Samla in granskningsloggar med hjälp av en HTTP-åtgärd

  • Artikel

Synkroniseringsflödet för revisionslogg ansluter till Office 365 Hanterings-API för att samla in telemetridata, som unika användare och lanseringar, för appar. Flödena använder en HTTP-åtgärd för att få åtkomst till API:et. I följande instruktioner konfigureras appregistreringen för HTTP-åtgärden och de miljövariabler som behövs för att köra flödena.

Center of Excellence (CoE)-startpaketet fungerar utan dessa flöden, men användningsinformationen (programkörningar, unika användare) på Power BI-instrumentpanelen kommer att vara tom.

Viktigt!

Slutför instruktionerna i innan du ställer in CoE-startpaket och ställ in lagerkomponenter innan du fortsätter med konfigurationen i denna artikel. Denna artikel förutsätter att du har din lagerkonfiguration samt att du är inloggad med rätt identitet.

Konfigurera endast granskningsloggflöden om du har valt molnflöden som mekanism för lager och telemetri.

Innan du ställer in granskningsloggflöden

  1. Spårningssökning för Microsoft 365 måste aktiveras för att anslutningen för granskningslogg ska fungera. Mer information: Slå på eller stäng av granskningsloggsökning
  2. Klientorganisationen måste ha en prenumeration som stöder enhetlig granskningsloggning. Mer information: Säkerhets- och efterlevnadscenter för affärs- och företagsplaner
  3. En global administratör krävs för att konfigurera programregistreringen Microsoft Entra.

Office 365-API:er för hantering använder Microsoft Entra ID för att tillhandahålla autentiseringstjänster som du kan använda för att bevilja ditt program åtkomsträttigheter till dem.

Skapa en Microsoft Entra programregistrering för Office 365 hanterings-API

Med de här stegen konfigureras en Microsoft Entra programregistrering för ett HTTP-samtal i Power Automate-flöde för att ansluta till granskningsloggen. Mer information: Komma igång med hanterings-API:er för Office 365

  1. Logga in på portal.azure.com.

  2. Gå till Microsoft Entra ID>Appregistreringar. Skärmbild som visar Microsoft Entra appregistrering.

  3. Välj + Ny registrering.

  4. Ange ett namn till exempel Microsoft 365 hantering ändra inte någon annan inställning och välj sedan Registrera.

  5. Välj API-behörigheter>+ Lägg till en behörighet.

    Lägg till API-behörigheter

  6. Välj Office 365 hanterings-API och konfigurera behörigheter enligt följande:

    1. Välj Appbehörigheter och välj sedan ActivityFeed.Read.

      Programbehörigheter

    2. Välj Lägg till behörigheter.

  7. Välj Bevilja administratörsmedgivande för (din organisation). Förutsättningar: Ge administratörsbehörighet för en klientorganisation till ett program

    API-behörigheterna återspeglar nu delegerade ActivityFeed.Read med en status av Beviljad för (din organisation).

  8. Välj Certifikat och hemligheter.

  9. Välj + Ny klienthemlighet.

    Ny klienthemlighet

  10. Lägg till en beskrivning och ett förfallodatum (i enlighet med organisationens policyer) och välj sedan Lägg till.

  11. Kopiera och klistra in app-ID (klient) temporärt i ett textdokument i Anteckningar.

  12. Välj Översiktoch kopiera och klistra in ID-värdena för program (klient) och katalog (klientorganisation) i samma text dokument. Se till att du anger vilket GUID som är för vilket värde. Du kommer att behöva dessa värden när du konfigurerar det anpassade anslutningsprogrammet.

Uppdatera miljövariabler

Miljövariabler används för att lagra klient-ID och hemlighet för appregistreringen och målgrupp och auktoritetstjänstens slutpunkter beroende på ditt moln (kommersiellt, GCC, GCC High, DoD) för HTTP-åtgärden. Uppdatera miljövariablerna innan du slår på flödena.

Du kan lagra klienten antingen i oformaterad text i variabeln Granskningsloggar – klienthemlighet miljövariabel, vilket inte rekommenderas. Istället rekommenderar vi att du skapar och lagrar klienthemligheten i Azure Key Vault och refererar till den i Granskningsloggar – Azure klienthemlighet miljöfaktor.

Kommentar

Flödet som använder den här miljövariabeln är konfigurerat med ett villkor som förväntar sig antingen miljövariabeln Granskningsloggar – klienthemlighet eller Granskningsloggar – Azure klienthemlighet. Det är inte nödvändigt att redigera flödet för att arbeta med Azure Key Vault.

Name Beskrivning Värden
Granskningsloggar – Målgrupp Målgruppsparametern för HTTP-anrop. Commercial (standard): https://manage.office.com

GCC: https://manage-gcc.office.com

GCC High: https://hantera.office365.us>

DoD: https://manage.protection.apps.mil
Granskningsloggar – utfärdare Fältet utfärdare i HTTP-anrop. Commercial (standatd): https://login.windows.net

GCC: https://login.windows.net

GCC High: https://login.microsoftonline.us

DoD: https://login.microsoftonline.us
Granskningsloggar – ClientID Klient-ID för appregistrering. Appklient-ID från Skapa en Microsoft Entra appregistrering för steget Office 365 hanterings-API.
Granskningsloggar – klienthemlighet Klienthemlighet för appregistrering i oformaterad text. Appklienthemlighet från Skapa en Microsoft Entra appregistrering för steget Office 365 hanterings-API. Lämna tomt om du använder Azure Key Vault för att lagra ditt klient-ID och din klienthemlighet.
Granskningsloggar – Azure klienthemlighet Azure Key Vault-referens för klienten för appregistrering. Referensen Azure Key Vault för programmets klienthemlighet från steget Skapa en Microsoft Entra-appregistrering för steget Office 365 hanterings-API. Låt vara tomt om du lagrar klient-ID:t i oformaterad text i miljövariabeln Granskningsloggar – klienthemlighet. Den här variabeln förväntar sig referensen Azure Key Vault, inte the the mans. Läs mer: Använd Azure Key Vault-hemligheter i miljövariabler

Starta en prenumeration på innehåll i granskningslogg

  1. Gå till make.powerapps.com.
  2. Välj Lösningar.
  3. Gå till lösningen Center of Excellence – Kärnkomponenter.
  4. Aktivera Admin | Granskningsloggar | Office 365 hantering API-prenumeration flöde på och kör den, ange starta som åtgärden för att köra. Starta prenumeration
  5. Öppna flödet och kontrollera att åtgärden för att starta prenumerationen har passerat. Starta prenumeration har passerat

Viktigt!

Om du tidigare har aktiverat prenumerationen visas meddelandet (400) Prenumerationen har redan aktiverats. Det innebär att prenumerationen redan tidigare har aktiverats. Du kan ignorera felet och fortsätta med installationen.

Om meddelandet ovan eller ett (200)-svar inte visas kan förfrågan ha misslyckats. Det kan finnas ett fel i installationen som gör att flödet inte fungerar. Vanliga problem med kontrollen är:

  • Är granskningsloggar aktiverade, och har du behörighet att visa granskningsloggarna? Kontrollera om du kan söka i Microsoft Compliance Manager.
  • Har du aktiverat granskningsloggen nyligen? Om så är fallet kan du försöka igen om några minuter så att granskningsloggen hinner aktiveras.
  • Verifiera att du korrekt följt stegen i Microsoft Entra programregistrering.
  • Verifiera att du har uppdaterat miljövariablerna för dessa flöden korrekt.

Aktivera flöden

  1. Gå till make.powerapps.com.
  2. Välj Lösningar.
  3. Gå till lösningen Center of Excellence – Kärnkomponenter.
  4. Aktivera Admin | Granskningsloggar | Spårningsloggar för synkronisering (V2) flöde på. Det här flödet körs enligt ett timschema och samlar in granskningslogghändelser i tabellen Granskningslogg.

Så här hämtar du äldre data

Med den här lösningen lanseras programmet från det att den konfigurerats och är inte konfigurerad för att samla in tidigare programplanseringar. Beroende på din Microsoft 365 licens kan du använda granskningsloggen i Microsoft Purview i upp till ett år.

Du kan läsa in historisk information i tabellerna i CoE-startpaket manuellt med hjälp av ett av flödena i lösningen enligt beskrivningen här.

Kommentar

Användaren som hämtar granskningsloggar måste ha behörighet till granskningsloggarna. Mer information: Innan du söker i granskningsloggarna

  1. Bläddra till Sökning för granskningsloggen.
  2. Sök efter den lanserade appaktiviteten i det tillgängliga datumintervallet. Hämta granskningsloggar
  3. När sökningen har körts väljer du Exportera om du vill hämta resultaten. Hämta granskningsloggar
  4. Bläddra till följande flöde i kärnlösningen: Admin | Granskningsloggar | Läsa in händelser från exporterad CSV-fil för granskningslogg
  5. Aktivera och kör flödet och välj den hämtade filen för CSV-parametern Granskningslogg. Läs in gamla granskningsloggar via flöde

    Kommentar

    Om du inte ser filen läsas in efter att du har valt Importera kan den överstiga den tillåtna innehållsstorleken för den här utlösaren. Försök med att dela upp filen i mindre filer (50 000 rader per fil) och kör flödet en gång per fil. Flödet kan köras samtidigt för flera filer.

  6. När du är klar inkluderas dessa loggar i telemetrin. Den senaste listan för apparna uppdateras om nyare lanseringar påträffas.

Jag tycks ha hittat ett fel i CoE-startpaketet. Vart ska jag gå?

Om du vill rapportera ett fel mot lösningen går du till aka.ms/coe-starter-kit-issues.