Samla in granskningsloggar med en anpassad anslutning (inaktuella)

Viktigt!

Med den dedikerade lösningen Center of Excellence –Lösningen Granskningslogg och Office 365 Anpassad ledning för hantering för att samla in granskningslogghändelser är inaktuella. Lösningen och den anpassade anslutningsprogram kommer att tas bort från CoE-startpaket i augusti 2023. Vi har ett nytt flöde som samlar in granskningslogghändelser som är en del av lösningen Center of Excellence – kärnkomponenter. Det nya flödet använder en HTTP-anslutning. Läs mer: Samla in granskningsloggar med hjälp av en HTTP-åtgärd

Synkroniseringsflödet för granskningslogg ansluter till Microsoft 365-granskningsloggen för insamling av telemetridata (unika användare, starter) för program. I flödet används att anpassat anslutningsprogram för att ansluta till granskningslogg. I följande instruktioner konfigurerar du den anpassade anslutningen och sedan flödet.

Startpaketet för Center of Excellence (CoE) fungerar utan det här flödet, men användningsinformationen (appstarter, unika användare) på instrumentpanelen Power BI är då tom.

Förutsättningar

• Slutför artiklarna Innan du ställer in CoE-startpaketet och Ställ in lagerkomponenter innan du fortsätter med inställningarna i den här artikeln.

• Konfigurera din miljö.

• Logga in med rätt identitet.

• (Valfritt) Konfigurera endast lösningen för granskningsloggen om du väljer molnflöden som mekanism för inventering och telemetri.

  Se en guide kring hur du konfigurerar anslutningen för granskningsloggen.

Innan du använder anslutningsprogrammet för granskningslogg

1. Spårningssökning för Microsoft 365 måste aktiveras för att anslutningen för granskningslogg ska fungera. Mer information finns i Aktivera eller inaktivera granskning

2. Den användaridentitet som kör flödet måste ha behörighet till granskningsloggarna. Minsta behörigheter beskrivs i Innan du söker i granskningsloggen.

3. Klientorganisationen måste ha en prenumeration som stöder enhetlig granskningsloggning. Mer information finns i Microsoft 365 vägledningen för säkerhet och efterlevnad.

4. En global administratör krävs för att konfigurera programregistreringen Microsoft Entra.

Office 365-API:er för hantering använder Microsoft Entra ID för att tillhandahålla autentiseringstjänster som du kan använda för att bevilja ditt program åtkomsträttigheter till dem.

Skapa en Microsoft Entra programregistrering för Office 365 hanterings-API

Med dessa steg konfigurerar du en Microsoft Entra-programregistrering som kommer att användas i en anpassad anslutning och ett anpassat Power Automate-flöde för att ansluta till granskningsloggen. Mer information: Komma igång med hanterings-API:er för Office 365

1. Logga in på Azure-portal.

2. Gå till Microsoft Entra ID>Appregistreringar.

   

3. Välj + Ny registrering.

4. Ange ett namn (till exempel Microsoft 365 hantering), ändra inte någon annan inställning och välj sedan Registrera.

5. Välj API-behörigheter>+ Lägg till en behörighet.

   

6. Välj Office 365 hanterings-API och konfigurera behörigheter enligt följande:

   1. Markera Delegerade behörigheteroch välj sedan ActivityFeed.Read.

      

   2. Välj Lägg till behörigheter.

7. Välj Bevilja administratörsmedgivande för (din organisation). Förutsättningar: Ge administratörsbehörighet för en klientorganisation till ett program

   API-behörigheterna återspeglar nu delegerade ActivityFeed.Read med en status av Beviljad för (din organisation).

8. Välj Certifikat och hemligheter.

9. Välj + Ny klienthemlighet.

10. Lägg till en beskrivning och ett förfallodatum (i enlighet med organisationens policyer) och välj sedan Lägg till.

11. Kopiera och klistra in hemligheten temporärt i ett textdokument i Anteckningar.

12. Välj Översiktoch kopiera och klistra in ID-värdena för program (klient) och katalog (klientorganisation) i samma text dokument. Se till att du anger vilket GUID som är för vilket värde. Du kommer att behöva dessa värden i nästa steg när du konfigurerar det anpassade anslutningsprogrammet.

Låt Azure-portalen vara öppen, detta eftersom du måste göra några konfigurationsuppdateringar efter att du har konfigurerat den anpassade anslutningen.

Konfigurera det anpassade anslutningsprogrammet

Nu konfigurerar och konfigurerar du ett anpassat anslutningsprogram som använder hanterings-API:erna Office 365 .

1. Gå till Power Apps>Dataverse>Anpassade anslutningsprogram. Den Office 365 anpassade anslutningsappen för hanterings-API:et visas Hit. Anslutningsprogrammet importeras med lösningen för kärnkomponenter.

2. Välj Redigera.

3. Om din klient är i den kommersiella klientorganisationen lämnar du sidan Allmän som den är.

   Viktigt

   • Om din klientorganisation är en GCC-klientorganisation ändrar du värden till manage-gcc.office.com.
   • Om din klientorganisation är en GCC High klientorganisation ändrar du värden till manage.office365.us.
   • Om din klientorganisation är en DoD-klientorganisation ändrar du värden till manage.protection.apps.mil.

   Mer information finns i Activity API-åtgärder.

4. Välj Säkerhet.

5. Välj Redigera längst ned i området OAuth 2.0 för att redigera autentiseringsparametrarna.

   

6. Ändra identitetsprovider till Microsoft Entra ID.

   

7. Klistra in programmets ID (klient) som du kopierade från appregistreringen i Klient-ID.

8. Klistra in klienthemligheten som du tidigare kopierat från program-registreraren till Klienthemlighet.

9. Ändra inte ID för klientorganisation.

10. Lämna inloggnings-URL:en som den ärför kommersiella klienter och GCC-klienter, men för en eller DoD-klientorganisation ändrar du URL: en till GCC High . https://login.microsoftonline.us/

11. Ange resurs-URL: en:

    Typ av klientorganisation	webbadress
    Kommersiell	https://manage.office.com
    GCC	https://manage-gcc.office.com
    GCC High	https://manage.office365.us
    DoD	https://manage.protection.apps.mil

12. Välj Uppdatera anslutningsprogram.

13. Kopiera omdirigerings-URL :en till ett textdokument, till exempel Anteckningar.

Obs

Om du har en DLP-policy (Data Loss Prevention) konfigurerad för din CoE-startpaketmiljö lägger du till den här anslutningsprogrammet i gruppen med endast affärsdata i den här principen.

Uppdatera Microsoft Entra-programmets registrering med URL-adressen för omdirigering

1. Gå till Azure Portal och dina appregistreringar.

2. Under Översikt väljer du Lägg till en omdirigerings-URI.

3. Välj + Lägg till en plattform>Webb.

4. Ange URL-adressen du kopierat från avsnittet Omdirigerings-URL för det anpassade anslutningsprogrammet.

5. Välj Konfigurera.

Starta en prenumeration och granska logginnehållet

Gå tillbaka till det anpassade anslutningsprogrammet och konfigurera en anslutning till det anpassade anslutningsprogrammet och starta en prenumeration på innehållet i granskningsloggen enligt följande anvisningar.

Viktigt!

Du måste slutföra dessa steg för att efterföljande steg ska fungera. Om du inte skapar en ny anslutning och testar anslutningsprogram Hit misslyckas det att konfigurera flödet och underordnat flöde i senare steg.

1. På sidan Anpassat anslutningsprogram väljer du Test.

2. Markera + Ny anslutning och logga sedan in med ditt konto.

3. Under Åtgärder väljer du StartSubscription.

   

4. Klistra in katalog-ID (klientorganisation) – som kopierats tidigare från översiktssidan Appregistrering i Microsoft Entra ID – i fältet Klientorganisation.

5. Klistra in katalog-ID (klientorganisation) i PublisherIdentifier.

6. Välj Teståtgärd.

Statusen (200) bör returnerades, vilket innebär att frågan slutförts som avsett.

Viktigt

Om du tidigare har aktiverat prenumerationen visas ett (400) The subscription is already enabled meddelande. Det innebär att prenumerationen redan har aktiverats. Ignorera det här felet och fortsätt med installationen.

Om du inte ser ovanstående meddelande eller ett svar (200) misslyckades begäran sannolikt. Dit kan det finnas ett fel med din konfiguration som hindrar flödet från att fungera. Vanliga problem med kontrollen är:

• Identitetsprovidern på fliken Säkerhet ska vara inställd Microsoft Entra på ID.
• Granskningsloggar ska vara aktiverade och du har behörighet att visa dem. Kontrollera din åtkomst genom att söka i Microsoft Compliance Manager.
• Om du inte har behörighet kan du läsa Innan du söker i granskningsloggen.
• Om du nyligen har aktiverat granskningsloggarna kan du försöka söka igen om några minuter för att ge granskningsloggen tid att aktiveras.
• Klientorganisations-ID:t från din Microsoft Entra appregistrering bör vara korrekt.
• Resurs-URL:en får inte ha några tillagda blanksteg eller tecken i slutet.
• Granska stegen i din Microsoft Entra appregistrering för att se om den är korrekt.
• Säkerhetsinställningarna för det anpassade anslutningsprogrammet, som beskrivs i steg 6 i konfigurationen av det anpassade anslutningsprogrammet, bör uppdateras korrekt.

Om du fortfarande ser fel kan anslutningen vara i ett dåligt tillstånd. Mer information finns i Steg-för-steg-instruktioner för att reparera anslutningen till granskningsloggen.

Konfigurera Power Automate-flöde

Ett Power Automate-flöde använder det anpassade anslutningsprogrammet, frågar granskningsloggen dagligen och skriver körningshändelserna för Power Apps till en Microsoft Dataverse-tabell. Denna atabell används sedan på instrumentpanelen för Power BI i syfte att rapportera om sessioner och unika användare av ett program.

1. Ladda ned lösningen i Konfigurera kärnkomponenter.

2. Gå till make.powerapps.com.

3. Importera lösningen för granskningsloggar för Center of Excellence med hjälp CenterofExcellenceAuditLogs_*x_x_x_xxx*_managed.zip av filen.

4. Upprätta anslutningar och aktivera sedan din lösning. Om du skapar en ny anslutning måste du välja uppdatera. Du förlorar inte din importförlopp.

   

5. Öppna Center of Excellence –Lösningen Granskningslogg.

6. Ta bort det ohanterade lagret från [Underordnade] Admin | Synkroniseringsloggar.

7. Välj [Underordnade] Admin | Synkroniseringsloggar.

8. Redigera inställningarna för Körningsexklusiva användare.

   

9. För det anpassade anslutningsprogrammet för API för Office 365-hantering, ändra värdet till Använd denna anslutning (userPrincipalName@company.com). Om det inte finns någon anslutning för något av anslutningsprogrammen går du till Dataverse>Anslutningar och skapar en för anslutningsprogrammet.

   

10. För anslutningsprogrammet för Microsoft Dataverse lämnar du värdet för enbart körning tomt och bekräftar att anslutningsreferensen för anslutningen för CoE-granskningslogg – Dataverse har konfigurerats korrekt. Om ett fel visas i anslutningen uppdaterar du anslutningsreferensen för anslutningsreferensen för CoE-granskningsloggar – Dataverse .

    

11. Välj Spara och stäng sedan fliken Flödesinformation.

12. (Valfritt) Redigera miljövariablerna TimeInterval-Unit och TimeInterval-Interval för att samla in mindre delar av tiden. Standardvärdet är att dela upp 1 dag i 1 timsegment. Du får en avisering från den här lösningen om granskningsloggen inte samlar in alla data med ditt konfigurerade tidsintervall.

    Namn	Beskrivning
    StartTime-intervall	Måste vara ett helt nummer som motsvarar starttiden för hur långt tillbaka hämtning ska ske. Standardvärde: 1 (för en dag tillbaka)
    StartTime-enhet	Anger enheter för hur långt bakåt i tiden det går att hämta data. Måste vara ett värde från accepterat som inmatningsparameter till Lägg till tid. Exempel på juridiska värden: Minute, Hour, Day. Standardvärdet är Day.
    TimeInterval-enhet	Bestämmer enheter för chunking tiden sedan start. Måste vara ett värde från accepterat som inmatningsparameter till Lägg till tid. Exempel på juridiska värden: Minute, Hour, Day. Standardvärdet är Hour.
    TimeInterval-intervall	Måste vara ett heltal för att representera antalet segment av typen enhet. Standardvärdet är 1 (för segment på 1 timme).
    TimeSegment-CountLimit	Måste vara ett helt nummer för att representera gränsen för antalet segment som kan skapas. Standardvärdet är 60.

    [! ITIP] Dessa standardvärden fungerar i en medelstor klientorganisation. Du kan behöva justera värdena flera gånger för att detta ska fungera för din klientstorlek.

Mer information om hur du uppdaterar miljövariabler finns i Uppdatera miljövariabler.

1. Längre bak i lösningen aktiverar du både [Underordnade] Administratör | Synkronisera loggflöde och administratör | Synkronisera granskningsloggflöde.

   

Exempelkonfigurationer för miljövariabler

Här följer exempel på konfigurationer för dessa värden:

StartTime-intervall	StartTime-enhet	TimeInterval-intervall	TimeInterval-enhet	TimeSegment-CountLimit	Förväntan
1	dag	1	timme	60	Skapa 24 underordnade flöden, vilket ligger inom gränsen på 60. Varje underordnat flöde hämtar 1 timmes loggar från de senaste 24 timmarna.
2	dag	1	timme	60	Skapa 48 underordnade flöden, vilket ligger inom gränsen på 60. Varje underordnat flöde hämtar 1 timmes loggar från de senaste 48 timmarna.
1	dag	5	minut	300	Skapar 288 underordnade flöden, vilket ligger inom gränsen på 300. Varje underordnat flöde hämtar 5 minuters loggar från de senaste 24 timmarna.
1	dag	15	minut	100	Skapa 96 underordnade flöden, vilket ligger inom gränsen på 100. Varje underordnat flöde hämtar 15 minuters loggar från de senaste 24 timmarna.

Så här hämtar du äldre data

När den här lösningen har konfigurerats samlar den in appstarter, men är inte konfigurerad för att samla in historiska appstarter. Beroende på din Microsoft 365 licens är historiska data tillgängliga i upp till ett år med hjälp av granskningsloggen i Microsoft Purview.

Du kan läsa in historisk information i tabellerna i CoE-startpaket manuellt. Mer information finns i Så här importerar du gamla granskningsloggar.

Jag hittade en bugg med CoE-startpaketet. Vart ska jag gå?

Om du vill rapportera ett fel mot lösningen går du till aka.ms/coe-starter-kit-issues.