使用自定义连接器收集审核日志(已弃用)
重要提示
使用专用的卓越中心 - 审核日志解决方案和 Office 365 管理自定义连接器来收集审核日志事件这一功能已被弃用。 该解决方案和自定义连接器将于 2023 年 8 月从 CoE 初学者工具包中删除。
我们有一个收集审核日志事件的新流程,它是卓越中心 - 核心组件解决方案的一部分。 此新流使用 HTTP 连接器。 了解详细信息:使用 HTTP 操作收集审核日志
审核日志同步流会连接到 Microsoft 365 审核日志以收集应用的遥测数据(唯一用户、启动)。 此流使用自定义连接器连接到审核日志。 在下面的说明中,您将设置自定义连接器并配置流。
卓越中心 (CoE) 初学者工具包在没有此流的情况下也能正常工作;但是,Power BI 仪表板中的使用情况信息(应用启动、唯一用户)将为空白。
重要提示
完成在设置 CoE 初学者工具包前和设置清单组件中的说明,然后继续本文的设置。 本文假设您已设置好环境,并使用正确的身份登录。
只有当您选择云端流作为库存和遥测机制时,才能设置审核日志解决方案。
使用审核日志连接器之前
要使审核日志连接器正常工作,必须打开 Microsoft 365 审核日志搜索。 详细信息:打开或关闭审核日志搜索
运行流的用户标识必须对审核日志具有权限。 下面描述了对此的最低权限:在搜索审核日志之前
您的租户必须具有支持统一审核日志记录的订阅。 详细信息:业务和企业计划的安全与合规中心可用性
需要全局管理员来配置 Microsoft Entra 应用注册。
Office 365 管理 API 使用 Microsoft Entra ID 提供身份验证服务,您可以使用这些服务为应用程序授予访问权限。
为 Office 365 管理 API 创建 Microsoft Entra 应用注册
使用这些步骤,您将设置 Microsoft Entra 应用注册,以在自定义连接器和 Power Automate 流中用于连接到审核日志。 详细信息:Office 365 管理 API 入门
登录到 portal.azure.com。
转至 Microsoft Entra ID>应用注册。
选择 + 新建注册。
输入名称(例如,Microsoft 365 管理),不要更改任何其他设置,然后选择注册。
选择 API 权限>+ 添加权限。
选择 Office 365 管理 API,按如下方式配置权限:
选择委托的权限,然后选择 ActivityFeed.Read。
选择添加权限。
选择为(您的组织)授予管理员同意书。 先决条件:向应用程序授予租户范围的管理员同意
API 权限现在反映了状态为已为(您的组织)授予的已委派 ActivityFeed.Read。
选择证书和密码。
选择 + 新客户端密码。
添加说明和有效期(根据您组织的政策),然后选择添加。
暂时将密码复制并粘贴到记事本内的文本文档中。
选择概述,然后将应用程序(客户端)ID 和目录(租户)ID 值复制并粘贴到同一文本文档;请务必记录哪个 GUID 对应哪个值。 在配置自定义连接器的后续步骤中,您将需要这些值。
使 Azure 门户保持打开状态,因为在设置自定义连接器后,您需要进行一些配置更新。
设置自定义连接器
现在,您将配置和设置使用 Office 365 管理 API 的自定义连接器。
转到 Power Apps>Dataverse>自定义连接器。 此处将列出 Office 365 管理 API 自定义连接器;该连接器是随着核心组件解决方案一起导入的。
选择编辑。
如果您的租户是商业租户,将常规页面保持原样。
重要提示
- 如果您的租户是 GCC 租户,将主机更改为 manage-gcc.office.com。
- 如果您的租户是 GCC High 租户,将主机更改为 manage.office365.us。
- 如果您的租户是 DoD 租户,将主机更改为 manage.protection.apps.mil。
详细信息:活动 API 操作
选择安全性。
在 Oauth 2.0 区域底部选择编辑以编辑身份验证参数。
将标识提供者更改为 Microsoft Entra ID。
将从应用注册复制的应用程序(客户端)ID 粘贴到客户端 ID 中。
将从应用注册复制的客户端密码粘贴到客户端密码中。
不要更改租户 ID。
对于商业租户和 GCC 租户,保持登录 URL 不变,对于 GCC High 或 DoD 租户,将其更改为 https://login.microsoftonline.us/ 。
将资源 URL 分别设置为 https://manage.office.com(商业租户),https://manage-gcc.office.com(GCC 租户),https://manage.office365.us(GCC High 租户),https://manage.protection.apps.mil(DoD 租户)。
选择更新连接器。
将重定向 URL 复制到记事本内的文本文档中。
备注
如果您为 CoE 初学者工具包环境配置了数据丢失防护 (DLP) 策略,您需要将此连接器添加到业务数据中仅此策略的组。
使用重定向 URL 更新 Microsoft Entra 应用注册
转到 Azure 门户和您的应用注册。
在概览下,选择添加重定向 URI。
选择 + 添加平台>Web。
输入从自定义连接器的重定向 URL 部分中复制的 URL。
选择配置。
开启订阅审核日志内容
返回到自定义连接器,以设置与自定义连接器的连接,并开始订阅审核日志内容,如以下步骤中所述。
重要提示
您必须完成这些步骤才能使后续步骤起作用。 如果您未创建新连接并在此处测试连接器,则在后续步骤中设置流和子流将失败。
在自定义连接器页上,选择测试。
选择 + 新建连接,然后使用您的帐户登录。
在操作下,选择 StartSubscription。
将目录(租户)ID(之前从 Microsoft Entra ID 中的应用注册概览页面复制)粘贴到租户字段中。
将目录(租户)ID 粘贴到 PublisherIdentifier 中。
选择测试操作。
您应该会看到返回了一个 (200) 状态,这意味着查询成功。
重要提示
如果您之前启用了订阅,您将看到 (400) 订阅已启用消息。 这意味着过去已成功启用了订阅。 您可以忽略此错误并继续设置。
如果您没有看到上述消息或 (200) 响应,则请求可能已失败。 您的设置可能存在错误,导致流无法正常工作。 要检查的常见问题包括:
- 验证安全性选项卡上的身份提供程序是否设置为 Microsoft Entra ID。
- 审核日志是否已启用,您是否有权查看审核日志? 通过查看是否可以在 Microsoft 合规管理器中进行搜索来确认。
- 如果您没有权限,请参阅在搜索审核日志之前。
- 最近是否启用了审核日志? 如果已启用,请在几分钟后重试,以使审核日志有时间激活。
- 您是否粘贴了 Microsoft Entra 应用注册中的正确租户 ID?
- 您是否粘贴了正确的资源 URL,并且在结尾处没有添加空格或字符?
- 验证您是否正确执行了 Microsoft Entra 应用注册中的步骤。
- 验证您是否正确更新了自定义连接器的安全设置,如本文前面的自定义连接器设置过程的步骤 6 中所述。
如果您仍然看到失败,说明您的连接可能处于不良状态。 了解更多信息:修复审核日志连接的分步说明
设置 Power Automate 流
Power Automate 流使用自定义连接器,每天查询审核日志,并将 Power Apps 启动事件写入 Microsoft Dataverse 表。 然后在 Power BI 仪表板中使用此表来报告应用的会话和唯一用户。
按照设置核心组件中的说明下载解决方案。
导入卓越中心审核日志解决方案 (CenterofExcellenceAuditLogs_x_x_x_xxx_managed.zip)。
建立连接以激活您的解决方案。 如果创建新连接,必须选择刷新。 这不会丢失导入进度。
打开卓越中心 – 审核日志解决方案。
从下级管理员 | 同步日志中删除非托管层。
选择下级管理员 | 同步日志。
编辑仅运行用户设置。
对于 Office 365 管理 API 自定义连接器,将值更改为使用此连接 (userPrincipalName@company.com)。 如果没有任何连接器的连接,请转到 Dataverse>连接,然后为连接器创建连接。
对于 Microsoft Dataverse 连接器,将仅运行权限值留空,并确认已正确配置 CoE 审核日志 - Dataverse 连接的连接引用。 如果连接显示错误,更新CoE 审核日志 - Dataverse 连接引用的连接引用。
选择保存,然后关闭流详细信息选项卡。
(可选)编辑 TimeInterval-Unit 和 TimeInterval-Interval 环境变量以收集少量时间区块。 默认值为将 1 天细分为 1 小时时段。 如果审核日志未能按照您配置的时间间隔收集所有数据,您将收到来自此解决方案的警报。
客户 描述 StartTime-Interval 必须是一个整数来表示确定返回多久提取的开始时间。
默认值:1(返回一天)StartTime-Unit 确定返回多久提取数据的时间单位。
必须是从作为输入参数接受到添加到时间的值。
示例合法值:分钟、小时、天
默认值:天TimeInterval-Unit 确定为开始以来的时间进行细分的单位。
必须是从作为输入参数接受到添加到时间的值。
示例合法值:分钟、小时、天
默认值:小时TimeInterval-Interval 必须是用于表示类型单位(上面)的区块数量的整数。
默认值:1(对于 1 小时区块)TimeSegment-CountLimit 必须是一个整数来表示可以创建的区块数量的限制。
默认值:60重要提示
提供的默认值适用于中型租户。 您可能需要多次调整这些值才能使其适合您的租户规模。
重要提示
了解如何更新环境变量:更新环境变量
返回解决方案,同时启用“下级管理员 | 同步日志”流和“管理员 | 同步审核日志”流。
环境变量的示例配置
下面是这些值的配置示例:
StartTime-Interval | StartTime-Unit | TimeInterval-Interval | TimeInterval-Unit | TimeSegment-CountLimit | 预期 |
---|---|---|---|---|---|
1 | 天 | 1 | 小时 | 60 | 将创建 24 个子流,不超过 60 个限制。 每个子流将完成从过去 24 小时拉回 1 小时日志的工作 |
2 | 日 | 1 | 小时 | 60 | 将创建 48 个子流,不超过 60 个限制。 每个子流将完成从过去 48 小时拉回 1 小时日志的工作 |
1 | 日 | 5 | 分钟 | 300 | 将创建 288 个子流,不超过 300 个限制。 每个子流将完成从过去 24 小时拉回 5 分钟日志的工作 |
1 | 日 | 15 | 分钟 | 100 | 将创建 96 个子流,不超过 100 个限制。 每个子流将完成从过去 24 小时拉回 15 分钟日志的工作 |
如何获取旧数据
该解决方案从配置开始就收集应用启动,而不是设置为收集历史应用启动。 根据您的 Microsoft 365 许可证,历史数据将使用 Microsoft Purview 中的审核日志最长在一年内可用。
您可以手动将历史数据加载到 CoE 初学者工具包表中。 了解更多信息:如何导入旧审核日志
我发现了 CoE 初学者工具包的 bug;我应该去哪里解决?
若要针对解决方案报告错误,请转到 aka.ms/coe-starter-kit-issues。
反馈
https://aka.ms/ContentUserFeedback。
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:提交和查看相关反馈