使用自訂連接器收集稽核記錄 (已取代)

  • 發行項

重要

使用專用的卓越中心 - 稽核記錄解決方案和 Office 365 管理自訂連接器來收集稽核記錄事件已被取代。 此解決方案和自訂連接器將於 2023 年 8 月從 CoE 入門套件中移除。

我們有用來收集稽核記錄事件的新流程,其為卓越中心 - 核心元件解決方案的一部分。 這個新流程使用 HTTP 連接器。 深入了解:使用 HTTP 動作收集稽核記錄

稽核記錄同步處理流程會連接到 Microsoft 365 稽核記錄,以收集應用程式的遙測資料 (唯一使用者、啟動)。 流程使用自訂連接器連接稽核記錄。 在下列指示中,您將設定自訂連接器並設定流程。

卓越中心 (CoE) 入門套件不需要此流程即可運作,但是 Power BI 儀表板中的使用資訊(應用程式啟動、不重複使用者)將會是空白。

重要

繼續進行本文中的設定之前,請先完成設定 CoE 入門套件之前設定存放庫元件中的指示。 本文假設您已設定好環境,並且以正確的身分識別登入。

只有在您已選擇雲端流程做為詳細目錄和遙測的機制,才設定稽核記錄解決方案。

觀看如何設定稽核記錄連接器的逐步說明

使用稽核記錄連接器之前

  1. Microsoft 365 稽核紀錄搜尋必須打開,稽核紀錄連接器才能運作。 其他資訊:開啟或關閉稽核記錄搜尋

  2. 執行流程的使用者身分識別必須具備稽核記錄的權限。 此處說明了最低權限:在您搜尋稽核記錄之前

  3. 您的租用戶必須有支援整合稽核記錄的訂閱。 其他資訊:商務版和企業版方案的安全性與合規性中心可用性

  4. 需要全域管理員來設定 Microsoft Entra 應用程式註冊。

Office 365 管理 API 用 Microsoft Entra ID 來提供驗證服務,您可以用來授予您的應用程式存取權。

建立 Office 365 管理 API 的 Microsoft Entra 應用程式註冊

使用這些步驟,您將可設定用於自訂連接器和 Power Automate 流程中的 Microsoft Entra 應用程式註冊,以連線稽核記錄。 其他資訊:開始使用 Office 365 管理 API

  1. 登入 portal.azure.com

  2. 移至 Microsoft Entra ID>應用程式註冊

    Microsoft Entra 應用程式註冊。

  3. 選取 + 新增註冊

  4. 輸入名稱 (例如 Microsoft 365 管理),請勿變更任何其他設定,然後選取註冊

  5. 選取 API 權限>+ 新增權限

    API 權限 - 新增權限。

  6. 選取 Office 365 管理 API,並設定權限,如下所示:

    1. 選取委派權限,然後選取 ActivityFeed.Read

      委派權限。

    2. 選取新增權限

  7. 選取(為您的組織)授予管理者同意。 先決條件:授與租用戶範圍的應用程式管理員同意

    API 權限現在反映了委派的 ActivityFeed.Read,狀態為授與(您的組織)

  8. 選取憑證和密碼

  9. 選取 + 新增用戶端密碼

    新用戶端密碼。

  10. 新增描述和到期日 (符合您組織的原則),然後選取 新增

  11. 複製密碼並暫時貼至記事本中的文字檔。

  12. 選取概述,並將應用程式(用戶端)ID 和目錄(租戶)ID值複製與貼至相同的文字檔;請務必記住每個 GUID 分別代表的值。 您在下一個設定自訂連接器步驟中,會需要這些值。

讓 Azure 入口網站保持開啟狀態,因為您在建立自訂連接器之後,必須進行一些設定更新。

建立自訂連接器

現在您將設定並建立使用 Office 365 管理 API 的自訂連接器。

  1. 移至 Power Apps>Dataverse>自訂連接器。 Office 365 管理 API 自訂連接器將會列在這裡,其已匯入核心元件解決方案。

  2. 選取編輯

  3. 如果您的租用戶位於商業租用戶中,請將一般頁面保持原樣。

    重要

    • 如果您的租用戶是 GCC High 的租用戶,請將主機變更為 manage-gcc.office.com。
    • 如果您的租用戶是 GCC High 的租用戶,請將主機變更為 manage.office365.us。
    • 如果您的租用戶是 DoD 租用戶,請將主機變更為 manage.protection.apps.mil。

    其他資訊:活動 API 作業

  4. 選取安全性

  5. 選取位於 Oauth 2.0 區域底部的編輯,以編輯驗證參數。

    編輯 OAuth 設定。

  6. 識別提供者變更為 Microsoft Entra ID。

    將識別提供者變更為 Microsoft Entra ID。

  7. 將從應用程式註冊中複製的應用程式(用戶端)ID 貼至用戶端 ID

  8. 將從應用程式註冊中複製的用戶端密碼,貼至用戶端密碼

  9. 請勿變更租戶 ID

  10. 登入 URL 保留為適用於商業和 GCC 租用戶,並變更為適用於 GCC High 或 DoD 租用戶的 https://login.microsoftonline.us/。

  11. 將商業租用戶、GCC 租用戶、GCC High 租用戶和 DoD 租用戶的資源 URL 分別設定為 https://manage.office.com、https://manage-gcc.office.com、https://manage.office365.us 和 https://manage.protection.apps.mil。

  12. 選取更新連接器

  13. 複製重新導向 URL 到記事本的文字檔中。

Note

如果您為 CoE 入門套件環境設定了資料外洩防護 (DLP) 原則,則需要將此連接器新增至此原則的僅商務資料群組。

使用重新導向 URL 更新 Microsoft Entra 應用程式註冊

  1. 移至 Azure 入口網站和您的應用程式註冊。

  2. 概觀 下,選取 新增重新導向 URL

  3. 選取 + 新增平台>網站

  4. 輸入您從自訂連接器的重新導向 URL區段中複製的 URL 。

  5. 選取設定

開始訂閱以稽核記錄內容

返回至自訂連接器,以設定與自訂連接器的連接,並 開始訂閱稽核記錄內容 (如下列步驟所述)。

重要

您必須先完成這些步驟,才能進行後續步驟。 如果您不建立新的連線,並在此處測試連接器,後續設定流程和子流程的步驟將會失敗。

  1. 自訂連接器頁面上,選取測試

  2. 選取 + 新連線,然後以您的帳戶登入。

  3. 作業 下,選取StartSubscription

    自訂連接器開始訂閱。

  4. 目錄 (租用戶) 識別碼 (之前從 Microsoft Entra ID 中的應用程式註冊概觀頁面複製的) 貼上到租用戶欄位。

  5. 目錄 (租用戶) 識別碼貼上到 PublisherIdentifier

  6. 選取測試運作

您應該會看到 (200) 的狀態回傳,這表示查詢成功。

從 StartSubscription 動作成功傳回的狀態。

重要

如果您之前啟用了訂閱,您將看到 (400) 訂閱已啟用訊息。 這表示之前已成功啟用訂閱。 您可以忽略此錯誤並繼續設定。

如果您沒有看到上述訊息或 (200) 回覆,則要求可能失敗。 您的安裝程式可能會讓您的設定無法正常運作。 要檢查的一般問題包括:

  • 確認安全性索引標籤上的識別提供者是否設定為 Microsoft Entra ID。
  • 是否已啟用稽核紀錄,且您是否有查看稽核紀錄的權限? 檢查您是否可以在 Microsoft 合規性管理員中搜尋。
  • 如果您沒有權限,請參閱在搜尋稽核記錄之前
  • 您最近是否啟用過稽核記錄? 如果是,請在幾分鐘後再試一次,讓稽核記錄有時間啟動。
  • 您是否已從 Microsoft Entra 應用程式註冊中貼上正確的租用戶識別碼?
  • 您是否已將貼上正確的來源 URL,且未在結尾處新增空格或字元?
  • 確認您是否已正確按照 Microsoft Entra 應用程式註冊中的步驟進行。
  • 驗證您是否已正確更新自訂連接器的安全性設定,如本文前述的 自訂連接器安裝步驟 6 程序。

如果您仍然看到失敗,則您的連接可能會處於不良狀態。 深入了解:關於修復稽核記錄連線的逐步指示

建立 Power Automate 流程

Power Automate 流程使用自訂連接器,每天查詢稽核記錄,並將 Power Apps 啟動事件寫入 Microsoft Dataverse 資料表。 此資料表格隨後會用在 Power BI 儀表板中,以報告應用程式的工作階段和唯一使用者。

  1. 按照 設定核心元件 中的指示下載解決方案。

  2. 移至 make.powerapps.com

  3. 匯入卓越中心稽核記錄解決方案 (CenterofExcellenceAuditLogs_x_x_x_xxx_managed .zip)。

  4. 建立連接以啟動您的解決方案。 如果建立新連線,則必須選取 重新整理。 您不會遺失匯入進度。

    匯入 CoE 稽核記錄元件解決方案。

  5. 開放卓越中心 – 稽核記錄解決方案

  6. 下層管理員 | 同步記錄移除未受管理層

  7. 選取下層管理員 | 同步記錄

  8. 編輯僅限使用者執行設定。

    子流程 - 僅限使用者執行。

  9. 如果是 Office 365 管理 API 自訂連接器,請將值變更為使用此連線 (userPrincipalName@company.com)。 如果沒有任何連接器的連線,請移至 Dataverse>連線,並為連接器建立連線。

    設定僅限執行使用者。

  10. 對於 Microsoft Dataverse 連接器,讓「僅執行」權限值保持空白,並確認已正確設定 CoE 稽核記錄 - Dataverse 連接的連接參考。 如果連接顯示錯誤,請為 CoE 稽核記錄 - Dataverse 連接參考更新連接參考

    確認已將 Dataverse 連接參考設定為您的帳戶。

  11. 選取儲存,然後關閉流程詳細資料索引標籤。

  12. (選擇性) 編輯 TimeInterval-Unit 和 TimeInterval-Interval 環境變數,以收集更小的時間區塊。 預設值是將 1 天分成 1 小時區段。 如果稽核記錄無法以您設定的時間間隔收集所有資料,您將會收到此解決方案的警報。

    名字 描述
    StartTime-Interval 必須是整數,表示要回溯到何時開始擷取。
    預設值:1 (表示回溯一天)
    StartTime-Unit 確定要回溯擷取資料的時間單位。
    必須是做為輸入參數從接收到新增到時間的值。
    範例合法值:分鐘、小時、天
    預設值:天
    TimeInterval-Unit 確定從開始將時間區塊化的單位。
    必須是做為輸入參數從接收到新增到時間的值。
    範例合法值:分鐘、小時、天
    預設值:小時
    TimeInterval-Interval 必須是整數,以表示類型單位的區塊數 (上圖)。
    預設值:1 (表示 1 小時區塊)
    TimeSegment-CountLimit 必須是整數,表示可以建立的區塊數限制。
    預設值:60

    重要

    提供的預設值適用於中型租用戶。 您可能需要多次調整此值,才能使其適合您的租用戶大小。

    重要

    了解如何更新環境變數:更新環境變數

  13. 返回解決方案,開啟 [下層] 管理員 | 同步記錄流程與管理員 | 同步稽核記錄流程。

    開啟稽核記錄流程。

環境變數設定的範例

以下是這些值的範例設定:

StartTime-Interval StartTime-Unit TimeInterval-Interval TimeInterval-Unit TimeSegment-CountLimit 期望
1 1 小時 60 將建立 24 個下層流程,不超過 60 個。
每個下層流程將執行工作,從過去 24 小時拉回 1 小時的記錄
2 1 小時 60 將建立 48 個下層流程,不超過 60 個。
每個下層流程將執行工作,從過去 48 小時拉回 1 小時的記錄
7 5 分鐘 300 將建立 288 個下層流程,不超過 300 個。
每個下層流程將執行工作,從過去 24 小時拉回 5 分鐘的記錄
7 15 分鐘 100 將建立 96 個下層流程,不超過 100 個。
每個下層流程將執行工作,從過去 24 小時拉回 15 分鐘的記錄

如何取得更舊的資料

此解決方案會從設定之日起收集應用程式啟動情況,但不會收集歷史應用程式啟動情況。 根據您的 Microsoft 365 授權,使用 Microsoft Purview 中的稽核記錄可以使用長達一年的歷史資料。

您可以手動將歷史資料載入至 CoE 入門套件表格。 深入了解:如何匯入舊的稽核記錄

CoE 入門套件出現了一個錯誤;我應該前往何處?

要針對解決方案提交錯誤,請移至 aka.ms/coe-starter-kit-issues