Compartir a través de

Recopilar registros de auditoría mediante la API de administración de Office 365

  • Artículo

El flujo de sincronización del registro de auditoría se conecta a la API de referencia de actividad de administración de Office 365 para recopilar datos de telemetría, como usuarios únicos e inicios para las aplicaciones. Los flujos utilizan una acción HTTP para acceder a la API. En este artículo, configurará el registro de la aplicación para la acción HTTP y las variables de entorno necesarias para ejecutar los flujos.

Nota

El Kit de inicio del Centro de excelencia (CoE) funcionará sin estos flujos, pero la información de uso, como lanzamientos de aplicaciones y usuarios únicos, del panel de Power BI estará en blanco.

Requisitos previos

  1. Complete los artículos de Antes de configurar el kit de inicio de CoE y Configurar componentes de inventario.
  2. Configurar el entorno.
  3. Inicie sesión con la identidad correcta.

Propina

Configure los flujos de registro de auditoría solo si eligió flujos en la nube como mecanismo para el inventario y la telemetría.

Antes de configurar los flujos de registro de auditoría

  1. La búsqueda del registro de auditoría de Microsoft 365 debe estar activada para que funcione el conector de registro de auditoría. Más información: Activar o desactivar la búsqueda de registro de auditoría.
  2. Su inquilino debe tener una suscripción que admita el registro de auditoría unificado. Más información: Disponibilidad del Centro de seguridad y cumplimiento para planes de negocio y empresariales.
  3. Microsoft Entra Es posible que se requieran permisos para configurar el registro de aplicaciones Microsoft Entra . Dependiendo de su configuración de Entra, podría ser un rol de Desarrollador de Aplicaciones o superior. Revise Roles con menos privilegios por tarea en Microsoft Entra ID para obtener más orientación.

Nota

Las API de administración de Office 365 utilizan Microsoft Entra ID para proporcionar servicios de autenticación que otorgan derechos a la aplicación para acceder a ellos.

Crear un registro de la aplicación Microsoft Entra para acceder a la API de administración de Office 365

Siguiendo estos pasos, puede configurar el registro de una aplicación Microsoft Entra para una llamada HTTP en un flujo de Power Automate para conectarse al registro de auditoría. Más información: Introducción a las API de administración de Office 365.

  1. Inicie sesión en el portal Azure.

  2. Vaya a Microsoft Entra ID>Registros de aplicaciones.

    Captura de pantalla que muestra la ubicación del servicio Azure de registros de aplicaciones.

  3. Seleccione + Nuevo registro.

  4. Escriba un nombre, como Administración de Microsoft 365, pero no cambie ningún otro valor. Después, haga clic en Registrar.

  5. Seleccione Permisos de API>+Agregar un permiso.

    Captura de pantalla que muestra la ubicación del botón +Agregar un permiso del menú de permisos de la API

  6. Seleccione API de administración de Office 365 y configure los permisos de la siguiente manera:

    1. Seleccione Permisos de aplicación y luego seleccione ActivityFeed.Read.

      Captura de pantalla que muestra la configuración ActivityFeed.Read en la página Solicitar permisos de API del menú de permisos de API

    2. Seleccione Agregar permisos.

  7. Seleccione Conceder consentimiento del administrador para (su organización). Obtenga más información sobre cómo configurar contenido de administrador en Otorgar el consentimiento del administrador para todo el inquilino a una aplicación.

    Los permisos de API ahora reflejan los permisos ActivityFeed.Read delegados con un estado de Concedido para (su organización).

  8. Seleccione Certificados y secretos.

  9. Seleccione + Nuevo secreto de cliente.

  10. Agregue una descripción y vencimiento de acuerdo con las directivas de su organización. A continuación, seleccione Agregar.

  11. Copie y pegue el valor de ID de la aplicación (cliente) a un documento de texto como el Bloc de notas.

  12. Seleccione Información general y copie y pegue los valores de id. de la aplicación (cliente) y del directorio (inquilino) en el mismo documento de texto. Asegúrese de tomar nota de qué GUID es para qué valor. Necesitará estos valores cuando vaya a configurar el conector personalizado.

Actualizar variables de entorno

Las variables de entorno se utilizan para controlar qué API usar, la API de administración legado Office 365 o la API Graph, y para almacenar el identificador y el secreto del cliente para el registro de la aplicación. Las variables también se usan para definir los puntos de conexión de servicio de público y autoridad en función de la nube para la acción HTTP. Su tipo de nube puede ser comercial, Nube Comunitaria del Gobierno de EE. UU. (GCC), o GCC High del Departamento de Defensa de EE. UU. (DoD). Actualice las Variables de entorno antes de activar los flujos.

Puede almacenar el secreto del cliente en texto sin formato en la variable de entorno Registros de auditoría: secreto de cliente, lo cual no se recomienda. En su lugar, se recomienda crear y almacenar el secreto de cliente en Azure Key Vault y hacer referencia a él en la variable de entorno Registros de auditoría - Secreto de cliente Azure .

Nota

El flujo que usa esta variable de entorno está configurado con una condición para esperar la variable de entorno Registros de auditoría - Secreto de cliente o Registros de auditoría - Secreto de cliente de Azure. Sin embargo, no tendrá que editar el flujo para trabajar con Azure Key Vault.

Name Description Valores
Registros de auditoría: usar Graph API Parámetro para controlar si se debe usar Graph API para consultar eventos. No (predeterminado)

El flujo de sincronización usa una API de administración heredada de Office 365.
Registros de auditoría - Público El parámetro de público para las llamadas HTTP. Comercial (predeterminado): https://manage.office.com

GCC: https://manage-gcc.office.com

GCC High: https://manage.office365.us

DoD: https://manage.protection.apps.mil
Registros de auditoría: público El campo de autoridad en las llamadas HTTP. Comercial (predeterminado): https://login.windows.net

GCC: https://login.windows.net

GCC High: https://login.microsoftonline.us

DoD: https://login.microsoftonline.us
Registros de auditoría - ClientID El ID de cliente del registro de aplicación. El Id. de cliente de la aplicación del paso Crear un registro de aplicaciones Microsoft Entra para la API de administración de Office 365.
Registros de auditoría - Secreto del cliente El secreto de cliente de registro de la aplicación (no el identificador de secreto, sino el valor real) en texto sin formato. El secreto de cliente de la aplicación del paso Crear un registro de aplicaciones Microsoft Entra para la API de administración de Office 365. Déjelo en blanco si usa Azure Key Vault para almacenar su ID y secreto de cliente.
Registros de auditoría - Secreto del cliente de Azure Referencia de Azure Key Vault del secreto del cliente de registro de la aplicación. La referencia de Azure Key Vault para el secreto de cliente de la aplicación del paso Crear un registro de aplicaciones Microsoft Entra para la API de administración de acceso de Office 365. Déjelo en blanco si está almacenando su id. de cliente en texto sin formato en la variable de entorno Registros de auditoría - Secreto de cliente. Esta variable espera la referencia de Azure Key Vault, no el secreto. Más información: Usar secretos de Azure Key Vault en variables de entorno.

Iniciar una suscripción para auditar el contenido del registro

  1. Vaya a make.powerapps.com.

  2. Seleccione Solución.

  3. Abra la solución Centro de excelencia - Componentes principales.

  4. Active el flujo Administrador | Registros de auditoría | Suscripción a la API de administración de Office 365 y ejecútelo; introduzca iniciar como la operación para ejecutar.

    Captura de pantalla que muestra la ubicación del botón Ejecutar en la barra de navegación y la operación de inicio en el panel de Ejecutar flujo.

  5. Abra el flujo y compruebe que se pasa la acción para iniciar la suscripción.

Importante

Si previamente ha habilitado la suscripción, verá un mensaje (400) La suscripción ya está habilitada. Esto significa que la suscripción se ha habilitado con éxito en el pasado. Puede ignorar este mensaje y continuar con la configuración.

Si no ve el mensaje anterior o una respuesta (200), es posible que la solicitud haya fallado. Podría haber un error con su configuración que impide que el flujo funcione. Los problemas comunes por verificar son:

  • ¿Están habilitados los registros de auditoría y tiene permiso para ver los registros de auditoría? Pruebe si los registros están habilitados buscando en Administrador de cumplimiento de Microsoft.
  • ¿Ha habilitado el registro de auditoría recientemente? Si es así, inténtelo nuevamente en unos minutos para darle tiempo al registro de auditoría a que se active.
  • Compruebe que ha seguido correctamente los pasos de registro de la aplicación de Microsoft Entra.
  • Valide que actualizó correctamente las variables de entorno para estos flujos.

Activar flujos

  1. Vaya a make.powerapps.com.
  2. Seleccione Solución.
  3. Abra la solución Centro de excelencia - Componentes principales.
  4. Active el flujo Administrador | Registros de auditoría | Actualizar datos (V2). Este flujo actualiza la tabla de Power Apps con la información del último inicio y agrega metadatos a los registros de auditoría.
  5. Active el flujo Administrador | Registros de auditoría | Sincronizar registros de auditoría (V2). Este flujo se ejecuta según una programación horaria y recopila eventos del registro de auditoría en la tabla registro de auditoría.

Proporcionar comentarios

Si encuentra un error con el Kit de inicio de CoE, envíe un error contra la solución en aka.ms/coe-starter-kit-issues.