รวบรวมบันทึกการตรวจสอบโดยใช้ตัวเชื่อมต่อที่กำหนดเอง (เลิกใช้แล้ว)

สำคัญ

การใช้โซลูชัน Center of Excellence - บันทึกการตรวจสอบ โดยเฉพาะและตัวเชื่อมต่อที่กำหนดเองของการจัดการ Office 365 เพื่อรวบรวมเหตุการณ์บันทึกการตรวจสอบมีการเลิกใช้แล้ว โซลูชันและตัวเชื่อมต่อที่กำหนดเองจะถูกลบออกจากชุดเริ่มต้น CoE ในเดือนสิงหาคม 2023

เรามีโฟลว์ใหม่ที่รวบรวมเหตุการณ์บันทึกการตรวจสอบซึ่งเป็นส่วนหนึ่งของโซลูชัน Center of Excellence - ส่วนประกอบหลัก โฟลว์ใหม่นี้ใช้ตัวเชื่อมต่อ HTTP เรียนรู้เพิ่มเติม: รวบรวมบันทึกการตรวจสอบโดยใช้การดำเนินการ HTTP

โฟลว์ซิงค์บันทึกการตรวจสอบเชื่อมต่อกับบันทึกการตรวจสอบ Microsoft 365 เพื่อรวบรวมข้อมูลการตรวจวัดระยะไกล (ผู้ใช้ที่ไม่ซ้ำกัน การเปิดตัว) สำหรับแอป โฟลว์ใช้ตัวเชื่อมต่อที่กำหนดเองเพื่อเชื่อมต่อกับบันทึกการตรวจสอบ ในคำแนะนำต่อไปนี้ คุณจะตั้งค่าตัวเชื่อมต่อที่กำหนดเองและกำหนดค่าโฟลว์

ชุดเริ่มต้นของศูนย์ความเป็นเลิศ (CoE) ทำงานโดยไม่มีโฟลว์นี้ แต่ข้อมูลการใช้งาน (เปิดตัวแอป ผู้ใช้ที่ไม่ซ้ำ) ในแดชบอร์ด Power BI จะว่างเปล่า

สำคัญ

ปฏิบัติตามคำแนะนำใน ก่อนตั้งค่าชุกเริ่มต้น CoE และ ตั้งค่าส่วนประกอบสินค้าคงคลัง ก่อนดำเนินการตั้งค่าต่อในบทความนี้ บทความนี้ถือว่าคุณมี การตั้งค่าสภาพแวดล้อม และลงชื่อเข้าใช้ด้วย ตัวตนที่ถูกต้อง

ตั้งค่าโซลูชันบันทึกการตรวจสอบหากคุณเลือก โฟลว์ระบบคลาวด์ เป็นกลไกสำหรับสินค้าคงคลังและการวัดและส่งข้อมูลทางไกลไว้เท่านั้น

ดูการแนะนำ วิธีตั้งค่าตัวเชื่อมต่อบันทึกการตรวจสอบ

ก่อนที่คุณจะใช้ตัวเชื่อมต่อบันทึกการตรวจสอบ

1. บันทึกการตรวจสอบ Microsoft 365 ต้องเปิดการค้นหาตัวเชื่อมต่อบันทึกการตรวจสอบเพื่อให้ทำงานได้ ข้อมูลเพิ่มเติม: เปิดหรือปิดการค้นหาบันทึกการตรวจสอบ

2. ข้อมูลประจำตัวผู้ใช้ที่รันอยู่ที่โฟลว์จะต้องมีสิทธิ์บันทึกการตรวจสอบ สิทธิ์ขั้นต่ำสำหรับรายการนี้มีอธิบายไว้ที่นี่: ก่อนที่คุณจะค้นหาบันทึกการตรวจสอบ

3. ผู้เช่าของคุณต้องมีการสมัครใช้งานที่รองรับการบันทึกการตรวจสอบแบบรวม ข้อมูลเพิ่มเติม: ศูนย์ความปลอดภัยและการปฏิบัติตามข้อกำหนดสำหรับแผนธุรกิจและองค์กร

4. ผู้ดูแลระบบส่วนกลางจำเป็นต้องมีเพื่อกำหนดค่าการลงทะเบียนแอป Microsoft Entra

API การจัดการ Office 365 ใช้ Microsoft Entra ID เพื่อให้บริการตรวจสอบสิทธิ์ที่คุณสามารถใช้เพื่อให้สิทธิ์สำหรับแอปพลิเคชันของคุณในการเข้าถึง

สร้างการลงทะเบียนแอป Microsoft Entra สำหรับ API การจัดการของ Office 365

ใช้ขั้นตอนเหล่านี้ คุณจะตั้งค่าการลงทะเบียนแอป Microsoft Entra ที่ใช้ในตัวเชื่อมต่อที่กำหนดเอง และโฟลว์ Power Automate เพื่อเชื่อมต่อกับบันทึกการตรวจสอบ ข้อมูลเพิ่มเติม: เริ่มต้นใช้ APIs การจัดการ Office 365

1. ลงชื่อเข้าใช้ portal.azure.com

2. ไปที่ Microsoft Entra ID>การลงทะเบียนแอป

   

3. เลือก + การลงทะเบียนใหม่

4. ป้อนชื่อ (เช่น การจัดการ Microsoft 365) ไม่ต้องเปลี่ยนการตั้งค่าใดๆ แล้วเลือก ลงทะเบียน

5. เลือก สิทธิ์ API>+ เพิ่มสิทธิ์

   

6. เลือก API การจัดการ Office 365 และกำหนดค่าการอนุญาตดังต่อไปนี้:

   1. เลือก สิทธิ์ที่ได้รับมอบหมาย แล้วเลือก ActivityFeed.Read

      

   2. เลือก เพิ่มสิทธิ์

7. เลือก ให้ความยินยอมของผู้ดูแลระบบสำหรับ (องค์กรของคุณ) ข้อกำหนดเบื้องต้น: ให้คำยินยอมจากผู้ดูแลระบบทั่วทั้งผู้เช่าในโปรแกรมประยุกต์

   ตอนนี้สิทธิ์ API จะแสดงผู้รับมอบสิทธิ์ ActivityFeed.Read ที่มีสถานะเป็น ให้สิทธิ์สำหรับ (องค์กรของคุณ)

8. เลือก ใบรับรองและข้อมูลลับ

9. เลือก + ข้อมูลลับไคลเอ็นต์ใหม่

   

10. เพิ่มคำอธิบายและวันหมดอายุ (สอดคล้องกับนโยบายขององค์กรของคุณ) จากนั้นเลือก เพิ่ม

11. คัดลอกและวาง ข้อมูลลับ ไปยังเอกสารข้อความใน Notepad ในขณะนี้

12. เลือก ภาพรวม และคัดลอกและวาง ID แอปพลิเคชัน (ไคลเอ็นต์) และค่า ID ไดเรกทอรี (ผู้เช่า) ไปยังเอกสารข้อความเดียวกัน ให้แน่ใจว่าได้ทำบันทึกไว้ว่า GUID ใด สำหรับค่าใด คุณจะต้องใช้ค่าเหล่านี้ในขั้นตอนถัดไปเมื่อคุณกำหนดค่าตัวเชื่อมต่อแบบกำหนดเอง

เปิดพอร์ทัล Azure ไว้ เนื่องจากคุณจะต้องทำการอัปเดตการกำหนดค่าบางอย่างหลังจากที่คุณตั้งค่าตัวเชื่อมต่อที่กำหนดเอง

ตั้งค่าตัวเชื่อมต่อแบบกำหนดเอง

ตอนนี้คุณจะกำหนดค่าและตั้งค่าตัวเชื่อมต่อที่กำหนดเองที่ใช้ APIs การจัดการ Office 365

1. ไปที่ Power Apps>Dataverse>ตัวเชื่อมต่อที่กำหนดเอง ตัวเชื่อมต่อที่กำหนดเองของ API การจัดการ Office 365 แสดงรายการที่นี่ ซึ่งได้รับการนำเข้าด้วยโซลูชันส่วนประกอบหลัก

2. เลือก แก้ไข

3. หากผู้เช่าของคุณอยู่ในผู้เช่าเชิงพาณิชย์ ให้ออกจากหน้า ทั่วไป ตามที่เป็น

   สำคัญ

   • หากผู้เช่าของคุณเป็นผู้เช่า GCC ให้เปลี่ยนโฮสต์เป็น manage-gcc.office.com
   • หากผู้เช่าของคุณเป็นผู้เช่า GCC High ให้เปลี่ยนโฮสต์เป็น manage.office365.us
   • หากผู้เช่าของคุณเป็นผู้เช่า DoD ให้เปลี่ยนโฮสต์เป็น manage.protection.apps.mil

   ข้อมูลเพิ่มเติม: การดำเนินการ API กิจกรรม

4. เลือก ความปลอดภัย

5. เลือก แก้ไข ที่ด้านล่างของพื้นที่ Oauth 2.0 เพื่อแก้ไขพารามิเตอร์การรับรองความถูกต้อง

   

6. เปลี่ยน ผู้ให้บริการข้อมูลประจำตัว เป็น Microsoft Entra ID

   

7. วาง ID แอปพลิเคชัน (ไคลเอ็นต์) ที่คุณคัดลอกจากการลงทะเบียนแอป ลงใน ID ไคลเอ็นต์

8. วางข้อมูลลับไคลเอ็นต์ที่คุณคัดลอกจากการลงทะเบียนแอป ลงใน ข้อมูลลับไคลเอ็นต์

9. อย่าเปลี่ยนแปลง ID ผู้เช่า

10. ออกจาก URL เข้าสู่ระบบ เช่นเดียวกับผู้เช่าเชิงพาณิชย์และผู้เช่า GCC และเปลี่ยนเป็น https://login.microsoftonline.us/ สำหรับผู้เช่า GCC High หรือ DoD

11. ตั้งค่า URL ทรัพยากร เป็น https://manage.office.com สำหรับผู้เช่าเชิงพาณิชย์ https://manage-gcc.office.com สำหรับผู้เช่า GCC, https://manage.office365.us สำหรับผู้เช่า GCC High และ https://manage.protection.apps.mil สำหรับผู้เช่า DoD

12. เลือก อัปเดตตัวเชื่อมต่อ

13. คัดลอก URL เปลี่ยนเส้นทาง ลงในเอกสารข้อความของคุณใน Notepad

หมายเหตุ

หากคุณมี นโยบายการป้องกันการสูญหายของข้อมูล (DLP) กำหนดค่าสำหรับสภาพแวดล้อมชุดเริ่มต้น CoE ของคุณ คุณจะต้องเพิ่มตัวเชื่อมต่อนี้ในข้อมูลธุรกิจกลุ่มเดียวของนโยบายนี้

อัปเดตการลงทะเบียนแอป Microsoft Entra ด้วย URL การเปลี่ยนเส้นทาง

1. ไปที่พอร์ทัล Azure และการลงทะเบียนแอปของคุณ

2. ภายใต้ ภาพรวม เลือก เพิ่ม URI การเปลี่ยนเส้นทาง

3. เลือก + เพิ่มแพลตฟอร์ม>เว็บ

4. ป้อน URL ที่คุณคัดลอกมาจากส่วน URL การเปลี่ยนเส้นทาง ของตัวเชื่อมต่อที่กำหนดเอง

5. เลือก กำหนดค่า

เริ่มการสมัครใช้งานเพื่อตรวจสอบเนื้อหาบันทึก

กลับไปที่ตัวเชื่อมต่อแบบกำหนดเองเพื่อตั้งค่าการเชื่อมต่อกับตัวเชื่อมต่อแบบกำหนดเอง และ เริ่มการสมัครใช้งานเนื้อหาบันทึกการตรวจสอบ ตามที่อธิบายไว้ในขั้นตอนต่อไปนี้

สำคัญ

คุณต้องทำตามขั้นตอนเหล่านี้สำหรับขั้นตอนต่อไปในการทำงาน หากคุณไม่ได้สร้างการเชื่อมต่อใหม่และทดสอบตัวเชื่อมต่อที่นี่ การตั้งค่าโฟลว์และโฟลว์รองในขั้นตอนต่อมาจะล้มเหลว

1. บนหน้า ตัวเชื่อมต่อที่กำหนดเอง ให้เลือก ทดสอบ

2. เลือก + การเชื่อมต่อใหม่ จากนั้นเข้าสู่ระบบด้วยบัญชีของคุณ

3. ภายใต้ การดำเนินงาน เลือก StartSubscription

   

4. วาง รหัสไดเรกทอรี (ผู้เช่า)—คัดลอกก่อนหน้านี้จากหน้าภารวมของ การลงทะเบียนแอป ใน Microsoft Entra ID—ลงในฟิลด์ ผู้เช่า

5. วาง รหัสไดเรกทอรี (ผู้เช่า) ลงใน PublisherIdentifier

6. เลือก การดำเนินการทดสอบ

คุณควรเห็นสถานะที่ส่งคืน (200) ซึ่งหมายความว่าการสอบถามประสบความสำเร็จ

สำคัญ

หากคุณได้เปิดใช้งานการสมัครใช้งานไว้ก่อนหน้านี้ คุณจะเห็นข้อความ (400) เปิดใช้งานการสมัครใช้งานแล้ว ซึ่งหมายความว่ามีการเปิดใช้การสมัครใช้งานสำเร็จในอดีต คุณสามารถละเว้นข้อผิดพลาดนี้และดำเนินการตั้งค่าต่อได้

หากคุณไม่เห็นข้อความด้านบนหรือการตอบกลับ (200) แสดงว่าคำขออาจล้มเหลว อาจมีข้อผิดพลาดในการตั้งค่าที่ทำให้โฟลว์ทำงานไม่ได้ ปัญหาทั่วไปในการตรวจสอบคือ:

• ตรวจสอบว่าผู้ให้บริการข้อมูลประจำตัวบนแท็บ ความปลอดภัย ถูกตั้งค่าเป็น Microsoft Entra ID
• มีการเปิดใช้งานบันทึกการตรวจสอบหรือไม่ และคุณได้รับสิทธ์ให้ดูบันทึกการตรวจสอบหรือไม่ ตรวจสอบโดยดูว่าคุณสามารถค้นหาใน Microsoft Compliance Manager ได้หรือไม่
• หากคุณไม่มีสิทธิ์ ดูที่ ก่อนที่คุณจะค้นหาบันทึกการตรวจสอบ
• คุณได้เปิดใช้งานบันทึกการตรวจสอบเมื่อเร็วๆ นี้หรือไม่ ถ้าเป็นเช่นนั้นอีกสักครู่ให้ลองอีกครั้ง เพื่อให้เวลาบันทึกการตรวจสอบในการเปิดใช้งาน
• คุณได้วางรหัสผู้เช่าที่ถูกต้องจากการลงทะเบียนแอป Microsoft Entra ของคุณหรือยัง
• คุณไดัวางใน URL ของทรัพยากรที่ถูกต้อง โดยไม่มีการเว้นวรรคหรือเพิ่มตัวอักษรหรือไม่
• ตรวจสอบว่าคุณทำตามขั้นตอนอย่างถูกต้องใน การลงทะเบียนแอป Microsoft Entra
• ตรวจสอบว่าคุณอัปเดตการตั้งค่าความปลอดภัยของตัวเชื่อมต่อแบบกำหนดเองอย่างถูกต้อง ตามที่อธิบายไว้ในกระบวนงาน ขั้นตอนที่ 6 ของการตั้งค่าตัวเชื่อมต่อแบบกำหนดเอง ก่อนหน้าในบทความนี้

หากคุณยังคงเห็นความล้มเหลว การเชื่อมต่อของคุณอาจอยู่ในสถานะที่ไม่ดี เรียนรู้เพิ่มเติม: คำแนะนำทีละขั้นตอนเพื่อซ่อมแซมการเชื่อมต่อบันทึกการตรวจสอบ

ตั้งค่าโฟลว์ Power Automate

โฟลว์ Power Automate ใช้ตัวเชื่อมต่อแบบกำหนดเอง สอบถามบันทึกการตรวจสอบทุกวัน และเขียนการเรียกใช้ Power Apps กิจกรรมไปยังตาราง Microsoft Dataverse ตารางนี้ใช้ในแดชบอร์ด Power BI เพื่อรายงานเกี่ยวกับเซสชันและผู้ใช้ที่ไม่ซ้ำของแอป

1. ทำตามคำแนะนำใน ตั้งค่าส่วนประกอบหลัก เพื่อดาวน์โหลดโซลูชัน

2. ไปที่ make.powerapps.com

3. นำเข้าโซลูชันบันทึกการตรวจสอบของ Center of Excellence (CenterofExcellenceAuditLogs_x_x_x_xxx_managed.zip)

4. สร้างการเชื่อมต่อเพื่อเปิดใช้งานโซลูชันของคุณ หากคุณสร้างการเชื่อมต่อใหม่ คุณต้องเลือก รีเฟรช คุณจะไม่สูญเสียความคืบหน้าในการนำเข้า

   

5. เปิด Center of Excellence – โซลูชันบันทึกการตรวจสอบ

6. ลบเลเยอร์ที่ไม่มีการจัดการ จาก ผู้ดูแลระบบ [รอง] | บันทึกการซิงค์

7. เลือก ผู้ดูแลระบบ [รอง] | บันทึกการซิงค์

8. แก้ไขการตั้งค่า ผู้ใช้แบบเรียกใช้อย่างเดียว

   

9. สำหรับตัวเชื่อมต่อที่กำหนดเองของ Office 365 Management API ให้เปลี่ยนค่าเป็น ใช้การเชื่อมต่อนี้ (userPrincipalName@company.com) หากไม่มีการเชื่อมต่อสำหรับตัวเชื่อมต่อใดๆ ให้ไปที่ Dataverse>การเชื่อมต่อ และสร้างขึ้นใหม่สำหรับตัวเชื่อมต่อ

   

10. สำหรับตัวเชื่อมต่อ Microsoft Dataverse ให้ปล่อยค่า สิทธิ์รันอย่างเดียว ว่างไว้ และยืนยันว่าการอ้างอิงการเชื่อมต่อสำหรับการเชื่อมต่อ บันทึกการตรวจสอบ CoE - Dataverse ได้รับการกำหนดค่าอย่างถูกต้องแล้ว หากการเชื่อมต่อแสดงข้อผิดพลาด ให้อัปเดตการอ้างอิงการเชื่อมต่อ สำหรับการอ้างอิงการเชื่อมต่อ บันทึกการตรวจสอบ CoE - Dataverse

    

11. เลือก บันทึก แล้วปิดแท็บ รายละเอียดโฟลว์

12. (ไม่บังคับ) แก้ไขตัวแปรสภาพแวดล้อม TimeInterval-Unit และ TimeInterval-Interval เพื่อรวบรวมเวลาที่เล็กลง ค่าเริ่มต้นคือการแบ่งกลุ่ม 1 วัน ออกเป็น 1 ชั่วโมง คุณได้รับการแจ้งเตือนจากโซลูชันนี้หากบันทึกการตรวจสอบล้มเหลวในการรวบรวมข้อมูลทั้งหมดด้วยช่วงเวลาที่คุณกำหนดค่าไว้

    ชื่อ	รายละเอียด
    StartTime-Interval	ต้องเป็นตัวเลขจำนวนเต็มเพื่อแสดงเวลาเริ่มต้นในการดึงข้อมูลย้อนหลัง ค่าเริ่มต้น: 1 (สำหรับหนึ่งวันย้อนหลัง)
    StartTime-Unit	กำหนดหน่วยสำหรับเวลาที่ต้องใช้ในการดึงข้อมูลย้อนหลัง ต้องเป็นค่าจากการยอมรับเป็นพารามิเตอร์อินพุตถึง เพิ่มไปยังเวลา ตัวอย่างค่าทางกฎหมาย: นาที ชั่วโมง วัน ค่าเริ่มต้น: วัน
    TimeInterval-Unit	กำหนดหน่วยสำหรับการแบ่งเวลาตั้งแต่เริ่มต้น ต้องเป็นค่าจากการยอมรับเป็นพารามิเตอร์อินพุตถึง เพิ่มไปยังเวลา ตัวอย่างค่าทางกฎหมาย: นาที ชั่วโมง วัน ค่าเริ่มต้น: ชั่วโมง
    TimeInterval-Interval	ต้องเป็นจำนวนเต็มเพื่อแสดงจำนวนส่วนของหน่วยชนิด (ด้านบน) ค่าเริ่มต้น: 1 (สำหรับส่วน 1 ชั่วโมง)
    TimeSegment-CountLimit	ต้องเป็นจำนวนเต็มเพื่อแสดงถึงขีดจำกัดจำนวนกลุ่มที่สามารถสร้างได้ ค่าเริ่มต้น: 60

    สำคัญ

    ค่าเริ่มต้นที่มีให้จะทำงานในผู้เช่าขนาดกลาง คุณอาจต้องปรับค่าหลายครั้งเพื่อให้สิ่งนี้ใช้ได้กับขนาดผู้เช่าของคุณ

    สำคัญ

    เรียนรู้วิธีอัปเดตตัวแปรสภาพแวดล้อม: อัปเดตตัวแปรสภาพแวดล้อม

13. กลับไปที่โซลูชัน เปิดทั้งผู้ดูแลระบบ [รอง] | ขั้นตอนการซิงค์บันทึกและผู้ดูแลระบบ | โฟลว์การบันทึกการตรวจสอบการซิงค์

    

ตัวอย่างการกำหนดค่าสำหรับตัวแปรสภาพแวดล้อม

ต่อไปนี้คือตัวอย่างการกำหนดค่าสำหรับค่าเหล่านี้:

StartTime-Interval	StartTime-Unit	TimeInterval-Interval	TimeInterval-Unit	TimeSegment-CountLimit	ความคาดหวัง
1	วัน	1	ชั่วโมง	60	จะสร้างโฟลว์รอง 24 โฟลว์ ซึ่งอยู่ภายในขีดจำกัด 60 แต่ละโฟลว์รองทำงานเพื่อดึงบันทึก 1 ชั่วโมงจาก 24 ชั่วโมงที่ผ่านมา
2	วัน	1	ชั่วโมง	60	จะสร้างโฟลว์รอง 48 โฟลว์ ซึ่งอยู่ภายในขีดจำกัด 60 แต่ละโฟลว์รองทำงานเพื่อดึงบันทึก 1 ชั่วโมงจาก 48 ชั่วโมงที่ผ่านมา
1	วัน	5	นาที	300	จะสร้างโฟลว์รอง 288 โฟลว์ ซึ่งอยู่ภายในขีดจำกัด 300 แต่ละโฟลว์รองทำงานเพื่อดึงบันทึก 5 นาทีจาก 24 ชั่วโมงที่ผ่านมา
1	วัน	15	นาที	100	จะสร้างโฟลว์รอง 96 โฟลว์ ซึ่งอยู่ภายในขีดจำกัด 100 แต่ละโฟลว์รองทำงานเพื่อดึงบันทึก 15 นาทีจาก 24 ชั่วโมงที่ผ่านมา

วิธีรับข้อมูลเก่า

โซลูชันนี้รวบรวมการเปิดใช้แอปตั้งแต่ช่วงเวลาที่กำหนดค่า และไม่ได้ตั้งค่าให้รวบรวมการเปิดใช้แอปที่ผ่านมา ขึ้นอยู่กับ สิทธิการใช้งาน Microsoft 365 ของคุณ ข้อมูลย้อนหลังจะสามารถใช้ได้นานถึงหนึ่งปีโดยใช้บันทึกการตรวจสอบใน Microsoft Purview

คุณสามารถโหลดข้อมูลย้อนหลังลงในตารางชุดเริ่มต้น CoE ได้ด้วยตนเอง เรียนรู้เพิ่มเติม: วิธีการนำเข้าบันทึกการตรวจสอบเก่า

ฉันพบจุดบกพร่องในชุดเริ่มต้น CoE ฉันควรจะไปที่ไหนดี

หากต้องการรายงานข้อบกพร่องเกี่ยวกับโซลูชัน ให้ไปที่ aka.ms/coe-starter-kit-issues