通过

使用自定义连接器收集审核日志(已弃用)

  • 项目

重要提示

使用专用的卓越中心 - 审核日志解决方案和 Office 365 管理自定义连接器来收集审核日志事件这一功能已被弃用。 该解决方案和自定义连接器将于 2023 年 8 月从 CoE 初学者工具包中删除。 我们有一个收集审核日志事件的新流程,它是卓越中心 - 核心组件解决方案的一部分。 此新流使用 HTTP 连接器。 了解详细信息:使用 HTTP 操作收集审核日志

审核日志同步流会连接到 Microsoft 365 审核日志以收集应用的遥测数据(唯一用户、启动)。 此流使用自定义连接器连接到审核日志。 在下面的说明中,您将设置自定义连接器并配置流。

卓越中心 (CoE) 初学者工具包在没有此流程的情况下运行,但仪表板中的 Power BI 使用情况信息(应用启动、唯一用户数)随后为空。

先决条件

使用审核日志连接器之前

  1. 要使审核日志连接器正常工作,必须打开 Microsoft 365 审核日志搜索。 有关详细信息,请参阅 打开或关闭审核

  2. 运行流的用户标识必须对审核日志具有权限。 搜索审核日志 之前中介绍了最低权限。

  3. 您的租户必须具有支持统一审核日志记录的订阅。 有关详细信息,请参阅 Microsoft 365 安全性 & 合规性指南。

  4. 需要全局管理员来配置 Microsoft Entra 应用注册。

Office 365 管理 API 使用 Microsoft Entra ID 提供身份验证服务,您可以使用这些服务为应用程序授予访问权限。

为 Office 365 管理 API 创建 Microsoft Entra 应用注册

使用这些步骤,您将设置 Microsoft Entra 应用注册,以在自定义连接器和 Power Automate 流中用于连接到审核日志。 详细信息:Office 365 管理 API 入门

  1. 登录到 Azure 门户

  2. 转至 Microsoft Entra ID>应用注册

    显示应用注册的 Microsoft Entra 屏幕截图。

  3. 选择 + 新建注册

  4. 输入名称(例如,Microsoft 365 管理),不要更改任何其他设置,然后选择注册

  5. 选择 API 权限>+ 添加权限

    显示 API 权限的屏幕截图 - 添加权限。

  6. 选择 Office 365 管理 API,按如下方式配置权限:

    1. 选择委托的权限,然后选择 ActivityFeed.Read

      显示委派权限的屏幕截图。

    2. 选择添加权限

  7. 选择为(您的组织)授予管理员同意书。 先决条件:向应用程序授予租户范围的管理员同意

    API 权限现在反映了状态为已为(您的组织)授予的已委派 ActivityFeed.Read

  8. 选择证书和密码

  9. 选择 + 新客户端密码

  10. 添加说明和有效期(根据您组织的政策),然后选择添加

  11. 暂时将密码复制并粘贴到记事本内的文本文档中。

  12. 选择概述,然后将应用程序(客户端)ID 和目录(租户)ID 值复制并粘贴到同一文本文档;请务必记录哪个 GUID 对应哪个值。 在配置自定义连接器的后续步骤中,您将需要这些值。

使 Azure 门户保持打开状态,因为在设置自定义连接器后,您需要进行一些配置更新。

设置自定义连接器

现在,您可以配置并设置使用管理 API Office 365 的自定义连接器。

  1. 转到 Power Apps>Dataverse>自定义连接器。 此处列出了管理 Office 365 API 自定义连接器。 连接器与核心组件解决方案一起导入。

  2. 选择编辑

  3. 如果您的租户是商业租户,将常规页面保持原样。

    重要提示

    • 如果您的租户是 GCC 租户,请将主机 manage-gcc.office.com更改为。
    • 如果您的租户是租户, GCC High 请将主机 manage.office365.us更改为。
    • 如果您的租户是 DoD 租户,请将主机 manage.protection.apps.mil更改为。

    有关更多信息,请参阅 活动 API 操作

  4. 选择安全性

  5. Oauth 2.0 区域底部选择编辑以编辑身份验证参数。

    显示如何编辑自定义连接器的“安全”选项卡的“OAuth 2.0”部分的屏幕截图。

  6. 标识提供者更改为 Microsoft Entra ID。

    将标识提供者更改为 Microsoft Entra ID。

  7. 将从应用注册复制的应用程序(客户端)ID 粘贴到客户端 ID 中。

  8. 将从应用注册复制的客户端密码粘贴到客户端密码中。

  9. 不要更改租户 ID

  10. 对于商业租户和 GCC 租户, 请保留登录 URL ,但对于 a GCC High 或 DoD 租户,请将 URL 更改为 https://login.microsoftonline.us/

  11. 设置资源 URL

    租户类型 URL
    商业 https://manage.office.com
    GCC https://manage-gcc.office.com
    GCC High https://manage.office365.us
    DoD https://manage.protection.apps.mil

  12. 选择更新连接器

  13. 将重定向 URL 复制到文本文档(如记事本)中。

备注

如果您为 CoE 初学者工具包环境配置了 数据丢失防护 (DLP) 策略 ,请将此连接器添加到此策略的仅业务数据组。

使用重定向 URL 更新 Microsoft Entra 应用注册

  1. 转到 Azure 门户 和应用注册。

  2. 概览下,选择添加重定向 URI

  3. 选择 + 添加平台>Web

  4. 输入从自定义连接器的重定向 URL 部分中复制的 URL。

  5. 选择配置

启动订阅并审核日志内容

返回到自定义连接器,以设置与自定义连接器的连接,并开始订阅审核日志内容,如以下步骤中所述。

重要提示

您必须完成这些步骤才能使后续步骤起作用。 如果不在此处创建新连接并测试连接器,则在后续步骤中设置流和子流将失败。

  1. 自定义连接器页上,选择测试

  2. 选择 + 新建连接,然后使用您的帐户登录。

  3. 操作下,选择 StartSubscription

    显示自定义连接器“启动订阅”的屏幕截图。

  4. 目录(租户)ID(之前从 Microsoft Entra ID 中的应用注册概览页面复制)粘贴到租户字段中。

  5. 目录(租户)ID 粘贴到 PublisherIdentifier 中。

  6. 选择测试操作

您应该会看到返回了一个 (200) 状态,这意味着查询成功。

显示从 StartSubscription 活动返回的成功状态的屏幕截图。

重要提示

如果您之前已启用订阅,则会看到一条 (400) The subscription is already enabled 消息。 这意味着订阅已成功启用。 请忽略此错误并继续设置。

如果您没有看到上述消息或 (200) 回复,则请求可能失败。 您的设置可能存在错误,导致流程无法正常工作。 要检查的常见问题包括:

  • 安全 ”选项卡上的标识提供者应设置为 Microsoft Entra “ID”。
  • 应启用审核日志,并且您有权查看它们。 通过搜索 Microsoft 合规性管理器 检查访问权限。
  • 如果您没有权限,请参阅 搜索审核日志之前。
  • 如果最近启用了审核日志,请在几分钟后再次尝试 seaching ,以便有时间激活审核日志。
  • 应用注册中的 Microsoft Entra 租户 ID 应正确无误。
  • 资源 URL 的末尾不应添加空格或字符。
  • 检查应用 Microsoft Entra 注册 中的步骤是否正确。
  • 自定义连接器的安全设置(如自定义连接器设置 的第 6 步骤中所述)应正确更新。

如果仍然看到失败,则表示您的连接可能处于不良状态。 有关详细信息,请参阅 修复审核日志连接的分步说明

设置 Power Automate 流

Power Automate 流使用自定义连接器,每天查询审核日志,并将 Power Apps 启动事件写入 Microsoft Dataverse 表。 然后在 Power BI 仪表板中使用此表来报告应用的会话和唯一用户。

  1. 在设置核心组件中 下载解决方案

  2. 转到 make.powerapps.com

  3. 使用该文件 CenterofExcellenceAuditLogs_*x_x_x_xxx*_managed.zip 导入卓越中心审核日志解决方案。

  4. 建立连接,然后激活您的解决方案。 如果创建新连接,必须选择刷新。 您不会丢失导入进度。

    显示如何导入 CoE 审核日志组件解决方案的屏幕截图。

  5. 打开卓越中心 – 审核日志解决方案

  6. 下级管理员 | 同步日志删除非托管层

  7. 选择下级管理员 | 同步日志

  8. 编辑仅运行用户设置。

    子流 - 仅运行用户。

  9. 对于 Office 365 管理 API 自定义连接器,将值更改为使用此连接 (userPrincipalName@company.com)。 如果没有任何连接器的连接,请转到 Dataverse>连接,然后为连接器创建连接。

    显示在哪里可以找到“配置仅运行用户”选项的屏幕截图。

  10. 对于 Microsoft Dataverse 连接器,将仅运行权限值留空,并确认已正确配置 CoE 审核日志 - Dataverse 连接的连接引用。 如果连接显示错误,更新 CoE 审核日志 - Dataverse 连接引用的连接引用。

    显示检查 CoE 审核日志的位置的屏幕截图 - Dataverse 连接引用。

  11. 选择保存,然后关闭流详细信息选项卡。

  12. (可选) TimeInterval-Unit 编辑 and TimeInterval-Interval 环境变量以收集缩小的时间块。 默认值是将一天分块 11 小时段。 如果审核日志未能按照您配置的时间间隔收集所有数据,您将收到来自此解决方案的警报。

    客户 描述
    StartTime-Interval 必须是一个整数来表示确定返回多久提取的开始时间。 默认值: 1 (为一天前)
    StartTime-Unit 确定返回多久提取数据的时间单位。 必须是从作为输入参数接受到添加到时间的值。 示例法律值: MinuteHourDay. 默认值为 Day
    TimeInterval-Unit 确定为开始以来的时间进行细分的单位。 必须是从作为输入参数接受到添加到时间的值。 示例法律值: MinuteHourDay. 默认值为 Hour
    TimeInterval-Interval 必须是整数,以表示 unit 类型的块数。 默认值为 1 (对于 1 小时块)。
    TimeSegment-CountLimit 必须是一个整数来表示可以创建的区块数量的限制。 默认值为 60

    [!ITIP] 这些默认值适用于中等大小的租户。 可能需要多次调整这些值,才能使此值适用于租户大小。

有关更新环境变量的更多信息,请参阅 更新环境变量

  1. 返回解决方案,同时启用“下级管理员 | 同步日志”流和“管理员 | 同步审核日志”流。

    显示如何打开审核日志流的屏幕截图。

环境变量的示例配置

下面是这些值的配置示例:

StartTime-Interval StartTime-Unit TimeInterval-Interval TimeInterval-Unit TimeSegment-CountLimit 预期
1 1 小时 60 创建 24 子流,在 60 个限制内。 每个子子流从过去 24 小时拉回 1 小时的日志。
2 1 小时 60 创建 48 子流,即 60 个限制。 每个子子流从过去 48 小时拉回 1 小时的日志。
1 5 分钟 300 创建 288 子流,在 300 的限制内。 每个子子流从过去 24 小时拉回 5 分钟的日志。
1 15 分钟 100 创建 96 子流,在 100 的限制范围内。 每个子子流从过去 24 小时内拉回 15 分钟的日志。

如何获取旧数据

配置后,此解决方案将收集应用启动,但未设置为收集历史应用启动。 根据你的 Microsoft 365 许可证,使用 Microsoft Purview 中的审核日志,历史数据最多可用一年。

您可以手动将历史数据加载到 CoE 初学者工具包表中。 有关详细信息,请参阅 如何导入旧的审核日志

我发现 CoE 初学者工具包有一个错误。 我应该去哪里解决?

若要针对解决方案报告错误,请转到 aka.ms/coe-starter-kit-issues