Share via

Shromažďování protokolů auditu pomocí vlastního konektoru (zastaralé)

  • Článek

Důležité

Používání vyhrazeného řešení Center of Excellence – protokol auditu a vlastní konektor Office 365 Management pro shromažďování událostí protokolu auditu je zastaralé. Řešení a vlastní konektor budou ze startovací sady CoE odstraněny v srpnu 2023.

Máme nový postup, který shromažďuje události protokolu auditu, který je součástí řešení Center of Excelence – základní komponenty. Tento nový tok používá konektor HTTP. Další informace: Shromažďování protokolů auditu pomocí akce HTTP

Tok synchronizace protokolu auditu se připojuje k protokolovacímu systému Microsoft 365 pro shromažďování dat telemetrie (jedinečných uživatelů, spouštění) pro aplikace. Tok používá vlastní konektor pro připojení k protokolu auditu . V následujících pokynech nastavíte vlastní konektor a nakonfigurujete tok.

Startovací sada Center of Excellence (CoE) funguje bez tohoto toku, ovšem informace o použití (spuštění aplikace, jedineční uživatelé) v řídicímu panelu Power BI budou prázdné.

Důležité

Vyplňte pokyny v částech Před nastavením startovací sady CoE a Nastavení komponent inventáře, než budete pokračovat v nastavení v tomto článku. Tento článek předpokládá, že máte nastavené prostředí a jste přihlášeni pomocí správné identity.

Řešení protokolu auditu nastavte pouze v případě, že jste vybrali cloudové toky jako mechanismus pro inventarizaci a telemetrii.

Podívejte se na návod, jak nastavit konektor protokolu auditu.

Než začnete konektor protokolu auditu používat

  1. Aby mohl konektor protokolu auditu fungovat, musí být zapnuto hledání protokolu auditu Microsoft 365. Další informace: Zapnutí nebo vypnutí vyhledávání protokolu auditu

  2. Identita uživatele spouštějící tok musí mít oprávnění k protokolům auditu. Minimální oprávnění k tomu jsou popsána zde: Než prohledáte protokoly auditu

  3. Váš klient musí mít předplatné, které podporuje jednotné protokolování auditu. Další informace: Dostupnost Centra zabezpečení a dodržování předpisů pro plány Business a Enterprise

  4. Ke konfiguraci registrace aplikace Microsoft Entra je vyžadován globální správce.

Rozhraní API pro správu Office 365 používají Microsoft Entra ID k poskytování služeb ověřování, které můžete použít k udělení práv vaší aplikaci pro přístup k nim.

Vytvoření registrace aplikace Microsoft Entra pro rozhraní API pro správu Office 365

Pomocí těchto kroků nastavíte registraci aplikace Microsoft Entra, která je použita ve vlastním konektoru a tok Power Automate pro připojení k protokolu auditu. Další informace: Začínáme s API pro správu Office 365

  1. Přihlaste se k portal.azure.com.

  2. Přejděte na Microsoft Entra ID>Registrace aplikací.

    Registrace aplikace Microsoft Entra.

  3. Vyberte + Nová registrace.

  4. Zadejte název (např. Správa Microsoft 365), neměňte žádné jiné nastavení a poté vyberte Registrovat.

  5. Vyberte Oprávnění API>+ Přidat oprávnění.

    Oprávnění API – Přidat oprávnění.

  6. Vyberte Rozhraní API pro správu Office 365 a nakonfigurujte oprávnění následujícím způsobem:

    1. Vyberte Delegovaná oprávnění a poté vyberte ActivityFeed.Read.

      Delegovaná oprávnění.

    2. Vyberte Přidat oprávnění.

  7. Vyberte Udělit souhlas správce pro (vaši organizaci). Předpoklady: Udělte souhlas správce aplikaci v rámci celého klienta

    Oprávnění API nyní odrážejí delegovaná oprávnění ActivityFeed.Read se stavem Uděleno za (vaše organizace).

  8. Vyberte Certifikáty a tajné kódy.

  9. Vyberte + Nový tajný kód klienta.

    Nový tajný kód klienta.

  10. Přidejte popis a dobu platnosti (v souladu se zásadami vaší organizace) a poté vyberte Přidat.

  11. Zkopírujte a vložte Tajný kód do textového dokumentu v programu Poznámkový blok.

  12. Vyberte Přehled a zkopírujte a vložte hodnoty ID aplikace (klienta) a hodnoty ID adresáře (klient) do stejného textového dokumentu; nezapomeňte si poznamenat, které GUID je pro kterou hodnotu. Tyto hodnoty budete potřebovat v dalším kroku při konfiguraci vlastního konektoru.

Ponechte portál Azure otevřený, protože po nastavení vlastního konektoru budete muset provést některé aktualizace konfigurace.

Nastavení vlastního konektoru

Nyní nakonfigurujete a nastavíte vlastní konektor, který používá Rozhraní API pro správu Office 365.

  1. Přejděte na Power Apps>Dataverse>Vlastní konektory. Zde je uveden vlastní konektor Rozhraní API pro správu Office 365, který byl importován s řešením základních součástí.

  2. Vyberte položku Upravit.

  3. Pokud je váš klient komerční klient, nechte stránku Obecné tak, jak je.

    Důležité

    • Pokud je váš klient GCC, změňte hostitele na manage-gcc.office.com.
    • Pokud je váš klient GCC High, změňte hostitele na manage.office365.us.
    • Pokud je váš klient DoD, změňte hostitele na manage.protection.apps.mil.

    Další informace: Operace API aktivity

  4. Vyberte Zabezpečení.

  5. Vyberte Upravit ve spodní části oblasti Oauth 2.0 pro úpravu parametrů autentizace.

    Upravit konfiguraci OAuth.

  6. Změňte Zprostředkovatele identity na Microsoft Entra ID.

    Změňte zprostředkovatele identity na Microsoft Entra ID.

  7. Vložte ID aplikace (klienta), které jste zkopírovali z registrace aplikace, do ID klienta.

  8. Vložte tajný kód klienta, které jste zkopírovali z registrace aplikace, do Tajný kód klienta.

  9. Neměňte ID klienta.

  10. Nechte Přihlašovací adresu URL, jak je, pro komerční klienty a klienty GCC a změňte ji na https://login.microsoftonline.us/ pro klienty GCC High nebo DoD.

  11. Nastavte možnost Adresa URL prostředku na https://manage.office.com pro komerčního klienta, https://manage-gcc.office.com pro klienta GCC, https://manage.office365.us pro klienta GCC High a https://manage.protection.apps.mil pro klienta DoD.

  12. Vyberte Aktualizovat konektor.

  13. Zkopírujte Adresa URL přesměrování do textového dokumentu v programu Poznámkový blok.

Poznámka:

Pokud máte zásady prevence ztráty dat (DLP) konfigurovány pro vaše prostředí startovací sady CoE, budete muset tento konektor přidat do obchodních dat – jediné skupiny těchto zásad.

Aktualizace registrace aplikace Microsoft Entra s adresou URL pro přesměrování

  1. Vraťte se na portál Azure Portal a registrace aplikací.

  2. V části Přehled vyberte Přidat identifikátor URI pro přesměrování.

  3. Vyberte + Přidat platformu>Web.

  4. Zadejte adresu URL, kterou jste zkopírovali z části Adresa URL pro přesměrování vlastního konektoru.

  5. Vyberte Konfigurovat.

Zahájení předplatného kvůli monitorování protokolu auditu

Vraťte se zpět na vlastní konektor a vytvořte připojení k vlastnímu konektoru a zahájte předplatné obsahu protokolu auditu, jak je popsáno v následujících krocích.

Důležité

Tyto kroky musíte provést, aby fungovaly další kroky. Pokud nevytvoříte nové připojení a nevyzkoušíte konektor zde, nastavení toku a podřízeného toku v pozdějších krocích selže.

  1. Na stránce Vlastní konektor vyberte Test.

  2. Vyberte + Nové připojení a poté se přihlaste pomocí svého účtu.

  3. V části Operace vyberte StartSubscription.

    Spuštění předplatného vlastního konektoru.

  4. Vložte ID adresáře (klienta) – zkopírované dříve ze stránky přehledu Registrace aplikace v Microsoft Entra ID – do pole Klient.

  5. Vložte ID (klienta) adresáře do PublisherIdentifier.

  6. Vyberte Testovací operaci.

Měl by se zobrazit stav (200), což znamená, že dotaz byl úspěšný.

Úspěšný stav se vrací z aktivity StartSubscription.

Důležité

Pokud jste dříve aktivovali předplatné, uvidíte zprávu (400) Předplatné je již aktivní. To znamená, že předplatné bylo v minulosti úspěšně aktivováno. Tuto chybu můžete ignorovat a pokračovat v nastavení.

Pokud nevidíte výše uvedenou zprávu nebo odpověď (200), požadavek se možná nezdařil. Ve vašem nastavení může být chyba, která brání fungování toku. Běžné problémy ke kontrole jsou:

  • Ověřte, že zprostředkovatel identity na kartě Zabezpečení je nastaven na Microsoft Entra ID.
  • Jsou protokoly auditu povoleny a máte oprávnění k prohlížení protokolů auditu? Zkontrolujte, zda můžete hledat v Microsoft Compliance Manager.
  • Pokud nemáte oprávnění, podívejte se do části Než začnete prohledávat protokol auditu.
  • Povolili jste protokol auditu nedávno? Pokud ano, zkuste to znovu za několik minut a aktivujte protokol auditu.
  • Vložili jste správné ID klienta ze své registrace aplikace Microsoft Entra?
  • Vložili jste správnou adresu URL zdroje a na konci nebyly přidány žádné mezery ani znaky?
  • Ověřte, že jste správně postupovali podle pokynů v části Registrace aplikace Microsoft Entra.
  • Ověřte, že jste správně aktualizovali nastavení zabezpečení vlastního konektoru, jak je popsáno v kroku 6 nastavení vlastního konektoru dříve v tomto článku.

Pokud stále dochází k selháním, vaše připojení může být ve špatném stavu. Další informace: Podrobné pokyny k opravě připojení protokolu auditu

Nastavte tok Power Automate

Tok Power Automate používá vlastní konektor, denně se dotazuje na protokol auditu a zapisuje události spuštění Power Apps do tabulky Microsoft Dataverse. Tato tabulka je pak použita v řídicím panelu Power BI pro vytváření přehledů o návštěvách a jedinečných uživatelích aplikace.

  1. Postupujte podle pokynů ke stažení řešení v části Nastavení základních součástí.

  2. Jděte na make.powerapps.com.

  3. Importujte řešení protokolů auditu Center of Excellence (CenterofExcellenceAuditLogs_x_x_x_xxx_managed.zip).

  4. Navažte spojení a aktivujte řešení. Pokud vytvoříte nové připojení, musíte vybrat Aktualizovat. Na průběh importu to nebude mít vliv.

    Import řešení součástí protokolu auditu CoE.

  5. Otevřete Center of Excellence – řešení Protokol auditu.

  6. Odstraňte nespravovanou vrstvu z [Podřízený] Správa | Synchronizovat protokoly.

  7. Vyberte [Podřízený] Správa | Synchronizovat protokoly.

  8. Upravte nastavení Spouštět pouze uživatele.

    Podřízený tok – uživatele s oprávněním jen pro spuštění

  9. U vlastního konektoru rozhraní API správy Office 365 změňte hodnotu na Použít toto připojení (userPrincipalName@company.com). Pokud není žádný z konektorů připojen, přejděte na Dataverse>Propojení a vytvořte propojení pro konektor.

    Konfigurace uživatelů s oprávněním jenom pro spuštění.

  10. U konektoru Microsoft Dataverse ponechte hodnotu oprávnění pouze ke spuštění prázdnou a ověřte, zda jsou správně nakonfigurovány informace o připojení pro Protokoly auditu CoE – Dataverse. Pokud připojení vykazuje chybu, aktualizujte informace o připojení pro informace o připojení Protokoly auditu CoE – Dataverse.

    Potvrďte, že informace o připojení Dataverse jsou nastaveny na váš účet.

  11. Vyberte Uložit a zavřete kartu Podrobnosti o toku.

  12. (Volitelné) Upravte proměnné prostředí TimeInterval-Unit a TimeInterval-Interval a rozdělte čas na menší bloky. Výchozí hodnota je rozdělit 1 den na 1hodinové bloky. Pokud se v protokolu auditu nepodaří shromáždit všechna data s vámi nakonfigurovaným časovým intervalem, obdržíte od tohoto řešení upozornění.

    Jméno Popis
    StartTime-Interval Musí představovat celé číslo, aby představovalo počáteční čas, jak daleko zpět se má provádět načtení.
    Výchozí hodnota: 1 (pro 1 den zpět)
    StartTime-Unit Určuje jednotky, jak daleko zpět v čase se mají načíst data.
    Musí to být hodnota přijatá jako vstupní parametr do pole Přidat k času.
    Příklad přípustných hodnot: minuta, hodina, den
    Výchozí hodnota: den
    TimeInterval-Unit Určuje jednotky pro rozdělení času na bloky od začátku.
    Musí to být hodnota přijatá jako vstupní parametr do pole Přidat k času.
    Příklad přípustných hodnot: minuta, hodina, den
    Výchozí hodnota: hodina
    TimeInterval-Interval Musí to být celé číslo, které představuje počet bloků jednotky typu (uvedeno výše).
    Výchozí hodnota: 1 (pro 1hodinové bloky)
    TimeSegment-CountLimit Musí představovat celé číslo, aby představovalo limit počtu kusů, které lze vytvořit.
    Výchozí hodnota: 60

    Důležité

    Výchozí poskytnuté hodnoty fungují ve středně velkém klientovi. Možná budete muset upravit hodnoty několikrát, aby to fungovalo pro vaši velikost klienta.

    Důležité

    Informace o aktualizaci proměnných prostředí: Aktualizace proměnných prostředí

  13. Zpět v řešení zapněte oba toky [Podřízený] Správce | Synchronizovat protokoly a Správce | Synchronizovat protokoly auditu.

    Zapněte toky protokolu auditu.

Ukázkové konfigurace proměnných prostředí

Zde jsou příklady konfigurací pro tyto hodnoty:

StartTime-Interval StartTime-Unit TimeInterval-Interval TimeInterval-Unit TimeSegment-CountLimit Očekávání
1 den 1 hodina 60 Vytvoří 24 podřízených toků, což je v rámci limitu 60.
Každý podřízený tok stáhne 1 hodinu protokolů za posledních 24 hodin
2 den 1 hodina 60 Vytvoří 48 podřízených toků, což je v rámci limitu 60.
Každý podřízený tok stáhne 1 hodinu protokolů za posledních 48 hodin
0 den 5 minuta 300 Vytvoří 288 podřízených toků, což je v rámci limitu 300.
Každý podřízený tok stáhne 5 minut protokolů za posledních 24 hodin
0 den 15 minuta 100 Vytvoří 96 podřízených toků, což je v rámci limitu 100.
Každý podřízený tok stáhne 15 minut protokolů za posledních 24 hodin

Jak získat starší data

Toto řešení shromažďuje spuštění aplikací od okamžiku, kdy je nakonfigurováno, a není nastaveno tak, aby shromažďovalo historická spuštění aplikací. V závislosti na vaší licenci Microsoft 365 budou historická data k dispozici po dobu až jednoho roku v protokolu auditu v řešení Microsoft Purview.

Historická data můžete načíst do tabulek startovací sady CoE ručně. Další informace: Jak importovat staré protokoly auditu

Našel jsem chybu ve startovací sadě CoE; kam se mám obrátit?

Chcete-li nahlásit chybu v řešení, přejděte na aka.ms/coe-starter-kit-issues.