使用自定义连接器收集审核日志(已弃用)

注释

Power Platform CoE 入门工具包已停止主动维护。 其核心功能是 Power Platform 管理中心的一部分。

问题不再被审查或解决。 如果确定潜在的安全问题,请将其报告给 Microsoft 安全响应中心

重要

使用专用 卓越中心 - 审核日志 解决方案和 Office 365 管理自定义连接器来收集审核日志事件的方式已弃用。 该解决方案和自定义连接器将于 2023 年 8 月从 CoE 初学者工具包中删除。 我们有一个收集审核日志事件的新流程,它是卓越中心 - 核心组件解决方案的一部分。 此新流使用 HTTP 连接器。 在使用 Office 365 管理 API 收集审核日志中了解更多信息。

审核日志同步流连接到 Microsoft 365 审核日志,以收集应用的遥测数据(唯一用户、启动)。 此流使用自定义连接器连接到审核日志。 在以下说明中,您将设置自定义连接器并配置流。

卓越中心 (CoE) 初学者工具包在没有此流的情况下也能正常工作;但是,Power BI 仪表板中的使用情况信息(应用启动、唯一用户)将为空白。

先决条件

使用审核日志连接器之前

  1. 必须开启 Microsoft 365 审核日志搜索,审核日志连接器才能正常工作。 在 打开或关闭审核中了解详细信息。

  2. 运行流的用户标识必须对审核日志具有权限。 最低权限要求详见审核日志检索前须知

  3. 您的租户必须具有支持统一审核日志记录的订阅。 了解更多信息,请参阅 Microsoft 365 安全性与合规性指南

  4. 可能需要Microsoft Entra 权限才能配置 Microsoft Entra 应用注册。 根据您的 Entra 配置,您需要 应用程序开发人员 角色或更高级别的角色。 要获取更多指导,请在 Microsoft Entra ID 中按任务查看最小特权角色

Office 365 管理 API 使用 Microsoft Entra ID 提供身份验证服务,您可以使用这些服务为应用程序授予访问权限。

为 Office 365 管理 API 创建 Microsoft Entra 应用注册

请按以下步骤设置 Microsoft Entra 应用注册(用于自定义连接器)及 Power Automate 连接审核日志的流。 在开始使用 Office 365 管理 API 中了解更多信息。

  1. 登录到 Azure 门户

  2. 转到“Microsoft Entra ID”>“应用注册”

    显示Microsoft Entra 应用注册的屏幕截图。

  3. 选择 + 新建注册

  4. 输入名称(例如,Microsoft 365 管理),不要更改任何其他设置,然后选择注册

  5. 选择 API 权限>+ 添加权限

    显示 API 权限 - 添加权限的屏幕截图。

  6. 选择 Office 365 管理 API,按如下方式配置权限:

    1. 选择委托的权限,然后选择 ActivityFeed.Read

      显示委派权限的屏幕截图。

    2. 选择添加权限

  7. 选择为(您的组织)授予管理员同意书。 在向应用程序授予租户范围的管理员同意中查看必备条件。

    API 权限现在反映了状态为已为(您的组织)授予的已委派 ActivityFeed.Read

  8. 选择证书和密码

  9. 选择 + 新客户端密码

  10. (根据您组织的政策)添加描述和到期日期,然后选择添加

  11. 暂时将密码复制并粘贴到记事本内的文本文档中。

  12. 选择概述,并将应用程序(客户端)ID 和目录(租户)ID 值复制并粘贴到同一文本文档。 请务必记下哪个 GUID 用于哪个值。 配置自定义连接器时,在下一步中需要这些值。

  13. 使 Azure 门户保持打开状态,因为在设置自定义连接器后需要进行一些配置更新。

设置自定义连接器

接下来,配置并设置使用 Office 365 管理 API 的自定义连接器。

  1. 转到 Power Apps>Dataverse>自定义连接器。 此处列出了 Office 365 管理 API 自定义连接器。 此连接器随核心组件解决方案一起导入。

  2. 选择 编辑

  3. 如果你的租户是商业租户,请不要在 “常规 ”页上更改任何内容。

    重要

    • 如果您的租户是 GCC 租户,请将主机更改为 manage-gcc.office.com
    • 如果您的租户是 GCC High 租户,将主机更改为 manage.office365.us
    • 如果您的租户是 DoD 租户,将主机更改为 manage.protection.apps.mil

    Activity API 操作中了解更多信息。

  4. 选择安全性

  5. 选择 OAuth 2.0 区域底部的编辑以编辑身份验证参数。

    显示如何编辑自定义连接器的“安全”选项卡的“OAuth 2.0”部分的屏幕截图。

  6. 标识提供者更改为 Microsoft Entra ID。

    将标识提供者更改为 Microsoft Entra ID。

  7. 将从应用注册复制的应用程序(客户端)ID 粘贴到客户端 ID 中。

  8. 将从应用注册复制的客户端密码粘贴到客户端密码中。

  9. 不要更改租户 ID

  10. 请将登录 URL保留原样,用于商业租户和 GCC 租户。 但对于 GCC High 或 DoD 租户,请将 URL 修改为 https://login.microsoftonline.us/

  11. 设置资源 URL

    租户类型 URL
    商用 https://manage.office.com
    GCC https://manage-gcc.office.com
    GCC High https://manage.office365.us
    DoD https://manage.protection.apps.mil

  12. 选择更新连接器

  13. 重定向 URL 复制到文本文件(如记事本)。

注释

如果为 CoE 启动套件环境配置了 数据策略,请将此连接器添加到该策略的仅限业务数据组。

使用重定向 URL 更新 Microsoft Entra 应用注册

  1. 转到 Azure 门户和您的应用注册。
  2. 概述下,选择添加重定向 URI
  3. 选择“ + 添加平台>Web”。
  4. 输入从自定义连接器的重定向 URL 部分中复制的 URL。
  5. 选择配置

启动订阅并审核日志内容

返回到自定义连接器,以设置与自定义连接器的连接,并开始订阅审核日志内容,如以下步骤中所述。

重要

您必须完成这些步骤,后续步骤才能正常工作。 如果您未创建新连接并在此处测试连接器,则在后续步骤中设置流和子流将失败。

  1. 自定义连接器页上,选择测试

  2. 选择 + 新建连接,然后使用您的帐户登录。

  3. 操作下,选择 StartSubscription

    截图展示自定义连接器的“启动订阅”操作。

  4. 目录(租户)ID(之前从 Microsoft Entra ID 中的应用注册概览页面复制)粘贴到租户字段中。

  5. 目录(租户)ID 粘贴到 PublisherIdentifier 中。

  6. 选择测试操作

您应该会看到返回了一个 (200) 状态,这意味着查询成功。

显示 StartSubscription 活动返回的成功状态的屏幕截图。

重要

如果以前启用了订阅,则会看到一 (400) The subscription is already enabled 条消息。 此消息表示订阅已启用。 忽略此错误并继续设置。

如果未看到此(400)消息或 (200) 响应,则请求可能失败。 您的设置可能存在错误,导致流无法正常工作。 要检查的常见问题包括:

  • 安全选项卡中的标识提供者应设置为 Microsoft Entra ID。
  • 审核日志应处于启用状态,且您需具备查看权限。 通过搜索 Microsoft Purview 合规性管理器来检查访问权限。
  • 如果您没有权限,请参阅在搜索审核日志之前
  • 如果您最近启用了审核日志,请在几分钟后再次尝试搜索,以便让审核日志有时间激活。
  • Microsoft Entra 应用注册的租户 ID 应准确无误。
  • 您的资源 URL 末尾不应添加空格或字符。
  • 请核对 Microsoft Entra 应用注册步骤的正确性。
  • 自定义连接器的安全设置(详见自定义连接器设置第 6 步)应正确更新。

设置 Power Automate 流

Power Automate 流使用自定义连接器每天查询审核日志,并将 Power Apps 启动事件写入 Microsoft Dataverse 表。 此表在 Power BI 仪表板中用于报告应用的会话和唯一用户。

  1. 下载设置核心组件中的解决方案。

  2. 转到 make.powerapps.com

  3. 使用 CenterofExcellenceAuditLogs_*x_x_x_xxx*_managed.zip 文件导入卓越中心审核日志解决方案。

  4. 建立连接,然后激活解决方案。 如果创建新连接,则必须选择刷新。 导入进度不会丢失。

    显示如何导入 CoE 审核日志组件解决方案的屏幕截图。

  5. 打开卓越中心 – 审核日志解决方案

  6. [下级]管理员 | 同步日志删除非托管层

  7. 选择下级管理员 | 同步日志

  8. 编辑仅运行用户设置。

    子流 - 仅限运行用户。

  9. 对于 Office 365 管理 API 自定义连接器,将值更改为使用此连接 (userPrincipalName@company.com)。 如果没有任何连接器的连接,请转到 Dataverse>连接,然后为连接器创建连接。

    显示如何找到“配置仅运行用户”选项的屏幕截图。

  10. 对于 Microsoft Dataverse 连接器,将仅运行权限值留空,并确认已正确配置 CoE 审核日志 - Dataverse 连接的连接引用。 如果连接显示错误,请更新 CoE 审核日志 - Dataverse 的连接引用。

    截图显示检查 CoE 审核日志 - Dataverse 连接引用的位置。

  11. 选择保存,然后关闭流详细信息选项卡。

  12. (可选)编辑 TimeInterval-UnitTimeInterval-Interval 环境变量以收集少量时间区块。 默认值为将 1 天划分为 1 小时段。 如果审核日志未能按照您配置的时间间隔收集所有数据,您将收到来自此解决方案的警报。

    Name Description
    StartTime-Interval 必须是一个整数来表示确定返回多久提取的开始时间。 默认值:1(回溯一天)
    StartTime-Unit 确定返回多久提取数据的时间单位。 必须是从作为输入参数接受到添加到时间的值。 有效值示例:MinuteHourDay。 默认值为 Day
    TimeInterval-Unit 确定为开始以来的时间进行细分的单位。 必须是从作为输入参数接受到添加到时间的值。 有效值示例:MinuteHourDay。 默认值为 Hour
    TimeInterval-Interval 必须是用于表示类型单位的区块数量的整数。 默认值为 1(1 小时段)。
    TimeSegment-CountLimit 必须是一个整数来表示可以创建的区块数量的限制。 默认值为 60

    小窍门

    这些默认值在中型租户中工作。 可能需要多次调整这些参数,以确保它们与您的租户规模相匹配。

    更新环境变量中了解详细信息。

  13. 返回解决方案,同时启用“下级管理员 | 同步日志”流和“管理员 | 同步审核日志”流。

环境变量的示例配置

下面是这些值的配置示例:

StartTime-Interval StartTime-Unit TimeInterval-Interval TimeInterval-Unit TimeSegment-CountLimit 预期
1 day 1 小时 60 创建 24 个子流,不超过 60 个限制。 每个子流从过去 24 小时内提取 1 小时日志。
2 day 1 小时 60 创建 48 个子流,不超过 60 个限制。 每个子流从过去 48 小时内提取 1 小时日志。
1 day 5 分钟 300 创建 288 个子流,不超过 300 个限制。 每个子流从过去 24 小时内提取 5 分钟日志。
1 day 15 分钟 100 创建 96 个子流,不超过 100 个限制。 每个子流从过去 24 小时内提取 15 分钟日志。

如何获取旧数据

配置后,此解决方案将收集应用启动,但未设置为收集历史应用启动。 根据您的 Microsoft 365 许可证,历史数据可通过 Microsoft Purview 的审核日志最长在一年内可用。

  • Last updated on