Udostępnij za pośrednictwem

Zbieranie dzienników inspekcji przy użyciu interfejsu API zarządzania Office 365

  • Artykuł

Przepływy synchronizacji dziennika inspekcji łączą się z Odnośnik Office 365 Management Activity API w celu gromadzenia danych telemetrycznych, takich jak unikalni użytkownicy i uruchomienia aplikacji. Przepływy używają akcji HTTP, aby uzyskać dostęp do API. W tym artykule skonfigurowano rejestrację aplikacji dla akcji HTTP i zmienne środowiskowe potrzebne do uruchomienia przepływów.

Uwaga

Zestaw startowy CoE będzie działać bez tego przepływu pracy; jednak informacje dotyczące użytkowania (uruchomienia aplikacji, użytkownicy unikatowi) na pulpicie nawigacyjnym Power BI będą puste.

Wymagania wstępne

  1. Przed rozpoczęciem konfigurowania zestawu startowego dla programu CoE i konfigurowania składników zapasów wykonaj instrukcje, zanim będzie można kontynuować konfigurowanie.
  2. Konfigurowanie środowiska.
  3. Zaloguj się przy użyciu poprawnej tożsamości.

Porada

Skonfiguruj przepływy dziennika inspekcji tylko wtedy, gdy wybrałeś przepływy w chmurze jako mechanizm inwentaryzacji i telemetrii.

Przed skonfigurowaniem przepływów dziennika inspekcji

  1. Łącznik dziennika inspekcji Microsoft 365 musi być włączony, jeśli wyszukiwanie dziennika inspekcji ma funkcjonować. Więcej informacji: Włączanie i wyłączanie wyszukiwania dziennika inspekcji.
  2. Twoja dzierżawa musi mieć subskrypcję obsługującą zunifikowane rejestrowanie inspekcji. Więcej informacji: Dostępność Centrum zabezpieczeń i zgodności dla planów biznesowych i enterprise.
  3. Uprawnienia Microsoft Entra mogą być wymagane do skonfigurowania rejestracji aplikacji Microsoft Entra. W zależności od konfiguracji Entra może to być rola Programista aplikacji lub wyższa. Sprawdź Najmniej uprzywilejowane role według zadań w Microsoft Entra ID, aby uzyskać więcej wskazówek.

Uwaga

Interfejsy API zarządzania Office 365 umożliwiają korzystanie z usług uwierzytelniania Microsoft Entra ID w celu przyznawania użytkownikom uprawnień dostępu do aplikacji.

Utwórz rejestrację aplikacji Microsoft Entra dla dostępu interfejsu API zarządzania Office 365

Korzystając z tych kroków, można skonfigurować rejestrację aplikacji Microsoft Entra dla wywołania HTTP w przepływie Power Automate, aby połączyć się z dziennikiem inspekcji. Więcej informacji: Rozpoczęcie pracy z interfejsem API zarządzania Office 365.

  1. Zaloguj się do Portal Azure.

  2. Przejdź do Microsoft Entra ID>Rejestracje aplikacji.

    Zrzut ekranu przedstawiający lokalizację usługi App registrations Azure.

  3. Wybierz + Nowa rejestracja.

  4. Wprowadź nazwę, na przykład Zarządzanie w Microsoft 365, ale nie zmieniaj żadnych innych ustawień. Następnie wybierz pozycję Zarejestruj.

  5. Wybierz przycisk Uprawnienia API>Dodaj uprawnienie.

    Zrzut ekranu pokazujący lokalizację przycisku +Dodaj uprawnienie w menu uprawnień API.

  6. Wybierz opcję Interfejs API Office 365 Management i skonfiguruj uprawnienia w następujący sposób:

    1. Wybierz opcję Uprawnienia aplikacji, a następnie wybierz opcję ActivityFeed.Read.

      Zrzut ekranu przedstawiający ustawienie ActivityFeed.Read na stronie Uprawnienia API żądania w menu Uprawnienia API.

    2. Wybierz Przyznaj uprawnienia.

  7. Wybierz Daj zgodę dla (twoja organizacja). Więcej informacji na temat konfigurowania treści administratora można znaleźć w Udzielanie dzierżawie zgody administratora na aplikację.

    Uprawnienia API odzwierciedlają teraz uprawnienia delegowane ActivityFeed.Read ze statusem Granted for (Twoja organizacja).

  8. Wybierz opcję Certyfikaty i wpisy tajne.

  9. Wybierz pozycję + Nowe wpisy tajne klienta.

  10. Dodaj opis i zasadę wygasania (zgodnie z zasadami obowiązującymi w organizacji). Następnie wybierz pozycję Dodaj.

  11. Skopiuj i wklej identyfikator aplikacji (klienta) do dokumentu tekstowego, takiego jak Notatnik.

  12. Wybierz Przegląd i skopiuj oraz wklej wartości ID aplikacji (klienta) i ID katalogu (dzierżawy) do tego samego dokumentu tekstowego. Pamiętaj, aby zanotować, który identyfikator GUID odpowiada której wartości. Wartości te są potrzebne podczas konfigurowania niestandardowego łącznika.

Aktualizacja zmiennych środowiskowych

Zmienne środowiskowe służą do kontrolowania używanego interfejsu API, starszego interfejsu Office 365 Management API lub Graph API, a także do przechowywania identyfikatora klienta i klucza tajnego klienta do rejestracji aplikacji. Zmienne są również używane do definiowania punktów końcowych usług odbiorców i uprawnień, w zależności od chmury dla akcji HTTP. Twój typ chmury może być komercyjny, US Government Coummunity Coud (GCC), US GCC High lub US Department of Defense (DoD). Zaktualizuj zmienne środowiska przed włączeniem przepływów.

Klucz tajny klienta można przechowywać w postaci zwykłego tekstu w zmiennej środowiskowej Dzienniki inspekcji — klucz tajny klienta, co nie jest zalecane. Zamiast tego zalecamy utworzenie i przechowywanie klucza tajnego klienta w Azure Key Vault i odwołanie się do niego w zmiennej środowiskowej Dzienniki inspekcji - klucz tajny Azure klienta.

Uwaga

Przepływ korzystający z tej zmiennej środowiskowej jest skonfigurowany z warunkiem oczekiwania na zmienną środowiskową Dzienniki inspekcji - klucz tajny lub Dzienniki inspekcji - klucz tajny Azure. Nie trzeba jednak edytować przepływu, aby pracować z Azure Key Vault.

Nazwa/nazwisko Podpis Wartości
Dzienniki audytu - użycie Graph API Parametr służący do kontrolowania, czy interfejs Graph API ma być używane do wykonywania zapytań o zdarzenia. Nie (domyślnie)

Przepływ synchronizacji wykorzystuje starszy interfejs API zarządzania Office 365.
Dzienniki inspekcji – odbiorcy Parametr publiczności dla wywołań HTTP. Komercyjne (domyślnie): https://manage.office.com

GCC: https://manage-gcc.office.com

GCC High: https://manage.office365.us

DoD: https://manage.protection.apps.mil
Dzienniki inspekcji – uprawnienia Pole uprawnień w wywołaniach HTTP. Komercyjne (domyślnie): https://login.windows.net

GCC: https://login.windows.net

GCC High: https://login.microsoftonline.us

DoD: https://login.microsoftonline.us
Dzienniki inspekcji – ClientID Identyfikator klienta rejestracji aplikacji. Identyfikator klienta aplikacji pochodzi z kroku Utwórz rejestrację aplikacji Microsoft Entra dla dostępu do interfejsu API zarządzania Office 365.
Dzienniki inspekcji – klucz tajny klienta Klucz tajny klienta rejestracji aplikacji (nie identyfikator klucza tajnego, ale rzeczywista wartość) w postaci zwykłego tekstu. Klucz tajny aplikacji klienta pochodzi z kroku Utwórz rejestrację aplikacji Microsoft Entra dla dostępu do interfejsu API zarządzania Office 365. Pozostaw puste, jeśli używasz Azure Key Vault do przechowywania identyfikatora klienta i klucza tajnego.
Dzienniki inspekcji – klucz tajny Azure klienta Odwołanie Azure Key Vault do klucza tajnego do rejestracji aplikacji. Odwołanie do Azure magazynu kluczy tajnych dla sekretu klienta aplikacji z kroku Utwórz rejestrację aplikacji Microsoft Entra w celu uzyskania dostępu do interfejsu API zarządzania Office 365. Pozostaw puste, jeśli identyfikator klienta jest zapisywany jako zwykły tekst w zmiennej środowiskowej Dzienniki inspekcji – klucz tajny. Ta zmienna oczekuje odwołania do usługi Azure Key Vault, a nie wpisu tajnego. Więcej informacji: Używanie tajnego magazynu kluczy Azure w zmiennych środowisku.

Rozpoczynanie subskrypcji na zawartość dziennika inspekcji

  1. Przejdź do witryny make.powerapps.com.

  2. Wybierz Rozwiązania.

  3. Przejdź do rozwiązania Centrum doskonałości – składniki podstawowe.

  4. Włącz przepływ Administrator | Dzienniki audytu | Subskrypcja Office 365 Management API i uruchom go, wprowadź start jako operację do uruchomienia.

    Zrzut ekranu przedstawiający lokalizację przycisku Uruchom na pasku nawigacyjnym i operację uruchamiania w panelu Uruchom przepływ.

  5. Otwórz przepływ i sprawdź, czy akcja uruchomienia subskrypcji została przekazana.

Ważne

Jeśli wcześniej włączono subskrypcję, zostanie wyświetlony komunikat (400) Subskrypcja jest już włączona. Oznacza to, że subskrypcja została pomyślnie włączona w przeszłości. Można zignorować ten błąd i kontynuować instalację.

Jeśli powyższy komunikat lub odpowiedź (200) nie są widzieć, żądanie może się nie powieść. Mogą się pojawiać błędy w konfiguracji, przez co nie działa przepływ. Typowe problemy dotyczące sprawdzania są następujące:

  • Czy dzienniki inspekcji są włączone i czy masz uprawnienia do wyświetlania dzienników inspekcji? Sprawdź, czy dzienniki są włączone, wyszukując w Menedżerze zgodności Microsoft.
  • Czy ostatnio włączono dziennik inspekcji? W takim przypadku należy ponowić próbę za kilka minut, aby dać czas na aktywację dziennika inspekcji.
  • Sprawdź, czy pozostało poprawnie po wykonaniu procedury w rejestracji aplikacji Microsoft Entra.
  • Weryfikacja poprawności aktualizacji zmiennych środowiskowych dla tych przepływów.

Włączanie przepływów

  1. Przejdź do witryny make.powerapps.com.
  2. Wybierz Rozwiązania.
  3. Przejdź do rozwiązania Centrum doskonałości – składniki podstawowe.
  4. Włącz przepływ Administracja | Dzienniki inspekcji | Przepływ aktualizacji danych (V2). Ten przepływ aktualizuje tabelę Power Apps z informacjami o ostatnim uruchomieniu i dodaje metadane do rekordów dzienników inspekcji.
  5. Włącz przepływ Administracja | Dzienniki inspekcji | Synchronizacja dzienników inspekcji (V2). Przepływ ten działa zgodnie z harmonogramem godzinowym i gromadzi zdarzenia dziennika inspekcji w tabeli dziennika inspekcji.

Przekazywanie opinii

Jeśli znajdziesz usterkę w zestawie startowym Centrum doskonałości, zgłoś usterkę dotyczącą rozwiązania pod adresem aka.ms/coe-starter-kit-issues.