使用自訂連接器收集稽核記錄 (已取代)
重要
使用專用的卓越中心 - 稽核記錄解決方案和 Office 365 管理自訂連接器來收集稽核記錄事件已被取代。 此解決方案和自訂連接器將於 2023 年 8 月從 CoE 入門套件中移除。
我們有用來收集稽核記錄事件的新流程,其為卓越中心 - 核心元件解決方案的一部分。 這個新流程使用 HTTP 連接器。 深入了解:使用 HTTP 動作收集稽核記錄
稽核記錄同步處理流程會連接到 Microsoft 365 稽核記錄,以收集應用程式的遙測資料 (唯一使用者、啟動)。 流程使用自訂連接器連接稽核記錄。 在下列指示中,您將設定自訂連接器並設定流程。
卓越中心 (CoE) 入門套件不需要此流程即可運作,但是 Power BI 儀表板中的使用資訊(應用程式啟動、不重複使用者)將會是空白。
重要
繼續進行本文中的設定之前,請先完成設定 CoE 入門套件之前和設定存放庫元件中的指示。 本文假設您已設定好環境,並且以正確的身分識別登入。
只有在您已選擇雲端流程做為詳細目錄和遙測的機制,才設定稽核記錄解決方案。
觀看如何設定稽核記錄連接器的逐步說明。
使用稽核記錄連接器之前
Microsoft 365 稽核紀錄搜尋必須打開,稽核紀錄連接器才能運作。 其他資訊:開啟或關閉稽核記錄搜尋
執行流程的使用者身分識別必須具備稽核記錄的權限。 此處說明了最低權限:在您搜尋稽核記錄之前
您的租用戶必須有支援整合稽核記錄的訂閱。 其他資訊:商務版和企業版方案的安全性與合規性中心可用性
需要全域管理員來設定 Microsoft Entra 應用程式註冊。
Office 365 管理 API 用 Microsoft Entra ID 來提供驗證服務,您可以用來授予您的應用程式存取權。
建立 Office 365 管理 API 的 Microsoft Entra 應用程式註冊
使用這些步驟,您將可設定用於自訂連接器和 Power Automate 流程中的 Microsoft Entra 應用程式註冊,以連線稽核記錄。 其他資訊:開始使用 Office 365 管理 API
登入 portal.azure.com。
移至 Microsoft Entra ID>應用程式註冊。
選取 + 新增註冊。
輸入名稱 (例如 Microsoft 365 管理),請勿變更任何其他設定,然後選取註冊。
選取 API 權限>+ 新增權限。
選取 Office 365 管理 API,並設定權限,如下所示:
選取委派權限,然後選取 ActivityFeed.Read。
選取新增權限。
選取(為您的組織)授予管理者同意。 先決條件:授與租用戶範圍的應用程式管理員同意
API 權限現在反映了委派的 ActivityFeed.Read,狀態為授與(您的組織)。
選取憑證和密碼。
選取 + 新增用戶端密碼。
新增描述和到期日 (符合您組織的原則),然後選取 新增。
複製密碼並暫時貼至記事本中的文字檔。
選取概述,並將應用程式(用戶端)ID 和目錄(租戶)ID值複製與貼至相同的文字檔;請務必記住每個 GUID 分別代表的值。 您在下一個設定自訂連接器步驟中,會需要這些值。
讓 Azure 入口網站保持開啟狀態,因為您在建立自訂連接器之後,必須進行一些設定更新。
建立自訂連接器
現在您將設定並建立使用 Office 365 管理 API 的自訂連接器。
移至 Power Apps>Dataverse>自訂連接器。 Office 365 管理 API 自訂連接器將會列在這裡,其已匯入核心元件解決方案。
選取編輯。
如果您的租用戶位於商業租用戶中,請將一般頁面保持原樣。
重要
- 如果您的租用戶是 GCC High 的租用戶,請將主機變更為 manage-gcc.office.com。
- 如果您的租用戶是 GCC High 的租用戶,請將主機變更為 manage.office365.us。
- 如果您的租用戶是 DoD 租用戶,請將主機變更為 manage.protection.apps.mil。
其他資訊:活動 API 作業
選取安全性。
選取位於 Oauth 2.0 區域底部的編輯,以編輯驗證參數。
將識別提供者變更為 Microsoft Entra ID。
將從應用程式註冊中複製的應用程式(用戶端)ID 貼至用戶端 ID。
將從應用程式註冊中複製的用戶端密碼,貼至用戶端密碼。
請勿變更租戶 ID。
將登入 URL 保留為適用於商業和 GCC 租用戶,並變更為適用於 GCC High 或 DoD 租用戶的 https://login.microsoftonline.us/。
將商業租用戶、GCC 租用戶、GCC High 租用戶和 DoD 租用戶的資源 URL 分別設定為 https://manage.office.com、https://manage-gcc.office.com、https://manage.office365.us 和 https://manage.protection.apps.mil。
選取更新連接器。
複製重新導向 URL 到記事本的文字檔中。
Note
如果您為 CoE 入門套件環境設定了資料外洩防護 (DLP) 原則,則需要將此連接器新增至此原則的僅商務資料群組。
使用重新導向 URL 更新 Microsoft Entra 應用程式註冊
移至 Azure 入口網站和您的應用程式註冊。
在 概觀 下,選取 新增重新導向 URL。
選取 + 新增平台>網站。
輸入您從自訂連接器的重新導向 URL區段中複製的 URL 。
選取設定。
開始訂閱以稽核記錄內容
返回至自訂連接器,以設定與自訂連接器的連接,並 開始訂閱稽核記錄內容 (如下列步驟所述)。
重要
您必須先完成這些步驟,才能進行後續步驟。 如果您不建立新的連線,並在此處測試連接器,後續設定流程和子流程的步驟將會失敗。
在自訂連接器頁面上,選取測試。
選取 + 新連線,然後以您的帳戶登入。
在作業 下,選取StartSubscription。
將目錄 (租用戶) 識別碼 (之前從 Microsoft Entra ID 中的應用程式註冊概觀頁面複製的) 貼上到租用戶欄位。
將目錄 (租用戶) 識別碼貼上到 PublisherIdentifier。
選取測試運作。
您應該會看到 (200) 的狀態回傳,這表示查詢成功。
重要
如果您之前啟用了訂閱,您將看到 (400) 訂閱已啟用訊息。 這表示之前已成功啟用訂閱。 您可以忽略此錯誤並繼續設定。
如果您沒有看到上述訊息或 (200) 回覆,則要求可能失敗。 您的安裝程式可能會讓您的設定無法正常運作。 要檢查的一般問題包括:
- 確認安全性索引標籤上的識別提供者是否設定為 Microsoft Entra ID。
- 是否已啟用稽核紀錄,且您是否有查看稽核紀錄的權限? 檢查您是否可以在 Microsoft 合規性管理員中搜尋。
- 如果您沒有權限,請參閱在搜尋稽核記錄之前。
- 您最近是否啟用過稽核記錄? 如果是,請在幾分鐘後再試一次,讓稽核記錄有時間啟動。
- 您是否已從 Microsoft Entra 應用程式註冊中貼上正確的租用戶識別碼?
- 您是否已將貼上正確的來源 URL,且未在結尾處新增空格或字元?
- 確認您是否已正確按照 Microsoft Entra 應用程式註冊中的步驟進行。
- 驗證您是否已正確更新自訂連接器的安全性設定,如本文前述的 自訂連接器安裝步驟 6 程序。
如果您仍然看到失敗,則您的連接可能會處於不良狀態。 深入了解:關於修復稽核記錄連線的逐步指示
建立 Power Automate 流程
Power Automate 流程使用自訂連接器,每天查詢稽核記錄,並將 Power Apps 啟動事件寫入 Microsoft Dataverse 資料表。 此資料表格隨後會用在 Power BI 儀表板中,以報告應用程式的工作階段和唯一使用者。
按照 設定核心元件 中的指示下載解決方案。
匯入卓越中心稽核記錄解決方案 (CenterofExcellenceAuditLogs_x_x_x_xxx_managed .zip)。
建立連接以啟動您的解決方案。 如果建立新連線,則必須選取 重新整理。 您不會遺失匯入進度。
開放卓越中心 – 稽核記錄解決方案。
從下層管理員 | 同步記錄移除未受管理層。
選取下層管理員 | 同步記錄。
編輯僅限使用者執行設定。
如果是 Office 365 管理 API 自訂連接器,請將值變更為使用此連線 (userPrincipalName@company.com)。 如果沒有任何連接器的連線,請移至 Dataverse>連線,並為連接器建立連線。
對於 Microsoft Dataverse 連接器,讓「僅執行」權限值保持空白,並確認已正確設定 CoE 稽核記錄 - Dataverse 連接的連接參考。 如果連接顯示錯誤,請為 CoE 稽核記錄 - Dataverse 連接參考更新連接參考。
選取儲存,然後關閉流程詳細資料索引標籤。
(選擇性) 編輯 TimeInterval-Unit 和 TimeInterval-Interval 環境變數,以收集更小的時間區塊。 預設值是將 1 天分成 1 小時區段。 如果稽核記錄無法以您設定的時間間隔收集所有資料,您將會收到此解決方案的警報。
名字 描述 StartTime-Interval 必須是整數,表示要回溯到何時開始擷取。
預設值:1 (表示回溯一天)StartTime-Unit 確定要回溯擷取資料的時間單位。
必須是做為輸入參數從接收到新增到時間的值。
範例合法值:分鐘、小時、天
預設值:天TimeInterval-Unit 確定從開始將時間區塊化的單位。
必須是做為輸入參數從接收到新增到時間的值。
範例合法值:分鐘、小時、天
預設值:小時TimeInterval-Interval 必須是整數,以表示類型單位的區塊數 (上圖)。
預設值:1 (表示 1 小時區塊)TimeSegment-CountLimit 必須是整數,表示可以建立的區塊數限制。
預設值:60重要
提供的預設值適用於中型租用戶。 您可能需要多次調整此值,才能使其適合您的租用戶大小。
重要
了解如何更新環境變數:更新環境變數
返回解決方案,開啟 [下層] 管理員 | 同步記錄流程與管理員 | 同步稽核記錄流程。
環境變數設定的範例
以下是這些值的範例設定:
StartTime-Interval | StartTime-Unit | TimeInterval-Interval | TimeInterval-Unit | TimeSegment-CountLimit | 期望 |
---|---|---|---|---|---|
1 | 天 | 1 | 小時 | 60 | 將建立 24 個下層流程,不超過 60 個。 每個下層流程將執行工作,從過去 24 小時拉回 1 小時的記錄 |
2 | 天 | 1 | 小時 | 60 | 將建立 48 個下層流程,不超過 60 個。 每個下層流程將執行工作,從過去 48 小時拉回 1 小時的記錄 |
7 | 天 | 5 | 分鐘 | 300 | 將建立 288 個下層流程,不超過 300 個。 每個下層流程將執行工作,從過去 24 小時拉回 5 分鐘的記錄 |
7 | 天 | 15 | 分鐘 | 100 | 將建立 96 個下層流程,不超過 100 個。 每個下層流程將執行工作,從過去 24 小時拉回 15 分鐘的記錄 |
如何取得更舊的資料
此解決方案會從設定之日起收集應用程式啟動情況,但不會收集歷史應用程式啟動情況。 根據您的 Microsoft 365 授權,使用 Microsoft Purview 中的稽核記錄可以使用長達一年的歷史資料。
您可以手動將歷史資料載入至 CoE 入門套件表格。 深入了解:如何匯入舊的稽核記錄
CoE 入門套件出現了一個錯誤;我應該前往何處?
要針對解決方案提交錯誤,請移至 aka.ms/coe-starter-kit-issues。