通过

使用管理 API 收集 Office 365 审核日志

审核日志同步流连接到 Office 365 管理活动 API 参考以收集遥测数据,如应用程序的唯一用户和启动。 流使用 HTTP 操作访问 API。 在本文中,您将设置 HTTP 操作的应用程序注册以及运行流所需的环境变量。

备注

Center of Excellence(CoE)初学者工具包在没有这些流的情况下工作。 但是,如果流未被使用,Power BI 仪表板中的使用信息(如应用程序启动和唯一用户)将是空白。

先决条件

  1. 完成在设置 CoE 初学者工具包之前设置库存组件文章。
  2. 设置您的环境
  3. 使用正确的身份登录。

小费

仅当您选择云端流作为库存和遥测机制时,才设置审核日志流程。

设置审核日志流之前

  1. 要使审核日志连接器正常工作,必须打开 Microsoft 365 审核日志搜索。 了解更多信息,请参阅打开或关闭审核
  2. 您的租户必须具有支持统一审核日志记录的订阅。 了解更多信息,请参阅 Microsoft 365 安全性与合规性指南
  3. 配置 Microsoft Entra 应用程序注册可能需要 Microsoft Entra 权限。 根据您的 Microsoft Entra 配置,这些权限可能是应用程序开发人员角色或更高权限。 您可以在 Microsoft Entra ID 中按任务划分的最低权限角色中找到更多指导信息。

备注

要授予应用程序访问 Office 365 管理 API 的权限,可以使用 API 通过 Microsoft Entra ID 提供的身份验证服务。

为 Office 365 管理 API 访问创建 Microsoft Entra 应用程序注册

请按照以下步骤为 Power Automate 流中的 HTTP 调用设置 Microsoft Entra 应用程序注册,以连接审核日志。 在开始使用 Office 365 管理 API 中了解更多信息。

  1. 登录到 Azure 门户

  2. 转至 Microsoft Entra ID>应用注册

    显示应用注册 Azure 服务位置的屏幕截图。

  3. 选择 + 新建注册

  4. 输入名称,例如 Microsoft 365 管理,但不要更改任何其他设置。 然后选择注册

  5. 选择 API 权限>+ 添加权限

    显示 API 权限菜单的 + 添加权限按钮位置的屏幕截图。

  6. 选择 Office 365 管理 API,按如下方式配置权限:

    1. 选择应用程序权限,然后选择 ActivityFeed.Read

      显示“API 权限”菜单的“请求 API 权限”页面上的 ActivityFeed.Read 设置的屏幕截图。

    2. 选择添加权限

  7. 选择为 <您的组织授予管理员同意书>。 进一步了解如何在先决条件中设置管理内容。

    现在,API 权限反映的是已授权的 ActivityFeed.Read 权限,状态为向<您的组织授予>

  8. 选择证书和密码

  9. 选择 + 新客户端密码

  10. 根据您组织的策略添加描述和到期时间。 然后选择添加

  11. 将应用程序(客户端)ID 复制并粘贴到记事本文件等文本文档中。

  12. 选择概述,并将应用程序(客户端)ID 和目录(租户)ID 值复制并粘贴到同一文本文档。 请务必记下哪个全局唯一标识符(GUID)用于哪个值。 在配置自定义连接器时,您将需要这些值。

更新环境变量

环境变量用于控制使用传统的 Office 365 管理 API 或图形 API。 环境变量还用于存储客户端 ID 和用于应用程序注册的密钥。 此外,根据 HTTP 操作使用的云类型,环境变量还用于定义受众和授权服务端点。 您的云类型可能是商业云、美国政府社区云(GCC)、美国 GCC High 或美国国防部(DoD)。 在开启流之前更新环境变量

您可以在审核日志 - 客户端密钥环境变量中以纯文本形式存储客户密钥。 但是,我们不建议使用此方法。 相反,我们建议您在 Azure Key Vault 中创建和存储客户端密码,并在 审核日志 - 客户端 Azure 密码环境变量中引用它。

备注

为使用此环境变量的流配置了一个条件,以获取审核日志 - 客户端密码审核日志 - 客户端 Azure 密码环境变量。 但是,您不需要编辑流即可使用 Azure Key Vault。

客户 Description 价值
审计日志 - 使用图形 API 控制是否使用图形 API 查询事件的参数。

(默认)

同步流使用传统 Office 365 管理 API。
审核日志 - 访问群体 HTTP 调用的访问群体参数。
  • 商业(默认):https://manage.office.com
  • GCC:https://manage-gcc.office.com
  • GCC High:https://manage.office365.us
  • DoD:https://manage.protection.apps.mil
Audit Logs - Authority HTTP 调用中的授权字段。
  • 商业(默认):https://login.windows.net
  • GCC:https://login.windows.net
  • GCC High:https://login.microsoftonline.us
  • DoD:https://login.microsoftonline.us
审核日志 - ClientID 应用程序注册客户端 ID。 应用程序客户端 ID 来自为 Office 365 管理 API 访问创建 Microsoft Entra 应用程序注册步骤。
审核日志 - 客户端密码 纯文本形式的应用程序注册客户端密码(不是密码 ID,而是实际值)。

应用程序客户端密钥来自为 Office 365 管理 API 访问创建 Microsoft Entra 应用程序注册步骤。

如果使用 Azure Key Vault 存储客户端 ID 和密钥,请将此变量留空。
审核日志 - 客户端 Azure 密码 应用程序注册客户端密钥的 Azure Key Vault 参考。

应用程序客户端密码的 Azure Key Vault 参考来自为 Office 365 管理 API 访问创建 Microsoft Entra 应用程序注册步骤。

如果您在审核日志 - 客户端密钥环境变量中以纯文本形式存储客户端 ID,请将此变量留空。 此变量需要 Azure Key Vault 引用,而不是机密。 了解更多信息,请参阅将环境变量用于 Azure Key Vault 密码

开启订阅审核日志内容

  1. 转到 make.powerapps.com

  2. 选择解决方案

  3. 打开卓越中心 - 核心组件解决方案。

  4. 打开管理员 | 审计日志 | Office 365 管理 API 订阅流并运行它,输入开始作为要运行的操作。

    屏幕截图,其中显示了导航栏中“运行”按钮的位置以及“运行流”窗格中的启动作。

  5. 打开流并验证启动订阅的操作是否已通过。

重要提示

如果您之前启用了订阅,您将看到 (400) 订阅已启用消息。 这意味着过去已成功启用了订阅。 您可以忽略此消息,继续安装。

如果您没有看到上述消息或 (200) 响应,则请求可能已失败。 您的设置可能存在错误,导致流无法正常工作。 要检查的常见问题包括:

  • 审核日志是否已启用,您是否有权查看审核日志? 通过在 Microsoft Compliance Manager 中搜索来测试日志是否已启用。
  • 最近是否启用了审核日志? 如果已启用,请在几分钟后重试,以使审核日志有时间激活。
  • 验证您是否正确执行了 Microsoft Entra 应用注册中的步骤。
  • 验证您是否正确更新了这些流的环境变量。

打开流

  1. 转到 make.powerapps.com
  2. 选择解决方案
  3. 打开卓越中心 - 核心组件解决方案。
  4. 打开管理 | 审核日志 | 更新数据 (V2) 流。 此流会用上次启动的信息更新 Power Apps 表。 它还将元数据添加到审核日志记录中。
  5. 打开管理员 | 审核日志 | 同步审核日志 (V2) 流。 该流每小时运行一次,并将审核日志事件收集到审核日志表中。

提供反馈

如果您在 CoE 初学者工具包中发现了一个 bug,请在 aka.ms/coe-starter-kit-issues 中针对该解决方案提交一个bug。