Shromažďování protokolů auditu pomocí vlastního konektoru (zastaralé)
Důležité
Používání vyhrazeného řešení Center of Excellence – protokol auditu a vlastní konektor Office 365 Management pro shromažďování událostí protokolu auditu je zastaralé. Řešení a vlastní konektor budou ze startovací sady CoE odstraněny v srpnu 2023.
Máme nový postup, který shromažďuje události protokolu auditu, který je součástí řešení Center of Excelence – základní komponenty. Tento nový tok používá konektor HTTP. Další informace: Shromažďování protokolů auditu pomocí akce HTTP
Tok synchronizace protokolu auditu se připojuje k protokolovacímu systému Microsoft 365 pro shromažďování dat telemetrie (jedinečných uživatelů, spouštění) pro aplikace. Tok používá vlastní konektor pro připojení k protokolu auditu . V následujících pokynech nastavíte vlastní konektor a nakonfigurujete tok.
Startovací sada Center of Excellence (CoE) funguje bez tohoto toku, ovšem informace o použití (spuštění aplikace, jedineční uživatelé) v řídicímu panelu Power BI budou prázdné.
Důležité
Vyplňte pokyny v částech Před nastavením startovací sady CoE a Nastavení komponent inventáře, než budete pokračovat v nastavení v tomto článku. Tento článek předpokládá, že máte nastavené prostředí a jste přihlášeni pomocí správné identity.
Řešení protokolu auditu nastavte pouze v případě, že jste vybrali cloudové toky jako mechanismus pro inventarizaci a telemetrii.
Podívejte se na návod, jak nastavit konektor protokolu auditu.
Než začnete konektor protokolu auditu používat
Aby mohl konektor protokolu auditu fungovat, musí být zapnuto hledání protokolu auditu Microsoft 365. Další informace: Zapnutí nebo vypnutí vyhledávání protokolu auditu
Identita uživatele spouštějící tok musí mít oprávnění k protokolům auditu. Minimální oprávnění k tomu jsou popsána zde: Než prohledáte protokoly auditu
Váš klient musí mít předplatné, které podporuje jednotné protokolování auditu. Další informace: Dostupnost Centra zabezpečení a dodržování předpisů pro plány Business a Enterprise
Ke konfiguraci registrace aplikace Microsoft Entra je vyžadován globální správce.
Rozhraní API pro správu Office 365 používají Microsoft Entra ID k poskytování služeb ověřování, které můžete použít k udělení práv vaší aplikaci pro přístup k nim.
Vytvoření registrace aplikace Microsoft Entra pro rozhraní API pro správu Office 365
Pomocí těchto kroků nastavíte registraci aplikace Microsoft Entra, která je použita ve vlastním konektoru a tok Power Automate pro připojení k protokolu auditu. Další informace: Začínáme s API pro správu Office 365
Přihlaste se k portal.azure.com.
Přejděte na Microsoft Entra ID>Registrace aplikací.
Vyberte + Nová registrace.
Zadejte název (např. Správa Microsoft 365), neměňte žádné jiné nastavení a poté vyberte Registrovat.
Vyberte Oprávnění API>+ Přidat oprávnění.
Vyberte Rozhraní API pro správu Office 365 a nakonfigurujte oprávnění následujícím způsobem:
Vyberte Delegovaná oprávnění a poté vyberte ActivityFeed.Read.
Vyberte Přidat oprávnění.
Vyberte Udělit souhlas správce pro (vaši organizaci). Předpoklady: Udělte souhlas správce aplikaci v rámci celého klienta
Oprávnění API nyní odrážejí delegovaná oprávnění ActivityFeed.Read se stavem Uděleno za (vaše organizace).
Vyberte Certifikáty a tajné kódy.
Vyberte + Nový tajný kód klienta.
Přidejte popis a dobu platnosti (v souladu se zásadami vaší organizace) a poté vyberte Přidat.
Zkopírujte a vložte Tajný kód do textového dokumentu v programu Poznámkový blok.
Vyberte Přehled a zkopírujte a vložte hodnoty ID aplikace (klienta) a hodnoty ID adresáře (klient) do stejného textového dokumentu; nezapomeňte si poznamenat, které GUID je pro kterou hodnotu. Tyto hodnoty budete potřebovat v dalším kroku při konfiguraci vlastního konektoru.
Ponechte portál Azure otevřený, protože po nastavení vlastního konektoru budete muset provést některé aktualizace konfigurace.
Nastavení vlastního konektoru
Nyní nakonfigurujete a nastavíte vlastní konektor, který používá Rozhraní API pro správu Office 365.
Přejděte na Power Apps>Dataverse>Vlastní konektory. Zde je uveden vlastní konektor Rozhraní API pro správu Office 365, který byl importován s řešením základních součástí.
Vyberte položku Upravit.
Pokud je váš klient komerční klient, nechte stránku Obecné tak, jak je.
Důležité
- Pokud je váš klient GCC, změňte hostitele na manage-gcc.office.com.
- Pokud je váš klient GCC High, změňte hostitele na manage.office365.us.
- Pokud je váš klient DoD, změňte hostitele na manage.protection.apps.mil.
Další informace: Operace API aktivity
Vyberte Zabezpečení.
Vyberte Upravit ve spodní části oblasti Oauth 2.0 pro úpravu parametrů autentizace.
Změňte Zprostředkovatele identity na Microsoft Entra ID.
Vložte ID aplikace (klienta), které jste zkopírovali z registrace aplikace, do ID klienta.
Vložte tajný kód klienta, které jste zkopírovali z registrace aplikace, do Tajný kód klienta.
Neměňte ID klienta.
Nechte Přihlašovací adresu URL, jak je, pro komerční klienty a klienty GCC a změňte ji na https://login.microsoftonline.us/ pro klienty GCC High nebo DoD.
Nastavte možnost Adresa URL prostředku na https://manage.office.com pro komerčního klienta, https://manage-gcc.office.com pro klienta GCC, https://manage.office365.us pro klienta GCC High a https://manage.protection.apps.mil pro klienta DoD.
Vyberte Aktualizovat konektor.
Zkopírujte Adresa URL přesměrování do textového dokumentu v programu Poznámkový blok.
Poznámka:
Pokud máte zásady prevence ztráty dat (DLP) konfigurovány pro vaše prostředí startovací sady CoE, budete muset tento konektor přidat do obchodních dat – jediné skupiny těchto zásad.
Aktualizace registrace aplikace Microsoft Entra s adresou URL pro přesměrování
Vraťte se na portál Azure Portal a registrace aplikací.
V části Přehled vyberte Přidat identifikátor URI pro přesměrování.
Vyberte + Přidat platformu>Web.
Zadejte adresu URL, kterou jste zkopírovali z části Adresa URL pro přesměrování vlastního konektoru.
Vyberte Konfigurovat.
Zahájení předplatného kvůli monitorování protokolu auditu
Vraťte se zpět na vlastní konektor a vytvořte připojení k vlastnímu konektoru a zahájte předplatné obsahu protokolu auditu, jak je popsáno v následujících krocích.
Důležité
Tyto kroky musíte provést, aby fungovaly další kroky. Pokud nevytvoříte nové připojení a nevyzkoušíte konektor zde, nastavení toku a podřízeného toku v pozdějších krocích selže.
Na stránce Vlastní konektor vyberte Test.
Vyberte + Nové připojení a poté se přihlaste pomocí svého účtu.
V části Operace vyberte StartSubscription.
Vložte ID adresáře (klienta) – zkopírované dříve ze stránky přehledu Registrace aplikace v Microsoft Entra ID – do pole Klient.
Vložte ID (klienta) adresáře do PublisherIdentifier.
Vyberte Testovací operaci.
Měl by se zobrazit stav (200), což znamená, že dotaz byl úspěšný.
Důležité
Pokud jste dříve aktivovali předplatné, uvidíte zprávu (400) Předplatné je již aktivní. To znamená, že předplatné bylo v minulosti úspěšně aktivováno. Tuto chybu můžete ignorovat a pokračovat v nastavení.
Pokud nevidíte výše uvedenou zprávu nebo odpověď (200), požadavek se možná nezdařil. Ve vašem nastavení může být chyba, která brání fungování toku. Běžné problémy ke kontrole jsou:
- Ověřte, že zprostředkovatel identity na kartě Zabezpečení je nastaven na Microsoft Entra ID.
- Jsou protokoly auditu povoleny a máte oprávnění k prohlížení protokolů auditu? Zkontrolujte, zda můžete hledat v Microsoft Compliance Manager.
- Pokud nemáte oprávnění, podívejte se do části Než začnete prohledávat protokol auditu.
- Povolili jste protokol auditu nedávno? Pokud ano, zkuste to znovu za několik minut a aktivujte protokol auditu.
- Vložili jste správné ID klienta ze své registrace aplikace Microsoft Entra?
- Vložili jste správnou adresu URL zdroje a na konci nebyly přidány žádné mezery ani znaky?
- Ověřte, že jste správně postupovali podle pokynů v části Registrace aplikace Microsoft Entra.
- Ověřte, že jste správně aktualizovali nastavení zabezpečení vlastního konektoru, jak je popsáno v kroku 6 nastavení vlastního konektoru dříve v tomto článku.
Pokud stále dochází k selháním, vaše připojení může být ve špatném stavu. Další informace: Podrobné pokyny k opravě připojení protokolu auditu
Nastavte tok Power Automate
Tok Power Automate používá vlastní konektor, denně se dotazuje na protokol auditu a zapisuje události spuštění Power Apps do tabulky Microsoft Dataverse. Tato tabulka je pak použita v řídicím panelu Power BI pro vytváření přehledů o návštěvách a jedinečných uživatelích aplikace.
Postupujte podle pokynů ke stažení řešení v části Nastavení základních součástí.
Jděte na make.powerapps.com.
Importujte řešení protokolů auditu Center of Excellence (CenterofExcellenceAuditLogs_x_x_x_xxx_managed.zip).
Navažte spojení a aktivujte řešení. Pokud vytvoříte nové připojení, musíte vybrat Aktualizovat. Na průběh importu to nebude mít vliv.
Otevřete Center of Excellence – řešení Protokol auditu.
Odstraňte nespravovanou vrstvu z [Podřízený] Správa | Synchronizovat protokoly.
Vyberte [Podřízený] Správa | Synchronizovat protokoly.
Upravte nastavení Spouštět pouze uživatele.
U vlastního konektoru rozhraní API správy Office 365 změňte hodnotu na Použít toto připojení (userPrincipalName@company.com). Pokud není žádný z konektorů připojen, přejděte na Dataverse>Propojení a vytvořte propojení pro konektor.
U konektoru Microsoft Dataverse ponechte hodnotu oprávnění pouze ke spuštění prázdnou a ověřte, zda jsou správně nakonfigurovány informace o připojení pro Protokoly auditu CoE – Dataverse. Pokud připojení vykazuje chybu, aktualizujte informace o připojení pro informace o připojení Protokoly auditu CoE – Dataverse.
Vyberte Uložit a zavřete kartu Podrobnosti o toku.
(Volitelné) Upravte proměnné prostředí TimeInterval-Unit a TimeInterval-Interval a rozdělte čas na menší bloky. Výchozí hodnota je rozdělit 1 den na 1hodinové bloky. Pokud se v protokolu auditu nepodaří shromáždit všechna data s vámi nakonfigurovaným časovým intervalem, obdržíte od tohoto řešení upozornění.
Jméno Popis StartTime-Interval Musí představovat celé číslo, aby představovalo počáteční čas, jak daleko zpět se má provádět načtení.
Výchozí hodnota: 1 (pro 1 den zpět)StartTime-Unit Určuje jednotky, jak daleko zpět v čase se mají načíst data.
Musí to být hodnota přijatá jako vstupní parametr do pole Přidat k času.
Příklad přípustných hodnot: minuta, hodina, den
Výchozí hodnota: denTimeInterval-Unit Určuje jednotky pro rozdělení času na bloky od začátku.
Musí to být hodnota přijatá jako vstupní parametr do pole Přidat k času.
Příklad přípustných hodnot: minuta, hodina, den
Výchozí hodnota: hodinaTimeInterval-Interval Musí to být celé číslo, které představuje počet bloků jednotky typu (uvedeno výše).
Výchozí hodnota: 1 (pro 1hodinové bloky)TimeSegment-CountLimit Musí představovat celé číslo, aby představovalo limit počtu kusů, které lze vytvořit.
Výchozí hodnota: 60Důležité
Výchozí poskytnuté hodnoty fungují ve středně velkém klientovi. Možná budete muset upravit hodnoty několikrát, aby to fungovalo pro vaši velikost klienta.
Důležité
Informace o aktualizaci proměnných prostředí: Aktualizace proměnných prostředí
Zpět v řešení zapněte oba toky [Podřízený] Správce | Synchronizovat protokoly a Správce | Synchronizovat protokoly auditu.
Ukázkové konfigurace proměnných prostředí
Zde jsou příklady konfigurací pro tyto hodnoty:
StartTime-Interval | StartTime-Unit | TimeInterval-Interval | TimeInterval-Unit | TimeSegment-CountLimit | Očekávání |
---|---|---|---|---|---|
1 | den | 1 | hodina | 60 | Vytvoří 24 podřízených toků, což je v rámci limitu 60. Každý podřízený tok stáhne 1 hodinu protokolů za posledních 24 hodin |
2 | den | 1 | hodina | 60 | Vytvoří 48 podřízených toků, což je v rámci limitu 60. Každý podřízený tok stáhne 1 hodinu protokolů za posledních 48 hodin |
0 | den | 5 | minuta | 300 | Vytvoří 288 podřízených toků, což je v rámci limitu 300. Každý podřízený tok stáhne 5 minut protokolů za posledních 24 hodin |
0 | den | 15 | minuta | 100 | Vytvoří 96 podřízených toků, což je v rámci limitu 100. Každý podřízený tok stáhne 15 minut protokolů za posledních 24 hodin |
Jak získat starší data
Toto řešení shromažďuje spuštění aplikací od okamžiku, kdy je nakonfigurováno, a není nastaveno tak, aby shromažďovalo historická spuštění aplikací. V závislosti na vaší licenci Microsoft 365 budou historická data k dispozici po dobu až jednoho roku v protokolu auditu v řešení Microsoft Purview.
Historická data můžete načíst do tabulek startovací sady CoE ručně. Další informace: Jak importovat staré protokoly auditu
Našel jsem chybu ve startovací sadě CoE; kam se mám obrátit?
Chcete-li nahlásit chybu v řešení, přejděte na aka.ms/coe-starter-kit-issues.