Compartilhar via

Coletar logs de auditoria usando uma ação HTTP

  • Artigo

Os fluxos de sincronização do log de auditoria conectam-se à API de Gerenciamento do Office 365 para reunir dados de telemetria, como usuários únicos e inicializações, para aplicativos. Os fluxos usam uma ação HTTP para acessar a API. Nas instruções a seguir, você configurará o registro do aplicativo para a ação HTTP e as variáveis de ambiente necessárias para executar os fluxos.

O Kit de Início do CoE funciona sem esses fluxos. No entanto, as informações de uso, como inicializações do aplicativo e usuários únicos, no painel do Power BI ficarão em branco.

Importante

Siga as instruções em Antes de configurar o Kit de Início do CoE e Configurar componentes de inventário antes de continuar com a configuração neste artigo. Este artigo pressupõe que você tem o ambiente configurado e está conectado com a identidade correta.

Configure os fluxos do log de auditoria somente se você tiver escolhido fluxos da nuvem como o mecanismo de inventário e telemetria.

Antes de configurar os fluxos do log de auditoria

  1. A pesquisa do log de auditoria do Microsoft 365 deve estar ativada para que o conector do log de auditoria funcione. Mais informações: Ativar ou desativar a pesquisa de log de auditoria
  2. Seu locatário deve ter uma assinatura que ofereça suporte ao log de auditoria unificado. Mais informações: Disponibilidade do Centro de Conformidade e Segurança para planos comerciais e empresariais
  3. É necessário um administrador global para configurar o registro do aplicativo do Microsoft Entra.

As APIs de gerenciamento do Office 365 usam o Microsoft Entra ID a fim de fornecer serviços de autenticação que você pode usar para conceder direitos para seu aplicativo acessá-las.

Criar um registro do aplicativo Microsoft Entra para a API de gerenciamento do Office 365

Usando essas etapas, você pode configurar um registro do aplicativo do Microsoft Entra para uma chamada HTTP em um fluxo do Power Automate para se conectar ao log de auditoria. Mais informações: Introdução às APIs de gerenciamento do Office 365

  1. Entre em portal.azure.com.

  2. Acesse Microsoft Entra ID>Registros de aplicativo. Captura de tela mostrando o registro do aplicativo do Microsoft Entra.

  3. Selecione + Novo Registro.

  4. Insira um nome, como Gerenciamento do Microsoft 365, não altere nenhuma outra configuração e selecione Registrar.

  5. Selecione Permissões da API>+ Adicionar uma permissão.

    Adicionar permissões de API

  6. Selecione API de Gerenciamento do Office 365 e configure as permissões da seguinte maneira:

    1. Selecione Permissões de aplicativo e, depois, ActivityFeed.Read.

      Permissões de aplicativo

    2. Selecione Adicionar permissões.

  7. Selecione Conceder consentimento do administrador para (sua organização). Pré-requisitos: Dar consentimento de administrador em todo o locatário a um aplicativo

    As permissões da API agora refletem ActivityFeed.Read delegada com o status Concedido para (sua organização).

  8. Selecione Certificados e segredos.

  9. Selecione + Novo segredo do cliente.

    Novo segredo do cliente

  10. Adicione uma descrição e uma expiração de acordo com as políticas da sua organização e selecione Adicionar.

  11. Copie e cole a ID do aplicativo (cliente) em um documento de texto no Bloco de Notas, por enquanto.

  12. Selecione Visão geral, em seguida, copie e cole os valores de ID do aplicativo (cliente) e do diretório (locatário) no mesmo documento de texto. Lembre-se de anotar qual GUID é para qual valor. Você precisará desses valores ao configurar o conector personalizado.

Atualizar variáveis de ambiente

As variáveis ​​de ambiente são usadas para armazenar o ID e o segredo do cliente para o registro do aplicativo e os pontos de extremidade de serviço de autoridade e público, dependendo da sua nuvem (comercial, GCC, GCC High, DoD) para a ação HTTP. Atualize as variáveis de ambiente antes de ativar os fluxos.

Você pode armazenar o segredo do cliente em texto simples na variável de ambiente Logs de Auditoria - Segredo do Cliente, o que não é recomendado. Em vez disso, recomendamos que você crie e armazene o segredo do cliente no Azure Key Vault e faça referência a ele na variável de ambiente Logs de Auditoria - Segredo do Azure do Cliente.

Observação

O fluxo que usa essa variável de ambiente é configurado com uma condição para esperar a variável de ambiente Logs de Auditoria - Segredo do Cliente ou Logs de Auditoria - Segredo do Azure do Cliente. Não é necessário editar o fluxo para trabalhar com o Azure Key Vault.

Name Descrição Valores
Logs de Auditoria - Público-alvo O parâmetro de público-alvo para as chamadas HTTP. Comercial (Padrão): https://manage.office.com

GCC: https://manage-gcc.office.com

GCC High: https://gerenciar.office365.us>

DoD: https://manage.protection.apps.mil
Logs de Auditoria - Autoridade O campo de autoridade nas chamadas HTTP. Comercial (Padrão): https://login.windows.net

GCC: https://login.windows.net

GCC High: https://login.microsoftonline.us

DoD: https://login.microsoftonline.us
Logs de Auditoria - ClientID ID do cliente para registro do aplicativo. O ID do cliente do aplicativo da etapa Criar um registro de aplicativo do Microsoft Entra para a API de Gerenciamento do Office 365.
Logs de Auditoria - Segredo do Cliente Segredo do cliente para registro do aplicativo em texto simples. O segredo do cliente do aplicativo da etapa Criar um registro de aplicativo do Microsoft Entra para a API de Gerenciamento do Office 365 . Deixe em branco se estiver usando o Azure Key Vault para armazenar sua ID de cliente e segredo.
Logs de Auditoria - Segredo do Azure do Cliente Referência do Azure Key Vault do segredo do cliente para registro do aplicativo. A referência do Azure Key Vault para o segredo do cliente do aplicativo da etapa Criar um registro de aplicativo do Microsoft Entra para a API de Gerenciamento do Office 365. Deixe em branco se estiver armazenando a ID do cliente em texto simples na variável de ambiente Logs de Auditoria - Segredo do Cliente. Essa variável espera a referência do Azure Key Vault, não o segredo. Saiba mais: Usar segredos do Azure Key Vault em variáveis de ambiente

Iniciar uma assinatura para o conteúdo do log de auditoria

  1. Acesse make.powerapps.com.
  2. Selecione Soluções.
  3. Abra a solução Centro de Excelência – Componentes Principais.
  4. Ative o fluxo Administrador | Logs de Auditoria | Assinatura da API de Gerenciamento do Office 365 e execute-o, digite iniciar como a operação a ser executada. Iniciar a assinatura
  5. Abra o fluxo e verifique se a ação para iniciar a assinatura foi aprovada. Iniciar a assinatura aprovada

Importante

Se você habilitou a assinatura anteriormente, verá uma mensagem (400) A assinatura já está habilitada. Isso significa que a assinatura já foi habilitada com sucesso. Você pode ignorar esse erro e prosseguir com a configuração.

Se você não vir a mensagem acima ou uma resposta (200), a solicitação pode ter falhado. Pode haver um erro na configuração que está impedindo o funcionamento do fluxo. Os problemas comuns a serem verificados são:

  • Os logs de auditoria estão habilitados e você tem permissão para exibi-los? Confira verificando se você pode pesquisar no Microsoft Compliance Manager.
  • Você ativou o log de auditoria muito recentemente? Se for o caso, tente novamente em alguns minutos para permitir que o log de auditoria seja ativado.
  • Valide se você seguiu corretamente as etapas em Registro do aplicativo do Microsoft Entra.
  • Valide se você atualizou corretamente as variáveis de ambiente para esses fluxos.

Ativar fluxos

  1. Acesse make.powerapps.com.
  2. Selecione Soluções.
  3. Abra a solução Centro de Excelência – Componentes Principais.
  4. Ative o fluxo Administrador | Logs de Auditoria | Sincronizar Logs de Auditoria (V2). Esse fluxo será executado de hora em hora e coletará eventos de logs de auditoria na tabela Logs de Auditoria.

Como obter dados mais antigos

Esta solução coleta inicializações de aplicativos a partir do momento em que é configurada e não está configurada para coletar lançamentos de aplicativos históricos. Dependendo da sua licença do Microsoft 365, os dados históricos estarão disponíveis por até um ano usando o log de auditoria no Microsoft Purview.

Você pode carregar dados históricos nas tabelas do Kit de Início do CoE manualmente usando um dos fluxos fornecidos na solução, conforme descrito aqui.

Observação

O usuário que recupera os logs de auditoria deve ter permissão para os logs de auditoria. Mais Informações: Antes de pesquisar os logs de auditoria

  1. Navegue até a Pesquisa do Log de Auditoria.
  2. Pesquise a atividade do aplicativo inicializado no intervalo de datas disponível para você. Obter logs de auditoria antigos
  3. Após a execução da pesquisa, selecione Exportar para baixar os resultados. Baixar logs de auditoria antigos
  4. Navegue até o seguinte fluxo na solução principal: Administrador | Logs de Auditoria | Carregar eventos do arquivo CSV exportado Log de Auditoria
  5. Ative o fluxo e execute-o, selecionando o arquivo baixado para o parâmetro do CSV Log de Auditoria. Carregar logs de auditoria antigos via fluxo

    Observação

    Se você não vir o carregamento do arquivo depois de selecionar Importar, ele poderá exceder o tamanho do conteúdo permitido para esse gatilho. Tente dividir o arquivo em arquivos menores (50.000 linhas por arquivo) e execute o fluxo uma vez por arquivo. O fluxo pode ser executado simultaneamente para vários arquivos.

  6. Quando concluído, esses logs serão incluídos na sua telemetria. A lista de últimas inicializações dos aplicativos será atualizada se forem encontradas inicializações mais recentes.

Parece que encontrei um bug no Kit de Início do CoE. Aonde devo ir?

Para registrar um bug na solução, vá para aka.ms/coe-starter-kit-issues.