Share via

Überwachungsprotokolle mit einem benutzerdefinierten Konnektor erfassen (veraltet)

  • Artikel

Wichtig

Die Verwendung der dedizierten Lösung Center of Excellence – Überwachungsprotokoll des benutzerdefinierten Office 365 Management-Konnektors zum Erfassen von Überwachungsprotokollereignissen ist veraltet. Die Lösung und der benutzerdefinierte Konnektor werden im August 2023 aus dem CoE-Starterkit entfernt.

Wir haben einen neuen Flow, der Überwachungsprotokollereignisse erfasst, die Teil der Lösung Center of Excellence – Kernkomponenten sind. Dieser neue Flow verwendet einen HTTP-Konnektor. Weitere Informationen: Überwachungsprotokolle mithilfe einer HTTP-Aktion erfassen

Der Flow Überwachungsprotokollsynchronisierung verbindet sich mit dem Microsoft 365 Überwachungsprotokoll, um Telemetriedaten (eindeutige Benutzer, Starts) für Apps zu sammeln. Der Flow verwendet einen benutzerdefinierten Konnektor zur Verbindung mit dem Audit-Protokoll. In den folgenden Anweisungen richten Sie den benutzerdefinierten Konnektor ein und konfigurieren den Flow.

Das Center of Excellence (CoE) Starter Kit funktioniert ohne diesen Flow. Die Nutzungsinformationen (App-Starts, eindeutige Benutzer) im Power BI-Dashboard sind jedoch leer.

Wichtig

Schließen Sie die Anweisungen in Vor der Einrichtung des CoE-Starter-Kits und Einrichten der Bestandskomponenten ab, bevor Sie mit der Einrichtung in diesem Artikel fortfahren. In diesem Artikel wird davon ausgegangen, dass Sie Ihre Umgebung eingerichtet haben und mit der richtigen Identität angemeldet sind.

Richten Sie die Überwachungsprotokolllösung nur ein, wenn Sie Cloud-Flows als Mechanismus für Inventar und Telemetrie ausgewählt haben.

Sehen Sie sich an, wie Sie den Überwachungsprotokoll-Konnektor festlegen.

Bevor Sie den Überwachungsprotokollconnector verwenden

  1. Die Microsoft 365-Überwachungsprotokollsuche muss aktiviert sein, damit der Überwachungsprotokoll-Connector funktioniert. Weitere Informationen: Überwachungsprotokollsuche aktivieren oder deaktivieren

  2. Die Benutzeridentität, die den Flow ausführt, muss über die Berechtigung für die Überwachungsprotokolle verfügen. Die Mindestberechtigungen hierfür werden hier beschrieben: Bevor Sie die Überwachungsprotokolle durchsuchen

  3. Ihr Mandant muss über ein Abonnement verfügen, das die einheitliche Überwachungsprotokollierung unterstützt. Weitere Informationen: Verfügbarkeit des Security & Compliance Centers für Geschäfts- und Unternehmenspläne

  4. Ein globaler Administrator ist erforderlich, um die Registrierung in der Microsoft Entra-App zu konfigurieren.

Die Office 365-Verwaltungs-APIs verwenden Microsoft Entra ID, um Authentifizierungsdienste bereitzustellen, mit denen Sie Ihrer Anwendung Rechte für den Zugriff darauf gewähren können.

Eine Microsoft Entra-App-Registrierung für die Office 365-Verwaltungs-API erstellen

Mithilfe dieser Schritte richten Sie eine Microsoft Entra-App-Registrierung ein, die in einem benutzerdefinierten Konnektor und Power Automate-Flow für die Verbindung mit dem Überwachungsprotokoll verwendet wird. Weitere Informationen: Erste Schritt mit Office 365 Management-APIs

  1. Melden Sie sich bei portal.azure.com an.

  2. Wechseln Sie zu Microsoft Entra ID>App-Registrierungen.

    Microsoft Entra App-Registrierung.

  3. Wählen Sie Neue Registrierung.

  4. Geben Sie einen Namen ein (z. B. Microsoft 365-Verwaltung), ändern Sie keine anderen Einstellungen und wählen Sie dann Registrieren.

  5. Wählen Sie API-Berechtigungen>+ Eine Berechtigung hinzufügen.

    API-Berechtigungen – Berechtigung hinzufügen.

  6. Wählen Sie Office 365-Verwaltungs-API aus, und konfigurieren Sie die Berechtigungen wie folgt:

    1. Wählen Sie Delegierte Berechtigungenund dann ActivityFeed.Read aus.

      Delegierte Berechtigungen.

    2. Wählen Sie Berechtigungen hinzufügen aus.

  7. Wählen Sie Einwilligung des Administrators für (Ihre Organisation) aus. Anforderungen: Weisen Sie einer Anwendung die mandantenweite Administratoreinwilligung zu

    Die API-Berechtigungen spiegeln jetzt delegierte ActivityFeed.Read mit dem Status von Erteilt für (Ihre Organisation) wider.

  8. Wählen Sie Zertifikate und Geheimnisse aus.

  9. Wählen Sie + Neuer geheimer Clientschlüssel aus.

    Neuer geheimer Clientschlüssel.

  10. Fügen Sie eine Beschreibung und einen Ablauf hinzu (gemäß den Richtlinien Ihrer Organisation), und wählen Sie dann Hinzufügen aus.

  11. Kopieren Sie den Geheimschlüssel vorerst in einen Textdokument im Editor.

  12. Wählen Sie Überblick aus und kopieren Sie die Werte für die Anwendungs-ID (Client) und die Verzeichnis-ID (Mandant) und fügen Sie sie in dasselbe Textdokument ein. Notieren Sie sich unbedingt, welche GUID für welchen Wert gilt. Sie benötigen diese Werte im nächsten Schritt, wenn Sie den benutzerdefinierten Connector konfigurieren.

Lassen Sie das Azure-Portal geöffnet, da Sie nach dem Einrichten des benutzerdefinierten Connectors einige Konfigurationsaktualisierungen vornehmen müssen.

Benutzerdefinierten Connector einrichten

Nun wird ein benutzerdefinierter Connector konfiguriert und eingerichtet, der die Office 365 Management-APIs verwendet.

  1. Gehen Sie zu Power Apps>Dataverse>Benutzerdefinierte Connectors. Der benutzerdefinierte Office 365-Verwaltungs-API-Connector wird hier aufgeführt, er wurde mit der Kernkomponenten-Lösung importiert.

  2. Wählen Sie Bearbeiten.

  3. Wenn Ihr Mandant ein kommerziellen Mandant ist, lassen Sie die Seite Allgemein wie sie ist.

    Wichtig

    • Wenn Ihr Mandant ein GCC-Mandant ist, ändern Sie den Host auf manage-gcc.office.com.
    • Wenn Ihr Mandant ein GCC High-Mandant ist, ändern Sie den Host auf manage.office365.us.
    • Wenn Ihr Mandant ein DoD-Mandant ist, ändern Sie den Host auf manage.protection.apps.mil.

    Weitere Informationen: Aktivitäts-API-Operationen

  4. Wählen Sie Sicherheit aus.

  5. Wählen Sie Bearbeiten am unteren Rand des Bereichs OAuth 2.0 zum Bearbeiten der Authentifizierungsparameter aus.

    OAuth-Konfiguration bearbeiten.

  6. Ändern Sie den Identitätsanbieter in Microsoft Entra ID.

    Ändern Sie den Identitätsanbieter in Microsoft Entra ID.

  7. Fügen Sie die Anwendungs-ID (Client) ein, die Sie aus der App-Registrierung in die Client-ID kopiert haben.

  8. Fügen Sie den geheimen Clientschlüssel ein, den Sie aus der App-Registrierung in Geheimer Clientschlüssel kopiert haben.

  9. Ändern Sie nicht die Mandanten-ID.

  10. Lassen Sie die Anmelde-URL für gewerbliche und GCC-Mandanten unverändert, und ändern Sie sie in https://login.microsoftonline.us/ für einen GCC High- oder DoD-Mandanten.

  11. Legen Sie die Ressourcen-URL auf https://manage.office.com für einen kommerziellen Mandanten, https://manage-gcc.office.com für einen GCC-Mandanten, https://manage.office365.us für einen GCC High-Mandanten und https://manage.protection.apps.mil für einen DoD-Mandanten fest.

  12. Wählen Sie Connector aktualisieren aus.

  13. Kopieren Sie die Umleitungs-URL in Ihr Textdokument im Editor.

Notiz

Wenn Sie eine Richtlinie zur Verhinderung von Datenverlust (DLP) haben, der für die CoE Startset-Umgebung konfiguriert ist, müssen Sie diesen Konnektor der Datengruppe „Business data only“ dieser Richtlinie hinzufügen.

Microsoft Entra App-Registrierung mit der Weiterleitungs-URL aktualisieren

  1. Wechseln Sie zum Azure-Portal und Ihren App-Registrierungen.

  2. Wählen Sie unter Übersicht die Option Umleitungs-URL hinzufügen aus.

  3. Wählen Sie + Plattform hinzufügen>Web aus.

  4. Geben Sie die URL ein, die Sie aus dem Bereich Umleitungs-URL des benutzerdefinierten Connectors kopiert haben.

  5. Wählen Sie Konfigurieren aus.

Ein Abonnement für den Überwachungsprotokollinhalt starten

Gehen Sie zurück zum benutzerdefinierten Connector, um eine Verbindung zum benutzerdefinierten Connector herzustellen, und starten Sie ein Abonnement für den Überwachungsprotokollinhalt, wie in den folgenden Schritten beschrieben.

Wichtig

Sie müssen diese Schritte ausführen, damit die nachfolgenden Schritte funktionieren. Wenn Sie hier keine neue Verbindung erstellen und den Connector testen, schlägt das Einrichten des Flows und des untergeordneten Flows in späteren Schritten fehl.

  1. Wählen Sie auf der Seite Benutzerdefinierter Connector die Option Testen aus.

  2. Wählen Sie + Neue Verbindung aus und melden Sie sich dann mit Ihrem Konto an.

  3. Wählen Sie unter Vorgänge die Option Abonnement starten aus.

    Abonnenent für benutzerdefinierten Connector starten.

  4. Fügen Sie die Verzeichnis-(Mandanten-)ID – früher aus der Übersichtsseite App-Registrierung in Microsoft Entra ID kopiert – in das Feld Mandant ein.

  5. Fügen Sie die Verzeichnis-(Mandanten-)ID in PublisherIdentifier ein.

  6. Wählen Sie Vorgang testen aus.

Es sollte ein (200)-Status zurückgegeben werden, was bedeutet, dass die Abfrage erfolgreich war.

Erfolgreicher Status, der von der Aktivität „StartSubscription“ zurückgegeben wird.

Wichtig

Wenn Sie das Abonnement zuvor aktiviert haben, sehen Sie die Nachricht: (400) Das Abonnement ist bereits aktiviert. Dies bedeutet, dass das Abonnement in der Vergangenheit erfolgreich aktiviert wurde. Sie können den Fehler ignorieren und mit dem Setup fortsetzen.

Wenn Sie die obige Nachricht oder eine (200)-Antwort nicht sehen, ist die Anforderung möglicherweise fehlgeschlagen. Es könnte ein Fehler in Ihrem Setup vorliegen, der den Flow daran hindert, zu funktionieren. Häufige zu überprüfende Probleme sind:

  • Überprüfen Sie, ob der Identitätsanbieter auf der Sicherheit-Registerkarte auf Microsoft Entra ID eingestellt ist.
  • Sind Überwachungsprotokolle aktiviert und haben Sie die Berechtigung, die Überwachungsprotokolle anzuzeigen? Prüfen Sie, ob Sie im Microsoft Compliance Manager suchen können.
  • Wenn Sie keine Berechtigungen haben, lesen Sie Bevor Sie das Überwachungsprotokoll durchsuchen.
  • Haben Sie das Überwachungsprotokoll kürzlich aktiviert? Versuchen Sie es in diesem Fall in einigen Minuten erneut, um dem Überwachungsprotokoll Zeit zum Aktivieren zu geben.
  • Haben Sie die richtige Mandanten-ID aus Ihrer Microsoft Entra-App Registrierung eingefügt?
  • Haben Sie die richtige Ressourcen-URL eingefügt, ohne Leerzeichen oder Zeichen am Ende?
  • Stellen Sie sicher, dass Sie die Schritte unter Microsoft Entra-App-Registrierung richtig ausgeführt haben.
  • Stellen Sie sicher, dass Sie die Sicherheitseinstellungen des benutzerdefinierten Connectors richtig aktualisiert haben, wie unter Schritt 6 der Einrichtung des benutzerdefinierten Connectors weiter oben in diesem Artikel beschrieben.

Wenn Sie immer noch Fehler sehen, ist Ihre Verbindung möglicherweise in einem schlechten Zustand. Weitere Informationen: Schrittweise Anweisungen zum Reparieren der Überwachungsprotokollverbindung

Den Power Automate-Flow einrichten

Ein Power Automate-Flow verwendet den benutzerdefinierten Connector, fragt das Überwachungsprotokoll täglich ab und schreibt die Power Apps Startereignisse zu einer Microsoft Dataverse Tabelle. Diese Tabelle wird dann im Power BI Dashboard verwendet, um über Sitzungen und eindeutige Benutzer einer App zu berichten.

  1. Folgen Sie den Anweisungen unter Kernkomponenten einrichten, um die Lösung herunterzuladen.

  2. Navigieren Sie zu make.powerapps.com.

  3. Importieren Sie die Lösung „Center of Excellence – Überwachungsprotokolle (CenterofExcellenceAuditLogs_x_x_x_xxx_managed.zip).

  4. Stellen Sie die Verbindung her, um die Lösung zu aktivieren. Wenn Sie eine neue Verbindung erstellen, müssen Sie Aktualisieren auswählen. Sie werden Ihren Importverlauf nicht verlieren.

    Die Lösung „Center of Excellence – Überwachungsprotokoll“ importieren.

  5. Öffnen Sie Center of Excellence – Lösung für Überwachungsprotokolle.

  6. Entfernen Sie die nicht verwaltete Ebene aus [Untergeordnetes Element] Administrator | Protokolle synchronisieren.

  7. Wählen Sie [Untergeordnetes Element] Administrator | Protokolle synchronisieren aus.

  8. Bearbeiten Sie die Einstellungen Nur ausführende Benutzer.

    Untergeordneter Flow – Nur-ausführen-Benutzer.

  9. Ändern Sie für den benutzerdefinierten Connector der Office 365-Verwaltungs-API den Wert auf Diese Verbindung verwenden (userPrincipalName@company.com). Wenn für keinen der Connectors eine Verbindung besteht, wechseln Sie zu Dataverse>Verbindungen, und erstellen Sie eine für den Connector.

    Konfigurieren Sie „Nur Benutzer ausführen“.

  10. Lassen Sie für den Microsoft Dataverse-Konnektor den Nur-Ausführen-Berechtigungswert leer und vergewissern Sie sich, dass die Verbindungsreferenz für die Verbindung CoE Audit Logs - Dataverse korrekt konfiguriert ist. Wenn die Verbindung einen Fehler anzeigt, aktualisieren Sie die Verbindungsreferenz für die CoE-Audit-Protokolle - Dataverse Verbindungsreferenz.

    Bestätigen Sie, dass die Dataverse-Verbindungsreferenz auf Ihr Konto eingestellt ist.

  11. Wählen Sie Speichernund schließen Sie dann die Registerkarte Flowdetails.

  12. (Optional) Bearbeiten Sie die Umgebungsvariablen TimeInterval-Unit und TimeInterval-Interval, um kleinere Zeitabschnitte zu erfassen. Der Standardwert ist, 1 Tag in 1-Stunden-Segmente aufzuteilen. Sie erhalten von dieser Lösung eine Warnung, wenn das Überwachungsprotokoll nicht alle Daten mit Ihrem konfigurierten Zeitintervall erfassen kann.

    Name Beschreibung
    StartTime-Intervall Muss eine ganze Zahl sein, um die Startzeit für den Abruf in der Vergangenheit anzugeben.
    Standardwert: 1 (für einen Tag zurück)
    StartTime-Einheit Legt die Einheit fest, in der die Daten abgerufen werden sollen.
    Muss ein Wert von als Eingabeparameter akzeptiert bis Zu Zeit hinzufügen sein.
    Beispiele für zulässige Werte: Minute, Stunde, Tag
    Standardwert: Day
    TimeInterval-Einheit Bestimmt Einheiten für die Aufteilung der Zeit seit dem Start.
    Muss ein Wert von als Eingabeparameter akzeptiert bis Zu Zeit hinzufügen sein.
    Beispiele für zulässige Werte: Minute, Stunde, Tag
    Standardwert: Stunde
    TimeInterval-Intervall Muss eine ganze Zahl sein, um die Anzahl der Blöcke des Typs unit (oben) darzustellen.
    Standardwert: 1 (für 1-Stunden-Blöcke)
    TimeSegment-CountLimit Muss eine ganze Zahl sein, um das Limit für die Anzahl der zu erstellenden Chunks anzugeben.
    Standardwert: 60

    Wichtig

    Die angegebenen Standardwerte funktionieren in einem mittelgroßen Mandanten. Möglicherweise müssen Sie die Werte mehrmals anpassen, damit dies für Ihre Mandantengröße funktioniert.

    Wichtig

    Weitere Informationen zum Aktualisieren von Umgebungsvariablen: Umgebungsvariablen aktualisieren

  13. Aktivieren Sie in der Lösung die Flows [Untergeordnet] Administrator | Protokolle synchronisieren und Administrator | Überwachungsprotokolle synchronisieren.

    Audit-Log-Flows einschalten.

Beispielkonfigurationen für Umgebungsvariablen

Hier sind Beispielkonfigurationen für diese Werte:

StartTime-Intervall StartTime-Einheit TimeInterval-Intervall TimeInterval-Einheit TimeSegment-CountLimit Erwartung
1 Tag 1 Stunde 60 Erstellt 24 untergeordnete Flows, was innerhalb der Grenze von 60 liegt.
Jeder untergeordnete Flow erledigt die Arbeit, um 1 Stunde Protokolle aus den letzten 24 Stunden abzurufen
2 Tag 1 Stunde 60 Erstellt 48 untergeordnete Flows, was innerhalb der Grenze von 60 liegt.
Jeder untergeordnete Flow erledigt die Arbeit, um 1 Stunde Protokolle aus den letzten 48 Stunden abzurufen
1 Tag 5 Minute 300 Erstellt 288 untergeordnete Flows, was innerhalb der Grenze von 300 liegt.
Jeder untergeordnete Flow erledigt die Arbeit, um 5 Minuten Protokolle aus den letzten 24 Stunden abzurufen
1 Tag 15 Minute 100 Erstellt 96 untergeordnete Flows, was innerhalb der Grenze von 100 liegt.
Jeder untergeordnete Flow erledigt die Arbeit, um 15 Minuten Protokolle aus den letzten 24 Stunden abzurufen

Abrufen älterer Daten

Diese Lösung erfasst App-Starts ab dem Zeitpunkt der Konfiguration und ist nicht zum Erfassen historischer App-Starts eingerichtet. Je nach Ihrer Microsoft 365 Lizenz, sind Verlaufsdaten bis zu einem Jahr über das Überwachungsprotokoll in Microsoft Purview verfügbar.

Sie können historische Daten manuell in die Tabellen des CoE Starter Kits laden. Mehr erfahren: So importieren Sie alte Audit-Protokolle

Ich habe einen Fehler im CoE-Starter Kit gefunden. Was soll ich tun?

Um einen Fehler gegen die Lösung einzureichen, gehen Sie zu aka.ms/coe-starter-kit-issues.