Share via

使用自定义连接器收集审核日志(已弃用)

  • 项目

重要提示

使用专用的卓越中心 - 审核日志解决方案和 Office 365 管理自定义连接器来收集审核日志事件这一功能已被弃用。 该解决方案和自定义连接器将于 2023 年 8 月从 CoE 初学者工具包中删除。

我们有一个收集审核日志事件的新流程,它是卓越中心 - 核心组件解决方案的一部分。 此新流使用 HTTP 连接器。 了解详细信息:使用 HTTP 操作收集审核日志

审核日志同步流会连接到 Microsoft 365 审核日志以收集应用的遥测数据(唯一用户、启动)。 此流使用自定义连接器连接到审核日志。 在下面的说明中,您将设置自定义连接器并配置流。

卓越中心 (CoE) 初学者工具包在没有此流的情况下也能正常工作;但是,Power BI 仪表板中的使用情况信息(应用启动、唯一用户)将为空白。

重要提示

完成在设置 CoE 初学者工具包前设置清单组件中的说明,然后继续本文的设置。 本文假设您已设置好环境,并使用正确的身份登录。

只有当您选择云端流作为库存和遥测机制时,才能设置审核日志解决方案。

观看有关如何设置审核日志连接器的演练

使用审核日志连接器之前

  1. 要使审核日志连接器正常工作,必须打开 Microsoft 365 审核日志搜索。 详细信息:打开或关闭审核日志搜索

  2. 运行流的用户标识必须对审核日志具有权限。 下面描述了对此的最低权限:在搜索审核日志之前

  3. 您的租户必须具有支持统一审核日志记录的订阅。 详细信息:业务和企业计划的安全与合规中心可用性

  4. 需要全局管理员来配置 Microsoft Entra 应用注册。

Office 365 管理 API 使用 Microsoft Entra ID 提供身份验证服务,您可以使用这些服务为应用程序授予访问权限。

为 Office 365 管理 API 创建 Microsoft Entra 应用注册

使用这些步骤,您将设置 Microsoft Entra 应用注册,以在自定义连接器和 Power Automate 流中用于连接到审核日志。 详细信息:Office 365 管理 API 入门

  1. 登录到 portal.azure.com

  2. 转至 Microsoft Entra ID>应用注册

    Microsoft Entra 应用注册。

  3. 选择 + 新建注册

  4. 输入名称(例如,Microsoft 365 管理),不要更改任何其他设置,然后选择注册

  5. 选择 API 权限>+ 添加权限

    API 权限 - 添加权限。

  6. 选择 Office 365 管理 API,按如下方式配置权限:

    1. 选择委托的权限,然后选择 ActivityFeed.Read

      委托的权限。

    2. 选择添加权限

  7. 选择为(您的组织)授予管理员同意书。 先决条件:向应用程序授予租户范围的管理员同意

    API 权限现在反映了状态为已为(您的组织)授予的已委派 ActivityFeed.Read

  8. 选择证书和密码

  9. 选择 + 新客户端密码

    新客户端密码。

  10. 添加说明和有效期(根据您组织的政策),然后选择添加

  11. 暂时将密码复制并粘贴到记事本内的文本文档中。

  12. 选择概述,然后将应用程序(客户端)ID 和目录(租户)ID 值复制并粘贴到同一文本文档;请务必记录哪个 GUID 对应哪个值。 在配置自定义连接器的后续步骤中,您将需要这些值。

使 Azure 门户保持打开状态,因为在设置自定义连接器后,您需要进行一些配置更新。

设置自定义连接器

现在,您将配置和设置使用 Office 365 管理 API 的自定义连接器。

  1. 转到 Power Apps>Dataverse>自定义连接器。 此处将列出 Office 365 管理 API 自定义连接器;该连接器是随着核心组件解决方案一起导入的。

  2. 选择编辑

  3. 如果您的租户是商业租户,将常规页面保持原样。

    重要提示

    • 如果您的租户是 GCC 租户,将主机更改为 manage-gcc.office.com。
    • 如果您的租户是 GCC High 租户,将主机更改为 manage.office365.us。
    • 如果您的租户是 DoD 租户,将主机更改为 manage.protection.apps.mil。

    详细信息:活动 API 操作

  4. 选择安全性

  5. Oauth 2.0 区域底部选择编辑以编辑身份验证参数。

    编辑 OAuth 配置。

  6. 标识提供者更改为 Microsoft Entra ID。

    将标识提供者更改为 Microsoft Entra ID。

  7. 将从应用注册复制的应用程序(客户端)ID 粘贴到客户端 ID 中。

  8. 将从应用注册复制的客户端密码粘贴到客户端密码中。

  9. 不要更改租户 ID

  10. 对于商业租户和 GCC 租户,保持登录 URL 不变,对于 GCC High 或 DoD 租户,将其更改为 https://login.microsoftonline.us/ 。

  11. 资源 URL 分别设置为 https://manage.office.com(商业租户),https://manage-gcc.office.com(GCC 租户),https://manage.office365.us(GCC High 租户),https://manage.protection.apps.mil(DoD 租户)。

  12. 选择更新连接器

  13. 重定向 URL 复制到记事本内的文本文档中。

备注

如果您为 CoE 初学者工具包环境配置了数据丢失防护 (DLP) 策略,您需要将此连接器添加到业务数据中仅此策略的组。

使用重定向 URL 更新 Microsoft Entra 应用注册

  1. 转到 Azure 门户和您的应用注册。

  2. 概览下,选择添加重定向 URI

  3. 选择 + 添加平台>Web

  4. 输入从自定义连接器的重定向 URL 部分中复制的 URL。

  5. 选择配置

开启订阅审核日志内容

返回到自定义连接器,以设置与自定义连接器的连接,并开始订阅审核日志内容,如以下步骤中所述。

重要提示

您必须完成这些步骤才能使后续步骤起作用。 如果您未创建新连接并在此处测试连接器,则在后续步骤中设置流和子流将失败。

  1. 自定义连接器页上,选择测试

  2. 选择 + 新建连接,然后使用您的帐户登录。

  3. 操作下,选择 StartSubscription

    自定义连接器开始订阅。

  4. 目录(租户)ID(之前从 Microsoft Entra ID 中的应用注册概览页面复制)粘贴到租户字段中。

  5. 目录(租户)ID 粘贴到 PublisherIdentifier 中。

  6. 选择测试操作

您应该会看到返回了一个 (200) 状态,这意味着查询成功。

从 StartSubscription 活动返回的成功状态。

重要提示

如果您之前启用了订阅,您将看到 (400) 订阅已启用消息。 这意味着过去已成功启用了订阅。 您可以忽略此错误并继续设置。

如果您没有看到上述消息或 (200) 响应,则请求可能已失败。 您的设置可能存在错误,导致流无法正常工作。 要检查的常见问题包括:

  • 验证安全性选项卡上的身份提供程序是否设置为 Microsoft Entra ID。
  • 审核日志是否已启用,您是否有权查看审核日志? 通过查看是否可以在 Microsoft 合规管理器中进行搜索来确认。
  • 如果您没有权限,请参阅在搜索审核日志之前
  • 最近是否启用了审核日志? 如果已启用,请在几分钟后重试,以使审核日志有时间激活。
  • 您是否粘贴了 Microsoft Entra 应用注册中的正确租户 ID?
  • 您是否粘贴了正确的资源 URL,并且在结尾处没有添加空格或字符?
  • 验证您是否正确执行了 Microsoft Entra 应用注册中的步骤。
  • 验证您是否正确更新了自定义连接器的安全设置,如本文前面的自定义连接器设置过程的步骤 6 中所述。

如果您仍然看到失败,说明您的连接可能处于不良状态。 了解更多信息:修复审核日志连接的分步说明

设置 Power Automate 流

Power Automate 流使用自定义连接器,每天查询审核日志,并将 Power Apps 启动事件写入 Microsoft Dataverse 表。 然后在 Power BI 仪表板中使用此表来报告应用的会话和唯一用户。

  1. 按照设置核心组件中的说明下载解决方案。

  2. 转到 make.powerapps.com

  3. 导入卓越中心审核日志解决方案 (CenterofExcellenceAuditLogs_x_x_x_xxx_managed.zip)。

  4. 建立连接以激活您的解决方案。 如果创建新连接,必须选择刷新。 这不会丢失导入进度。

    导入 CoE 审核日志组件解决方案。

  5. 打开卓越中心 – 审核日志解决方案

  6. 下级管理员 | 同步日志删除非托管层

  7. 选择下级管理员 | 同步日志

  8. 编辑仅运行用户设置。

    子流 - 仅运行用户。

  9. 对于 Office 365 管理 API 自定义连接器,将值更改为使用此连接 (userPrincipalName@company.com)。 如果没有任何连接器的连接,请转到 Dataverse>连接,然后为连接器创建连接。

    配置仅运行用户。

  10. 对于 Microsoft Dataverse 连接器,将仅运行权限值留空,并确认已正确配置 CoE 审核日志 - Dataverse 连接的连接引用。 如果连接显示错误,更新CoE 审核日志 - Dataverse 连接引用的连接引用。

    确认 Dataverse 连接引用已设置为您的帐户。

  11. 选择保存,然后关闭流详细信息选项卡。

  12. (可选)编辑 TimeInterval-Unit 和 TimeInterval-Interval 环境变量以收集少量时间区块。 默认值为将 1 天细分为 1 小时时段。 如果审核日志未能按照您配置的时间间隔收集所有数据,您将收到来自此解决方案的警报。

    客户 描述
    StartTime-Interval 必须是一个整数来表示确定返回多久提取的开始时间。
    默认值:1(返回一天)
    StartTime-Unit 确定返回多久提取数据的时间单位。
    必须是从作为输入参数接受到添加到时间的值。
    示例合法值:分钟、小时、天
    默认值:天
    TimeInterval-Unit 确定为开始以来的时间进行细分的单位。
    必须是从作为输入参数接受到添加到时间的值。
    示例合法值:分钟、小时、天
    默认值:小时
    TimeInterval-Interval 必须是用于表示类型单位(上面)的区块数量的整数。
    默认值:1(对于 1 小时区块)
    TimeSegment-CountLimit 必须是一个整数来表示可以创建的区块数量的限制。
    默认值:60

    重要提示

    提供的默认值适用于中型租户。 您可能需要多次调整这些值才能使其适合您的租户规模。

    重要提示

    了解如何更新环境变量:更新环境变量

  13. 返回解决方案,同时启用“下级管理员 | 同步日志”流和“管理员 | 同步审核日志”流。

    开启审核日志流。

环境变量的示例配置

下面是这些值的配置示例:

StartTime-Interval StartTime-Unit TimeInterval-Interval TimeInterval-Unit TimeSegment-CountLimit 预期
1 1 小时 60 将创建 24 个子流,不超过 60 个限制。
每个子流将完成从过去 24 小时拉回 1 小时日志的工作
2 1 小时 60 将创建 48 个子流,不超过 60 个限制。
每个子流将完成从过去 48 小时拉回 1 小时日志的工作
1 5 分钟 300 将创建 288 个子流,不超过 300 个限制。
每个子流将完成从过去 24 小时拉回 5 分钟日志的工作
1 15 分钟 100 将创建 96 个子流,不超过 100 个限制。
每个子流将完成从过去 24 小时拉回 15 分钟日志的工作

如何获取旧数据

该解决方案从配置开始就收集应用启动,而不是设置为收集历史应用启动。 根据您的 Microsoft 365 许可证,历史数据将使用 Microsoft Purview 中的审核日志最长在一年内可用。

您可以手动将历史数据加载到 CoE 初学者工具包表中。 了解更多信息:如何导入旧审核日志

我发现了 CoE 初学者工具包的 bug;我应该去哪里解决?

若要针对解决方案报告错误,请转到 aka.ms/coe-starter-kit-issues