dia em 1 segmentos de hora. Receberá um alerta desta solução se o Registo de Auditoria não conseguir obter todos os dados com o intervalo de tempo configurado.

    Nome	Descrição
    StartTime-Interval	Tem de ser um número inteiro para representar a hora de início para o quão atrás obter. Valor padrão: 1 (para um dia atrás)
    StartTime-Unit	Determina as unidades para quão atrás obter dados. Tem de ser um valor aceite como parâmetro de entrada para Adicionar ao Tempo. Exemplo de valores jurídicos: Minute, Hour, Day. O valor padrão é Day.
    TimeInterval-Unit	Determina as unidades para segmentar o tempo desde o início. Tem de ser um valor aceite como parâmetro de entrada para Adicionar ao Tempo. Exemplo de valores jurídicos: Minute, Hour, Day. O valor padrão é Hour.
    TimeInterval-Interval	Deve ser um número inteiro para representar o número de partes da unidade de tipo. O valor padrão é 1 (para blocos de 1 hora).
    TimeSegment-CountLimit	Tem de ser um número inteiro para representar o limite do número de segmentos que podem ser criados. O valor padrão é 60.

    [! ITIP] Esses valores padrão funcionam em um locatário de médio porte. Talvez seja necessário ajustar os valores várias vezes para que isso funcione para o tamanho do locatário.

Para obter mais informações sobre como atualizar variáveis de ambiente, consulte Atualizar variáveis de ambiente.

1. De volta à solução, ative ambos os fluxos [Subordinado] Admin | Sincronizar Registos e Admin | Sincronizar Registos de Auditoria.

   

Configurações de exemplo para variáveis de ambiente

Eis as configurações de exemplo para estes valores:

StartTime-Interval	StartTime-Unit	TimeInterval-Interval	TimeInterval-Unit	TimeSegment-CountLimit	Expetativa
5	Dia	5	hora	60	Crie 24 subordinado fluxos, o que está dentro do limite de 60. Cada fluxo subordinado recupera 1 hora de registros das últimas 24 horas.
2	Dia	5	hora	60	Crie 48 subordinado fluxos, o que está dentro do limite de 60. Cada fluxo subordinado recupera 1 hora de registros das últimas 48 horas.
5	Dia	5	minuto	300	Cria 288 fluxos de subordinado, que está dentro do limite de 300. Cada fluxo subordinado recupera 5 minutos de registros das últimas 24 horas.
5	Dia	15	minuto	100	Crie 96 subordinado fluxos, o que está dentro do limite de 100. Cada fluxo subordinado recupera 15 minutos de registros das últimas 24 horas.

Como obter dados mais antigos

Uma vez configurada, essa solução coleta inicializações de aplicativos, embora não esteja configurada para coletar inicializações históricas de aplicativos. Dependendo da sua Microsoft 365 licença, os dados históricos ficam disponíveis por até um ano usando o log de auditoria no Microsoft Purview.

Pode carregar manualmente dados históricos para tabelas do Kit de Iniciação CoE. Para obter mais informações, consulte Como importar logs de auditoria antigos.

Eu encontrei um bug com o CoE Starter Kit. Para onde devo ir?

Para arquivar um erro relativamente à solução, aceda a aka.ms/coe-starter-kit-issues.