Поделиться через

Ведение журналов аудита с помощью API управления Office 365

  • Статья

Потоки синхронизации журнала аудита подключаются к справочнику по API действий управления Office 365 для сбора данных телеметрии, таких как уникальные пользователи и запуски, для приложений. Потоки используют действие HTTP для доступа к API. В этой статье мы настроим регистрацию приложения для действия HTTP и переменных среды, необходимых для запуска потоков.

Заметка

Начальный набор центра передовых технологий (CoE) работает без этих потоков, но информация об использовании, такая как запуски приложений и уникальные пользователи, на панели мониторинга Power BI будет пустой.

Предварительные условия

  1. Выполните инструкции в статьях Перед настройкой начального набора CoE и Настройка компонентов запасов.
  2. Настройте среду.
  3. Войдите в систему с правильным удостоверением.

Совет

Настройте потоки журнала аудита только в том случае, если вы выбрали облачные потоки в качестве механизма инвентаризации и телеметрии.

Прежде чем настраивать потоки журнала аудита:

  1. Для работы соединителя журнала аудита должен быть включен поиск по журналу аудита Microsoft 365. Подробнее см. в разделе Включение и отключение поиска журнала аудита.
  2. У вашего клиента должна быть подписка, поддерживающая единый журнал аудита. Подробнее см. в разделе Доступность Центра безопасности и соответствия требованиям для планов бизнеса и предприятия.
  3. Для настройки регистрации приложения Microsoft Entra могут потребоваться разрешения Microsoft Entra. В зависимости от конфигурации Entra, это может быть роль Разработчик приложений или выше. Дополнительные рекомендации см. в статье Роли с наименьшими привилегиями по задачам в Microsoft Entra ID.

Заметка

API управления Office 365 используют Microsoft Entra ID для предоставления служб аутентификации, которые вы можете использовать для предоставления прав своему приложению для доступа к нему.

Создание регистрации приложений Microsoft Entra для доступа к API управления Office 365

Используя эти шаги, вы можете настроить регистрацию приложения Microsoft Entra для вызова HTTP в потоке Power Automate для подключения к журналу аудита. Подробнее см. в разделе Начало работы с API управления Office 365.

  1. Войдите на портал Azure.

  2. Перейдите к Microsoft Entra ID>Регистрация приложений.

    Снимок экрана, показывающий расположение службы регистрации приложений Azure.

  3. Выберите + Создать регистрацию.

  4. Введите имя, например Управление Microsoft 365, но не изменяйте никакие другие параметры. Затем выберите Зарегистрировать.

  5. Выберите Разрешения API>+ Добавить разрешение.

    Снимок экрана, показывающий расположение кнопки «+Добавить разрешение» в меню разрешений API.

  6. Выберите API управления Office 365 и настройте разрешения следующим образом:

    1. Выберите Разрешения приложения, затем выберите ActivityFeed.Read.

      Снимок экрана с параметром ActivityFeed.Read на странице «Запросить разрешения API» меню «Разрешения API».

    2. Выберите Добавить разрешения.

  7. Выберите Предоставить согласие администратора (вашей организации). Дополнительные сведения о настройке содержимого администрирования см. в статье Предоставление приложению согласия администратора на уровне клиента.

    Разрешения API теперь отражают делегированные разрешения ActivityFeed.Read с состоянием Предоставлено право для (ваша организация).

  8. Выберите Сертификаты и секреты.

  9. Выберите + Создать секрет клиента.

  10. Добавьте описание и срок действия в соответствии с политиками вашей организации. Затем выберите Добавить.

  11. Скопируйте и вставьте идентификатор приложения (клиента) в текстовый документ, например в Блокнот.

  12. Выберите Обзор и скопируйте и вставьте значения идентификатора приложения (клиента) и идентификатора каталога (клиента) в один и тот же текстовый документ. Обязательно запишите, какой GUID предназначен для какого значения. Эти значения понадобятся вам при настройке пользовательского соединителя.

Обновление переменных среды

Переменные среды используются для управления тем, какой API использовать, устаревший API управления Office 365 или API Graph, а также для хранения идентификатора клиента и секрета для регистрации приложения. Переменные также используются для определения аудитории и конечных точек службы авторизации, в зависимости от облака для действия HTTP. Ваш тип облака может быть коммерческим, облаком сообщества для государственных организаций США (GCC), US GCC High или Министерством обороны США (DoD). Обновите переменные среды перед включением потоков.

Секрет клиента можно хранить в виде обычного текста в переменной среды Журналы аудита — секрет клиента, что не рекомендуется. Вместо этого рекомендуется создать и сохранить секрет клиента в Azure Key Vault и ссылаться на него в переменной среды Журналы аудита — секрет клиента.

Заметка

Поток, использующий эту переменную среды, настроен с условием, что ожидается переменная среды Журналы аудита — секрет клиента либо Журналы аудита — секрет клиента Azure. Однако вам не нужно редактировать поток для работы с Azure Key Vault.

Полное имя Description Values
Журналы аудита — использование API Graph Параметр для управления тем, следует ли использовать API Graph для запроса событий. Нет (по умолчанию)

Поток синхронизации использует устаревший API управления Office 365.
Журналы аудита — аудитория Параметр аудитории для вызовов HTTP. Коммерческая (по умолчанию): https://manage.office.com

GCC: https://manage-gcc.office.com

GCC High: https://manage.office365.us

DoD: https://manage.protection.apps.mil
Журналы аудита — центр Поле «Центр» в HTTP-вызовах. Коммерческая (по умолчанию): https://login.windows.net

GCC: https://login.windows.net

GCC High: https://login.microsoftonline.us

DoD: https://login.microsoftonline.us
Журналы аудита — ClientID ИД клиента регистрации приложения. Идентификатор клиента приложения берется из шага Создание регистрации приложения Microsoft Entra для доступа к API управления Office 365.
Журналы аудита — секрет клиента Секрет клиента регистрации приложения (не идентификатор секрета, а фактическое значение) в виде обычного текста. Секрет клиента приложения берется из шага Создание регистрации приложения Microsoft Entra для доступа к API управления Office 365. Оставьте пустым, если вы используете Azure Key Vault для хранения своего идентификатора клиента и секрета.
Журналы аудита — секрет клиента Azure Ссылка на Azure Key Vault секрета клиента регистрации приложения. Ссылка Azure Key Vault для секрета клиента приложения из шага Создание регистрации приложения Microsoft Entra для доступа к API управления Office 365. Оставьте пустым, если вы сохраняете свой идентификатор клиента в виде простого текста в переменной среды Журналы аудита — секрет клиента. Эта переменная ожидает ссылку на Azure Key Vault, а не секрет. Подробнее см. в статье Использование секретов Azure Key Vault в переменных среды.

Начало подписки на содержимое журнала аудита

  1. Перейдите на сайт make.powerapps.com.

  2. Выберите Решения.

  3. Откройте решение Центр передовых технологий — основные компоненты.

  4. Включите поток Администратор | Журналы аудита | Подписка на API управления Office 365 и запустите его, введите пуск в качестве выполняемой операции.

    Снимок экрана, на котором показано расположение кнопки «Выполнить» на панели навигации и операция запуска на панели «Выполнить поток».

  5. Откройте поток и убедитесь, что действие для запуска подписки пройдено.

Важно

Если вы ранее активировали подписку, вы увидите сообщение (400) Подписка уже активна. Это означает, что подписка была успешно включена в прошлом. Вы можете проигнорировать это сообщение и продолжить настройку.

Если вы не видите приведенное выше сообщение или ответ (200), вероятно, запрос завершился сбоем. Возможна ошибка в настройках, из-за которой поток не работает. Типичные проблемы проверки:

  • Включены ли журналы аудита, и есть ли у вас разрешение на просмотр журналов аудита? Проверьте, включены ли журналы, выполнив поиск в диспетчере соответствия требованиям Microsoft.
  • Вы включили журнал аудита недавно? Если это так, попробуйте еще раз через несколько минут, чтобы дать журналу аудита время для активации.
  • Убедитесь, что вы правильно выполнили шаги в разделе Регистрация приложения Microsoft Entra.
  • Убедитесь, что вы правильно обновили переменные среды для этих потоков.

Включение потоков

  1. Перейдите на сайт make.powerapps.com.
  2. Выберите Решения.
  3. Откройте решение Центр передовых технологий — основные компоненты.
  4. Включите поток Администратор | Журналы аудита | Обновление данных (V2). Этот поток обновляет таблицу Power Apps, добавляя сведения о последнем запуске, и добавляет метаданные в записи журналов аудита.
  5. Включите поток Администратор | Журналы аудита | Синхронизация журналов аудита (V2). Этот поток выполняется по почасовому расписанию и собирает события журнала аудита в таблицу журнала аудита.

Предоставление отзыва

Если вы обнаружили ошибку в начальном наборе CoE, сообщите об ошибке для решения по адресу aka.ms/coe-starter-kit-issues.