Delen via

Auditlogboeken verzamelen met behulp van de Office 365-beheer-API

  • Artikel

De synchronisatiestromen voor auditlogboeken maken verbinding met de Office 365-beheeractiviteit-API-referentie om telemetriegegevens te verzamelen, zoals unieke gebruikers en aantal keren opgestart voor apps. De stromen gebruiken een HTTP-actie om toegang te krijgen tot de API. In dit artikel stelt u de app-registratie voor de HTTP-actie in, evenals de omgevingsvariabelen die nodig zijn om de stromen uit te voeren.

Opmerking

De Centre of Excellence (CoE) Starter Kit werkt zonder deze stromen, maar de gebruiksinformatie, zoals aantal keer starten van app, unieke gebruikers, in het Power BI-dashboard is leeg.

Voorwaarden

  1. Voltooi de artikelen Voordat u de CoE Starter Kit instelt en Voorraadonderdelen instellen.
  2. Stel uw omgeving in.
  3. Meld u aan met de juiste identiteit.

Tip

Stel de auditlogboekstromen alleen in als u cloudstromen hebt gekozen als mechanisme voor inventaris en telemetrie.

Voordat u de auditlogboekstromen instelt

  1. Zoeken in Microsoft 365-auditlogboek moet zijn ingeschakeld om de auditlogboekconnector te laten werken. Meer informatie vindt u in Zoeken in auditlogboek in- of uitschakelen
  2. Uw tenant moet een abonnement hebben dat uniforme controleregistratie ondersteunt. Meer informatie vindt u in Beschikbaarheid van het Beveiligings- en compliancecentrum voor zakelijke en enterprise-abonnementen.
  3. Mogelijk zijn Microsoft Entra-machtigingen vereist om de Microsoft Entra-appregistratie te kunnen configureren. Afhankelijk van uw Entra-configuratie kan dit een Application Developer -rol of hoger zijn. Bekijk de rollen met de minste privileges per taak in Microsoft Entra ID voor meer informatie.

Opmerking

De beheer-API's van Office 365 gebruiken Microsoft Entra ID om verificatieservices te leveren die u kunt gebruiken om uw toepassing rechten te verlenen om hier toegang tot te krijgen.

Een Microsoft Entra-app-registratie maken voor toegang tot Office 365-beheer-API

Met behulp van deze stappen kunt u een Microsoft Entra-appregistratie instellen voor een HTTP-aanroep in een Power Automate-stroom om verbinding te maken met het auditlogboek. Meer informatie vindt u in Aan de slag met Office 365-beheer-API's.

  1. Meld u aan bij de Azure-portal.

  2. Ga naar Microsoft Entra ID>App-registraties.

    Schermafbeelding met de locatie van de Azure-service voor app-registraties.

  3. Selecteer + Nieuwe registratie.

  4. Voer een naam in, bijvoorbeeld Microsoft 365 Beheer, maar wijzig geen andere instellingen. Selecteer vervolgens Registreren.

  5. Selecteer API-machtigingen>+Een machtiging toevoegen.

    Schermopname waarin de locatie van de knop +Een machtiging toevoegen in het menu API-machtigingen te zien is.

  6. Selecteer Office 365-beheer-API en configureer de machtigingen als volgt:

    1. Selecteer Toepassingsmachtigingen en selecteer ActivityFeed.Read.

      Schermafbeelding van de instelling ActivityFeed.Read op de pagina API-machtigingen aanvragen van het menu API-machtigingen.

    2. Selecteer Machtigingen toevoegen.

  7. Selecteer Beheerderstoestemming geven aan (uw organisatie). Meer informatie over het instellen van beheerdersinhoud vindt u in Tenant-brede beheertoestemming geven aan een toepassing.

    De API-machtigingen weerspiegelen nu gedelegeerde ActivityFeed.Read met de status Toegekend voor (uw organisatie).

  8. Selecteer Certificaten en geheimen.

  9. Selecteer + Nieuw clientgeheim.

  10. Voeg een beschrijving en vervaldatum toe in overeenstemming met het beleid van uw organisatie. Selecteer vervolgens Toevoegen.

  11. Kopieer en plak de toepassings-ID (client-ID) in een tekstdocument, bijvoorbeeld Kladblok.

  12. Selecteer Overzicht en kopieer en plak de waarden voor toepassings-id (client) en directory-id (tenant) in hetzelfde tekstdocument. Noteer welke GUID voor welke waarde is. Deze waarden hebt u nodig wanneer u de aangepaste connector configureert.

Omgevingsvariabelen bijwerken

Omgevingsvariabelen worden gebruikt om te bepalen welke API moet worden gebruikt, de verouderde Office 365-beheer-API of Graph API, en om de client-id en het geheim voor de app-registratie op te slaan. Variabelen worden ook gebruikt om service-eindpunten voor doelgroepen en autoriteiten te definiëren, afhankelijk van uw cloud voor de HTTP-actie. Uw type cloud kan commercieel zijn, US Government Community Cloud (GCC), US GCC High of US Department of Defense (DoD). Werk de omgevingsvariabelen bij voordat u de stromen inschakelt.

U kunt het clientgeheim opslaan in platte tekst in de omgevingsvariabele Audit Logs - Client Secret , maar dit wordt niet aanbevolen. In plaats daarvan raden we u aan om het clientgeheim te maken en op te slaan in de Azure Key Vault en ernaar te verwijzen in de omgevingsvariabele Auditlogboeken - Client Azure-geheim.

Opmerking

De stroom die deze omgevingsvariabele gebruikt, is geconfigureerd met een voorwaarde om de omgevingsvariabele Auditlogboeken - Clientgeheim of Auditlogboeken - Azure-geheim client te verwachten. U hoeft de stroom echter niet te bewerken om met Azure Key Vault te werken.

Meting Omschrijving Waarden
Auditlogboeken - Graph API gebruiken Parameter waarmee u kunt bepalen of Graph API moet worden gebruikt om gebeurtenissen op te vragen. Nee (standaard)

Synchronisatiestroom maakt gebruik van de verouderde Office 365-beheer-API.
Auditlogboeken - Doelgroep De doelgroepparameter voor de HTTP-aanroepen. Commercieel (Standaard): https://manage.office.com

GCC: https://manage-gcc.office.com

GCC High: https://manage.office365.us

DoD: https://manage.protection.apps.mil
Auditlogboeken - Instantie Het instantieveld in de HTTP-aanroepen. Commercieel (Standaard): https://login.windows.net

GCC: https://login.windows.net

GCC High: https://login.microsoftonline.us

DoD: https://login.microsoftonline.us
Auditlogboeken - Client-id De client-ID van de app-registratie. De client-id van de toepassing is afkomstig uit de stap Maak een Microsoft Entra-app-registratie voor toegang tot de Office 365-beheer-API.
Auditlogboeken - Clientgeheim Het clientgeheim van de app-registratie (niet de geheime id, maar de werkelijke waarde) in platte tekst. Het clientgeheim van de toepassing is afkomstig uit de stap Maak een Microsoft Entra-app-registratie voor toegang tot de Office 365-beheer-API. Laat leeg als u Azure Key Vault gebruikt om uw client-id en clientgeheim op te slaan.
Auditlogboeken - Azure-geheim client Azure Key Vault-verwijzing van het clientgeheim van de app-registratie. De Azure Key Vault-verwijzing voor het clientgeheim van de toepassing is afkomstig uit de stap Een Microsoft Entra-app-registratie maken voor de Office 365-beheer-API. Laat leeg als u uw client-id in platte tekst opslaat in de omgevingsvariabele Auditlogboeken - Clientgeheim. Deze variabele verwacht de Azure Key Vault-verwijzing, niet het geheim. Meer informatie vindt u in Azure Key Vault-geheimen gebruiken in omgevingsvariabelen.

Een abonnement om de inhoud van het auditlogboek te controleren

  1. Ga naar make.powerapps.com.

  2. Selecteer Oplossingen.

  3. Open de oplossing Centre of Excellence – Kernonderdelen.

  4. Schakel de stroom Beheer | Auditlogboeken | Office 365-beheer-API-abonnement in en voer deze uit. Voer starten in als de bewerking die moet worden uitgevoerd.

    Schermafbeelding waarop de locatie van de knop Uitvoeren in de navigatiebalk en de startbewerking in het deelvenster Uitvoeren te zien zijn.

  5. Open de stroom en controleer of de actie om het abonnement te starten is doorgegeven.

Belangrijk

Als u het abonnement eerder hebt ingeschakeld, ziet u een bericht (400) Het abonnement is al ingeschakeld. Dit betekent dat het abonnement in het verleden al is ingeschakeld. U kunt dit bericht negeren en doorgaan met het instellen.

Als u het bovenstaande bericht of een (200) respons niet ziet, is het verzoek mogelijk mislukt. Er is mogelijk een fout opgetreden in uw configuratie waardoor de stroom niet werkt. Veelvoorkomende problemen om te controleren zijn:

  • Zijn auditlogboeken ingeschakeld en heeft u toestemming om de auditlogboeken te bekijken? Controleer of de logboeken zijn ingeschakeld door te zoeken in Microsoft Compliance Manager.
  • Hebt u het auditlogboek recentelijk ingeschakeld? Zo ja, probeer het na een paar minuten opnieuw om het auditlogboek de tijd te geven om te activeren.
  • Controleer of u de stappen voor de Microsoft Entra-app-registratie correct hebt uitgevoerd.
  • Controleer of u de omgevingsvariabelen voor deze stromen correct hebt bijgewerkt.

Stromen inschakelen

  1. Ga naar make.powerapps.com.
  2. Selecteer Oplossingen.
  3. Open de oplossing Centre of Excellence – Kernonderdelen.
  4. Schakel de stroom Beheerder | Auditlogboeken | Gegevens bijwerken (V2) in. Met deze stroom wordt de Power Apps-tabel bijgewerkt met informatie over de laatste keer gestart en worden metagegevens toegevoegd aan de auditlogboekrecords.
  5. Schakel de stroom Beheerder | Auditlogboeken | Auditlogboeken synchroniseren (V2) in. Deze flow wordt elk uur uitgevoerd en verzamelt auditlogboekgebeurtenissen in de tabel auditlogboek.

Feedback geven

Als u een bug vindt in de CoE Starter Kit, kunt u een bug melden bij de oplossing op aka.ms/coe-starter-kit-issues.