通过

使用管理 API 收集 Office 365 审核日志

  • 项目

审核日志同步流连接到 Office 365 管理活动 API 参考以收集遥测数据,如应用程序的唯一用户和启动。 流使用 HTTP 操作访问 API。 在本文中,您为 HTTP 操作和运行流所需的环境变量设置了应用程序注册。

备注

卓越中心 (CoE) 初学者工具包在没有这些流的情况下也能正常工作;但是,Power BI 仪表板中的使用情况信息(如应用启动次数和唯一用户)将为空白。

先决条件

  1. 完成在设置 CoE 初学者工具包之前设置库存组件文章。
  2. 设置您的环境
  3. 使用正确的标识 登录

小费

仅当您选择云端流作为库存和遥测机制时,才设置审核日志流程。

设置审核日志流之前

  1. 要使审核日志连接器正常工作,必须打开 Microsoft 365 审核日志搜索。 在打开或关闭审计日志搜索中了解更多信息。
  2. 您的租户必须具有支持统一审核日志记录的订阅。 在面向业务和企业计划的安全与合规中心可用性中了解更多信息。
  3. Microsoft Entra 可能需要具有配置应用程序注册 Microsoft Entra 的权限。 根据您的 Entra 配置,这可能是应用程序开发人员或更高级别的角色。 查看 Microsoft Entra ID 中按任务划分的最低特权角色,了解更多指导。

备注

Office 365 管理 API 使用 Microsoft Entra ID 提供身份验证服务,您可以使用这些服务为应用程序授予访问权限。

为 Office 365 管理 API 访问创建 Microsoft Entra 应用程序注册

使用这些步骤,您可以为 Power Automate 流中的 HTTP 调用设置 Microsoft Entra 应用程序注册,以连接到审核日志。 在开始使用 Office 365 管理 API 中了解更多信息。

  1. 登录到 Azure 门户

  2. 转至 Microsoft Entra ID>应用注册

    显示应用程序注册 Azure 服务位置的屏幕截图。

  3. 选择 + 新建注册

  4. 输入名称,例如 Microsoft 365 管理,但不要更改任何其他设置。 然后选择注册

  5. 选择 API 权限>+ 添加权限

    显示 API 权限菜单的 + 添加权限按钮位置的屏幕截图。

  6. 选择 Office 365 管理 API,按如下方式配置权限:

    1. 选择应用程序权限,然后选择 ActivityFeed.Read

      显示“API 权限”菜单的“请求 API 权限”页面上的 ActivityFeed.Read 设置的屏幕截图。

    2. 选择添加权限

  7. 选择为(您的组织)授予管理员同意书。 了解有关设置管理内容的更多信息,请参阅向应用程序授予租户范围的管理员同意

    API 权限现在反映了状态为已为(您的组织)授予的已委派 ActivityFeed.Read

  8. 选择证书和密码

  9. 选择 + 新客户端密码

  10. 根据您组织的策略添加描述和到期时间。 然后选择添加

  11. 将应用程序(客户端)ID 复制并粘贴到记事本等文本文档中。

  12. 选择概述,并将应用程序(客户端)ID 和目录(租户)ID 值复制并粘贴到同一文本文档。 请务必记下哪个 GUID 对应哪个值。 在配置自定义连接器时,您将需要这些值。

更新环境变量

环境变量用于控制使用什么 API(传统 Office 365 管理 API 还是图形 API),以及存储应用程序注册的客户端 ID 和密码。 变量还用于定义受众和权威服务端点,这取决于 HTTP 操作的云。 您的云类型可能是商业、美国政府社区委员会 (GCC)、美国 GCC High 或美国国防部 (DoD)。 在打开流之前更新环境变量

您可以将客户端密码以纯文本形式存储在审核日志 - 客户端密码环境变量中,但不推荐这样做。 相反,我们建议您在 Azure Key Vault 中创建和存储客户端密码,并在 审核日志 - 客户端 Azure 密码环境变量中引用它。

备注

为使用此环境变量的流配置了一个条件,以获取审核日志 - 客户端密码审核日志 - 客户端 Azure 密码环境变量。 但是,您不需要编辑流即可使用 Azure Key Vault。

客户 Description
审计日志 - 使用图形 API 用于控制是否应使用图形 API 来查询事件的参数。 否(默认)

同步流使用传统 Office 365 管理 API。
审核日志 - 访问群体 HTTP 调用的访问群体参数。 商业(默认): https://manage.office.com

GCC:https://manage-gcc.office.com

GCC High:https://manage.office365.us

DoD:https://manage.protection.apps.mil
Audit Logs - Authority HTTP 调用中的授权字段。 商业(默认): https://login.windows.net

GCC:https://login.windows.net

GCC High:https://login.microsoftonline.us

DoD:https://login.microsoftonline.us
审核日志 - ClientID 应用程序注册客户端 ID。 应用程序客户端 ID 来自为 Office 365 管理 API 访问创建 Microsoft Entra 应用程序注册步骤。
审核日志 - 客户端密码 纯文本形式的应用程序注册客户端密码(不是密码 ID,而是实际值)。 应用程序客户端密码来自为 Office 365 管理 API 访问创建 Microsoft Entra 应用程序注册步骤。 如果您使用 Azure Key Vault 存储客户端 ID 和密码,请留空。
审核日志 - 客户端 Azure 密码 应用注册客户端密码的 Azure Key Vault 参考。 应用程序客户端密码的 Azure Key Vault 参考来自为 Office 365 管理 API 访问创建 Microsoft Entra 应用程序注册步骤。 如果您要将客户端 ID 以纯文本形式存储在审核日志 - 客户端密码环境变量中,请留空。 此变量需要 Azure Key Vault 引用,而不是机密。 在在环境变量中使用 Azure Key Vault 密码中了解更多信息。

开启订阅审核日志内容

  1. 转到 make.powerapps.com

  2. 选择解决方案

  3. 打开卓越中心 - 核心组件解决方案。

  4. 打开管理员 | 审计日志 | Office 365 管理 API 订阅流并运行它,输入开始作为要运行的操作。

    显示导航栏中“运行”按钮的位置和“运行”流程窗格中的启动操作的位置的屏幕截图。

  5. 打开流并验证启动订阅的操作是否已通过。

重要提示

如果您之前启用了订阅,您将看到 (400) 订阅已启用消息。 这意味着过去已成功启用了订阅。 您可以忽略此消息,继续安装。

如果您没有看到上述消息或 (200) 响应,则请求可能已失败。 您的设置可能存在错误,导致流无法正常工作。 要检查的常见问题包括:

  • 审核日志是否已启用,您是否有权查看审核日志? 通过在 Microsoft Compliance Manager 中搜索来测试日志是否已启用。
  • 最近是否启用了审核日志? 如果已启用,请在几分钟后重试,以使审核日志有时间激活。
  • 验证您是否正确执行了 Microsoft Entra 应用注册中的步骤。
  • 验证您是否正确更新了这些流的环境变量。

打开流

  1. 转到 make.powerapps.com
  2. 选择解决方案
  3. 打开卓越中心 - 核心组件解决方案。
  4. 打开管理 | 审核日志 | 更新数据 (V2) 流。 此流使用上次启动信息更新 Power Apps 表,并将元数据添加到审计日志记录中。
  5. 打开管理员 | 审核日志 | 同步审核日志 (V2) 流。 该流每小时运行一次,并将审核日志事件收集到审核日志表中。

提供反馈

如果您在 CoE 初学者工具包中发现了一个 bug,请在 aka.ms/coe-starter-kit-issues 中针对该解决方案提交一个bug。