Поділитися через

Збирання журналів аудиту за допомогою Office 365 Management API

  • Стаття

Потоки синхронізації журналу аудиту підключаються до Office 365 довідника API керування для збору даних телеметрії, таких як унікальні користувачі та запуски програм. Потоки використовують дію HTTP для доступу до API. У цій статті ви налаштували реєстрацію застосунку для дії HTTP і змінні середовища, необхідні для запуску потоків.

Нотатка

Стартовий набір Center of Excellence (CoE) працює без цих потоків, але інформація про використання, як-от запуск програм та унікальні користувачі, на інформаційній Power BI панелі порожня.

вимоги

  1. Заповніть статті Перед налаштуванням стартового набору CoE та Налаштування компонентів інвентаризації.
  2. Налаштуйте своє оточення.
  3. Увійдіть під правильним посвідченням особи.

Порада

Налаштовуйте потоки журналу аудиту лише в тому випадку, якщо ви вибрали хмарні потоки як механізм інвентаризації та телеметрії.

Перш ніж настроїти потоки журналу аудиту

  1. Щоб з’єднувач контрольного журналу працював, потрібно ввімкнути пошук у контрольному журналі Microsoft 365. Дізнайтеся більше в статті Увімкнення та вимкнення пошуку в журналі аудиту в чергах.
  2. Ваш клієнт повинен мати передплату, яка підтримує уніфіковане журналювання відстеження. Дізнайтеся більше в статті Доступність Центру безпеки та відповідності для бізнес-планів і планів для підприємств.
  3. Microsoft Entra Для налаштування Microsoft Entra реєстрації додатка можуть знадобитися дозволи. Залежно від вашої конфігурації Entra, це може бути роль розробника програми або вище. Перегляньте розділ Найменш привілейовані ролі за завданнями в Microsoft Entra ID , щоб отримати додаткові вказівки.

Нотатка

API Office 365 керування використовують Microsoft Entra ідентифікатор для надання служб автентифікації, які можна використовувати для надання прав на доступ до них програмі.

Створіть Microsoft Entra реєстрацію в додатку для Office 365 доступу до API керування

Використовуючи ці кроки, ви можете налаштувати Microsoft Entra реєстрацію програми для виклику HTTP у Power Automate потоці для підключення до журналу аудиту. Дізнайтеся більше в статті Початок роботи з Office 365 API керування.

  1. Увійдіть у Портал Azure.

  2. Перейдіть до Microsoft Entra розділу Реєстрація> в IDApp.

    Скріншот, на якому показано місцезнаходження сервісу Реєстрація в додатку Azure.

  3. Виберіть + Створити реєстрацію.

  4. Введіть назву, наприклад Microsoft 365 Керування, але не змінюйте інші налаштування. Потім виберіть Зареєструватися.

  5. Виберіть Дозволи API>+ Додати дозвіл.

    Скріншот, на якому показано розташування кнопки +Додати дозвіл у меню дозволів API.

  6. Виберіть Office 365 Management API та налаштуйте дозволи наступним чином:

    1. Виберіть Дозволи програм, а потім виберіть ActivityFeed.Read.

      Знімок екрана, на якому показано налаштування ActivityFeed.Read на сторінці Запит дозволів API у меню дозволів API.

    2. Виберіть Додати дозволи.

  7. Виберіть Надати дозвіл адміністратора для (ваша організація). Дізнайтеся більше про налаштування вмісту адміністратора в статті Надання згоди адміністратора клієнта на застосунок.

    Дозволи API тепер відображають делеговані дозволи ActivityFeed.Read зі станом Надано для (ваша організація).

  8. Виберіть Сертифікати і секретні ключі.

  9. Виберіть + Створити секретний ключ клієнта (client).

  10. Додайте опис і термін дії відповідно до політики вашої організації. Потім виберіть Додати.

  11. Скопіюйте та вставте ідентифікатор програми (клієнта) у текстовий документ, наприклад Блокнот.

  12. Виберіть «Огляд » і скопіюйте та вставте значення ідентифікатора програми (клієнта) та ідентифікатора каталогу (клієнта) в один текстовий документ. Обов’язково запишіть, який ідентифікатор GUID призначений для якого значення. Ці значення потрібні вам під час налаштування користувацького з’єднувача.

Оновлення змінних середовища

Змінні середовища використовуються для контролю того, який API використовувати, застарілий Office 365 API керування або Graph API, а також для зберігання ідентифікатора клієнта та секрету для реєстрації програми. Змінні також використовуються для визначення кінцевих точок аудиторії та авторитету служби, залежно від вашої хмари для дії HTTP. Ваш тип хмари може бути комерційним, Урядом США (GCC), США GCC High або Міністерством оборони США (DoD). Оновіть змінні середовища перед увімкненням потоків.

Ви можете зберігати секрет клієнта у вигляді простого тексту в змінній середовища Audit Logs - Client Secret , що не рекомендується. Замість цього ми рекомендуємо вам створити і зберегти секрет клієнта в Сховищі ключів Azure і посилатися на нього в змінній середовища Audit Logs - Client Azure Secret .

Нотатка

Потік, що використовує цю змінну середовища, налаштовується з умовою очікування змінної середовища Audit Logs - Client Secret або змінної середовища Audit Logs - Client Azure Secret . Однак вам не потрібно редагувати потік, щоб працювати з Azure Key Vault.

Ім'я Опис Значення
Журнали аудиту - використовуйте Graph API Параметр для контролю, чи слід використовувати Graph API для запиту подій. Ні (за замовчуванням)

Для синхронізації потоку використовується застарілий Office 365 API керування.
Журнали аудиту - аудиторія Параметр аудиторії для дзвінків HTTP. Комерційні (за замовчуванням): https://manage.office.com

GCC: https://manage-gcc.office.com

GCC High: https://manage.office365.us

Міноборони: https://manage.protection.apps.mil
Журнали аудиту - Повноваження Поле повноважень у HTTP-викликах. Комерційні (за замовчуванням): https://login.windows.net

GCC: https://login.windows.net

GCC High: https://login.microsoftonline.us

Міноборони: https://login.microsoftonline.us
Журнали аудиту - ClientID Ідентифікатор клієнта реєстрації в додатку. Ідентифікатор клієнта програми вказано на кроці Створення Microsoft Entra реєстрації програми для Office 365 доступу до API керуваннякрок.
Журнали аудиту - секрет клієнта Секрет клієнта реєстрації програми (не секретний ідентифікатор, а фактичне значення) у вигляді простого тексту. Секрет клієнта програми полягає в кроці Створіть Microsoft Entra реєстрацію програми для доступу Office 365 до API керуваннякрок. Залиште пустим, якщо ви зберігаєте ідентифікатор клієнта й секретний ключ у сховищі ключів Azure.
Журнали аудиту - секрет клієнта Azure Azure Посилання на Сховище ключів клієнта реєстрації в секретній формі. Посилання Azure Key Vault для секрету клієнта програми взято з розділу Створення Microsoft Entra реєстрації програми для доступу Office 365 до API керування крок. Залиште порожнім, якщо ви зберігаєте ідентифікатор клієнта у вигляді простого тексту в змінній середовища Audit Logs - Client Secret . Ця змінна очікує посилання на Azure Key Vault, а не секрет. Дізнайтеся більше в статті Використання Azure секретів Key Vault у змінних середовища.

Відкрийте передплату на вміст журналу відстеження

  1. Перейдіть на веб-сайт make.powerapps.com.

  2. Виберіть Рішення.

  3. Відкрийте Центр передового досвіду – рішення Core Components .

  4. Увімкніть функцію Admin | Журнали аудиту | Office 365 Керуючи API потоком підписки і запустивши його, введіть старт як операцію для виконання.

    Знімок екрана, на якому показано розташування кнопки «Запустити» на панелі навігації та операцію запуску на панелі «Запуск потоку».

  5. Відкрийте ланцюжок і переконайтеся, що дію для запуску підписки пройдено.

Важливо

Якщо ви раніше активували підписку, ви бачите повідомлення ( 400) Підписка вже активована . Це означає, що підписку успішно ввімкнено в минулому. Ви можете проігнорувати це повідомлення та продовжити налаштування.

Якщо ви не бачите наведеного вище повідомлення або (200) відповіді, швидше за все, запит не виконано. Можливо, у вашому налаштуванні сталася помилка, яка перешкоджає роботі потоку. Поширені проблеми, які потрібно перевірити:

  • Чи ввімкнуто журнали відстеження та чи є у вас дозвіл на перегляд журналів відстеження? Перевірте, чи ввімкнено логи, виконавши пошук у Microsoft Менеджері відповідності.
  • Чи активували ви журнал аудиту нещодавно? Якщо ситуація є саме такою, дайте журналу відстеження час на активацію та повторіть спробу через кілька хвилин.
  • Переконайтеся, що ви правильно виконали кроки під час Microsoft Entra реєстрації програми.
  • Переконайтеся, що ви правильно оновили змінні середовища для цих потоків.

Увімкнення циклів

  1. Перейдіть на веб-сайт make.powerapps.com.
  2. Виберіть Рішення.
  3. Відкрийте Центр передового досвіду – рішення Core Components .
  4. Увімкніть функцію Admin | Журнали аудиту | Потік оновлених даних (V2). Цей потік оновлює Power Apps таблицю з інформацією про останній запуск і додає метадані до записів журналу аудиту.
  5. Увімкніть функцію Admin | Журнали аудиту | Потік журналів аудиту синхронізації (V2). Цей потік виконується за погодинним графіком і збирає події журналу аудиту в таблицю журналу аудиту.

Надіслати відгук

Якщо ви знайшли помилку в стартовому наборі CoE, повідомте про помилку проти рішення за адресою aka.ms/coe-starter-kit-issues.