Coletar logs de auditoria usando um conector personalizado (preterido)

Importante

O uso da solução Centro de Excelência - Log de Auditoria dedicada e do conector personalizado Gerenciamento do Office 365 para coletar eventos de logs de auditoria foi preterido. A solução e o conector personalizado serão removidos do Kit de Início do CoE em agosto de 2023. Temos um novo fluxo que coleta eventos de logs de auditoria e faz parte da solução Centro de Excelência - Componentes Principais. Esse novo fluxo usa um conector HTTP. Saiba mais: Coletar logs de auditoria usando uma ação HTTP

O fluxo Sincronização do Log de Auditoria se conecta ao log de auditoria do Microsoft 365 para reunir dados telemétricos (usuários únicos, inicializações) para aplicativos. O fluxo usa um conector personalizado para se conectar ao Log de Auditoria. Nas instruções a seguir, você configurará o conector personalizado e o fluxo.

O Kit Inicial do Centro de Excelência (CoE) funciona sem esse fluxo, mas as informações de uso (lançamentos de aplicativos, usuários únicos) no painel ficam em branco. Power BI

Pré-requisitos

• Conclua os artigos Antes de configurar o Kit Inicial do CoE e Configurar componentes de estoque antes de continuar com a configuração neste artigo.

• Configure seu ambiente.

• Faça login com a identidade correta.

• (Opcional) Configure a solução Log de Auditoria somente se você escolher fluxos de nuvem como mecanismo para estoque e telemetria.

  Assista a um passo a passo sobre como configurar o conector de log de auditoria.

Antes de usar o conector de log de auditoria

1. A pesquisa do log de auditoria do Microsoft 365 deve estar ativada para que o conector do log de auditoria funcione. Para obter mais informações, consulte Ativar ou desativar a auditoria

2. A identidade do usuário que executa o fluxo deve ter permissão para os logs de auditoria. As permissões mínimas são descritas em Antes de pesquisar no log de auditoria.

3. Seu locatário deve ter uma assinatura que ofereça suporte ao log de auditoria unificado. Para obter mais informações, consulte Microsoft 365 orientações para segurança e conformidade.

4. Microsoft Entra podem ser necessárias permissões para configurar o Microsoft Entra registro do aplicativo. Dependendo da configuração do seu Entra, esta pode ser uma função de Desenvolvedor de Aplicativos ou superior. Revise as Funções menos privilegiadas por tarefa em Microsoft Entra ID para obter mais orientações.

As APIs de gerenciamento do Office 365 usam o Microsoft Entra ID a fim de fornecer serviços de autenticação que você pode usar para conceder direitos para seu aplicativo acessá-las.

Criar um registro do aplicativo Microsoft Entra para a API de gerenciamento do Office 365

Usando essas etapas, você configurará um registro do aplicativo do Microsoft Entra que será usado em um conector personalizado e um fluxo do Power Automate para se conectar ao log de auditoria. Mais informações: Introdução às APIs de gerenciamento do Office 365

1. Entre no Portal do Azure.

2. Acesse Microsoft Entra ID>Registros de aplicativo.

   

3. Selecione + Novo Registro.

4. Insira um nome (por exemplo, Gerenciamento do Microsoft 365), não altere nenhuma outra configuração e selecione Registro.

5. Selecione Permissões da API>+ Adicionar uma permissão.

   

6. Selecione API de Gerenciamento do Office 365 e configure as permissões da seguinte maneira:

   1. Selecione Permissões delegadas e, em seguida, ActivityFeed.Read.

      

   2. Selecione Adicionar permissões.

7. Selecione Conceder consentimento do administrador para (sua organização). Pré-requisitos: Dar consentimento de administrador em todo o locatário a um aplicativo

   As permissões da API agora refletem ActivityFeed.Read delegada com o status Concedido para (sua organização).

8. Selecione Certificados e segredos.

9. Selecione + Novo segredo do cliente.

10. Adicione uma descrição e uma expiração (de acordo com as políticas de sua organização) e selecione Adicionar.

11. Copie e cole o Segredo para um documento de texto no Bloco de Notas, por enquanto.

12. Selecione Visão geral e copie e cole os valores de ID do aplicativo (cliente) e do diretório (locatário) no mesmo documento de texto. Certifique-se de anotar qual GUID é de qual valor. Você precisará desses valores na próxima etapa, quando configurar o conector personalizado.

Deixe o portal do Azure aberto, porque você precisará fazer algumas atualizações de configuração depois de configurar o conector personalizado.

Configurar o conector personalizado

Agora você configura e instala um conector personalizado que usa as Office 365 APIs de geranciamento.

1. Acesse Power Apps>Dataverse>Conectores Personalizados. O conector personalizado da API de geranciamento está listado como Here. Office 365 O conector é importado com a solução de componentes principais.

2. Selecione Editar.

3. Se o seu locatário for um locatário comercial, deixe a página Geral como está.

   Importante

   • Se o seu locatário for um locatário do GCC, altere o host para manage-gcc.office.com.
   • Se o seu locatário for um GCC High locatário, altere o host para manage.office365.us.
   • Se o seu locatário for um locatário do DoD, altere o host para manage.protection.apps.mil.

   Para obter mais informações, consulte Operações da API de atividade.

4. Selecione Segurança.

5. Select Editar na parte inferior da área OAuth 2.0 para editar os parâmetros de autenticação.

   

6. Mudar o Provedor de identidade para Microsoft Entra ID.

   

7. Cole em ID do cliente o ID do aplicativo (cliente) que você copiou do registro do aplicativo.

8. Cole em Segredo do cliente o segredo do cliente que você copiou do registro do aplicativo.

9. Não altere o ID do locatário.

10. Deixe o URL de logincomo está para locatários comerciais e do GCC, mas para um locatário GCC High ou DoD altere o URL para https://login.microsoftonline.us/.

11. Defina o URL do recurso:

    Tipo de inquilino	URL
    Comercial	https://manage.office.com
    GCC	https://manage-gcc.office.com
    GCC High	https://manage.office365.us
    DoD	https://manage.protection.apps.mil

12. Selecione Atualizar conector.

13. Copie o URL de redirecionamento em um documento de texto, como o Bloco de notas.

Observação

Se você tiver uma política de dados prevenção contra perdas (DLP) configurada para seu ambiente do CoE Starter Kit, adicione este conector ao grupo somente dados comerciais desta política.

Atualizar registro de aplicativo do Microsoft Entra com o URL de redirecionamento

1. Acesse o portal do Azure e seus registros de aplicativos.

2. Em Visão geral, selecione Adicionar um URI de redirecionamento.

3. Selecione + Adicionar uma plataforma>Web.

4. Digite o URL que você copiou da seção URL de redirecionamento do conector personalizado.

5. Selecione Configurar.

Iniciar uma assinatura e auditar o conteúdo do log

Volte ao conector personalizado para configurar uma conexão com ele e inicie uma assinatura para o conteúdo do log de auditoria, conforme descrito nas etapas a seguir.

Importante

Você deve concluir estas etapas para que as etapas subsequentes funcionem. Se você não criar uma nova conexão e testar o conector Here, a configuração do fluxo e fluxo filho em etapas posteriores falhará.

1. Na página Conector Personalizado selecione Teste.

2. Selecione + Nova conexão e entre com sua conta.

3. Em Operações, selecione StartSubscription.

   

4. Cole a ID do diretório (locatário), copiada anteriormente da página de visão geral de Registro do Aplicativo no Microsoft Entra, no campo Locatário.

5. Cole a ID do diretório (locatário) em PublisherIdentifier.

6. Selecione Testar operação.

Você deve ver um status (200) retornado, o que significa que a consulta foi bem-sucedida.

Importante

Se você tiver habilitado a assinatura anteriormente, verá uma (400) The subscription is already enabled mensagem. Isso significa que a assinatura já foi habilitada com sucesso. Ignore esse erro e continue com a configuração.

Se você não vir a mensagem acima ou um (200) resposta, a solicitação provavelmente falhou. There pode ser um erro na sua configuração que está impedindo o fluxo de funcionar. Os problemas comuns a serem verificados são:

• O provedor de identidade na guia Segurança deve ser definido como Microsoft Entra ID.
• Os logs de auditoria devem estar habilitados e você tem permissão para visualizá-los. Verifique seu acesso pesquisando no Microsoft Compliance Manager.
• Se você não tiver permissões, consulte Antes de pesquisar no log de auditoria.
• Se você habilitou os logs de auditoria recentemente, tente pesquisar novamente em alguns minutos para dar tempo ao log de auditoria de ativar.
• O ID do locatário do registro do seu Microsoft Entra aplicativo deve estar correto.
• A URL do seu recurso não deve ter espaços ou caracteres adicionados no final.
• Revise as etapas do seu Microsoft Entra registro de aplicativo para verificar se estão corretas.
• As configurações de segurança do conector personalizado, conforme descrito em etapa 6 da configuração do conector personalizado, devem ser atualizadas corretamente.

Se você ainda estiver vendo falhas, sua conexão pode estar em um estado ruim. Para obter mais informações, consulte Instruções passo a passo para reparar a conexão do Log de auditoria.

Configurar o fluxo do Power Automate

Um fluxo do Power Automate usa o conector personalizado, consulta o log de auditoria diariamente e grava os eventos de início do Power Apps em uma tabela do Microsoft Dataverse. Essa tabela é então usada no painel do Power BI para gerar relatórios sobre sessões e usuários exclusivos de um aplicativo.

1. Baixe a solução em Configurar componentes principais.

2. Acesse make.powerapps.com.

3. Importe a solução de logs de auditoria do Centro de Excelência usando o arquivo CenterofExcellenceAuditLogs_*x_x_x_xxx*_managed.zip .

4. Estabeleça conexões e ative sua solução. Se criar uma conexão, você deverá selecionar Atualizar. Você não perde o andamento da importação.

   

5. Abra a solução de logs de auditoria do Centro de Excelência.

6. Remova o camada não gerenciada do [filho] Admin | Logs de sincronização.

7. Selecione o [Filho] Admin | Logs de Sincronização.

8. Edite as configurações em Executar somente usuários.

   

9. No caso do conector personalizado da API do Office 365 Management, altere o valor para Usar esta conexão (userPrincipalName@company.com). Se não houver conexões para nenhum dos conectores, acesse Dataverse>Conexões e crie uma para o conector.

   

10. Para o conector do Microsoft Dataverse, deixe o valor da permissão somente execução em branco e confirme se a referência de conexão para a conexão Logs de auditoria do CoE - Dataverse está configurada corretamente. Se a conexão estiver apresentando um erro, atualize a referência de conexão para a referência da conexão Logs de auditoria do CoE - Dataverse.

    

11. Selecione Salvar e feche a guia Detalhes do fluxo.

12. (Opcional) Edite as variáveis de ambiente TimeInterval-Unit e TimeInterval-Interval para reunir blocos de tempo Smaller. O valor padrão é dividir o dia em segmentos de hora. 1 1 Você receberá um alerta dessa solução se o Log de Auditoria não coletar todos os dados com o intervalo de tempo configurado.

    Nome	Descrição
    StartTime-Interval	Deve ser um número inteiro para representar a hora de início da busca. Valor padrão: 1 (para um dia anterior)
    StartTime-Unit	Determina as unidades em relação ao recuo no tempo para buscar dados. Deve ser um valor aceito como parâmetro de entrada para Adicionar ao tempo. Exemplo de valores legais: Minute, Hour, Day. O valor padrão é Day.
    TimeInterval-Unit	Determina unidades para dividir o tempo desde o início. Deve ser um valor aceito como parâmetro de entrada para Adicionar ao tempo. Exemplo de valores legais: Minute, Hour, Day. O valor padrão é Hour.
    TimeInterval-Interval	Deve ser um número inteiro para representar o número de blocos do tipo unidade. O valor padrão é 1 (para blocos de 1 hora).
    TimeSegment-CountLimit	Deve ser um número inteiro para representar o limite do número de blocos que podem ser criados. O valor padrão é 60.

    [!ITIP] Esses valores padrão funcionam em um locatário de médio porte. Pode ser necessário ajustar os valores várias vezes para que isso funcione para o tamanho do seu locatário.

Para obter mais informações sobre como atualizar variáveis de ambiente, consulte Atualizar variáveis de ambiente.

1. De volta à solução, ative ambos os fluxos [Filho] Admin | Sincronizar Logs e o Administrador | Sincronizar Logs de Auditoria.

Configurações de exemplo para variáveis de ambiente

Veja alguns exemplos de configurações desses valores:

StartTime-Interval	StartTime-Unit	TimeInterval-Interval	TimeInterval-Unit	TimeSegment-CountLimit	Expectativa
0	dia	0	hora	60	Crie 24 fluxos filho, o que está dentro do limite de 60. Cada fluxo filho recupera 1 hora de logs das últimas 24 horas.
2	dia	0	hora	60	Crie 48 fluxos filho, o que está dentro do limite de 60. Cada fluxo filho recupera 1 hora de logs das últimas 48 horas.
0	dia	5	minuto(s)	300	Cria 288 fluxos filho, o que está dentro do limite de 300. Cada fluxo filho recupera 5 minutos de logs das últimas 24 horas.
0	dia	15	minuto(s)	100	Crie 96 fluxos filho, o que está dentro do limite de 100. Cada fluxo filho recupera 15 minutos de logs das últimas 24 horas.

Como obter dados mais antigos

Uma vez configurada, esta solução coleta inicializações de aplicativos, embora não esteja configurada para coletar inicializações históricas de aplicativos. Dependendo da sua Microsoft 365 licença, os dados históricos ficam disponíveis por até um ano usando o log de auditoria no Microsoft Purview.

Você pode carregar dados históricos nas tabelas do Kit de Início do CoE manualmente. Para obter mais informações, consulte Como importar logs de auditoria antigos.

Encontrei um bug no CoE Starter Kit. Aonde devo ir?

Para registrar um bug na solução, vá para aka.ms/coe-starter-kit-issues.