รวบรวมบันทึกการตรวจสอบโดยใช้ตัวเชื่อมต่อที่กำหนดเอง (เลิกใช้แล้ว)
สำคัญ
การใช้โซลูชัน Center of Excellence - บันทึกการตรวจสอบ โดยเฉพาะและตัวเชื่อมต่อที่กำหนดเองของการจัดการ Office 365 เพื่อรวบรวมเหตุการณ์บันทึกการตรวจสอบมีการเลิกใช้แล้ว โซลูชันและตัวเชื่อมต่อที่กำหนดเองจะถูกลบออกจากชุดเริ่มต้น CoE ในเดือนสิงหาคม 2023
เรามีโฟลว์ใหม่ที่รวบรวมเหตุการณ์บันทึกการตรวจสอบซึ่งเป็นส่วนหนึ่งของโซลูชัน Center of Excellence - ส่วนประกอบหลัก โฟลว์ใหม่นี้ใช้ตัวเชื่อมต่อ HTTP เรียนรู้เพิ่มเติม: รวบรวมบันทึกการตรวจสอบโดยใช้การดำเนินการ HTTP
โฟลว์ซิงค์บันทึกการตรวจสอบเชื่อมต่อกับบันทึกการตรวจสอบ Microsoft 365 เพื่อรวบรวมข้อมูลการตรวจวัดระยะไกล (ผู้ใช้ที่ไม่ซ้ำกัน การเปิดตัว) สำหรับแอป โฟลว์ใช้ตัวเชื่อมต่อที่กำหนดเองเพื่อเชื่อมต่อกับบันทึกการตรวจสอบ ในคำแนะนำต่อไปนี้ คุณจะตั้งค่าตัวเชื่อมต่อที่กำหนดเองและกำหนดค่าโฟลว์
ชุดเริ่มต้นของศูนย์ความเป็นเลิศ (CoE) ทำงานโดยไม่มีโฟลว์นี้ แต่ข้อมูลการใช้งาน (เปิดตัวแอป ผู้ใช้ที่ไม่ซ้ำ) ในแดชบอร์ด Power BI จะว่างเปล่า
สำคัญ
ปฏิบัติตามคำแนะนำใน ก่อนตั้งค่าชุกเริ่มต้น CoE และ ตั้งค่าส่วนประกอบสินค้าคงคลัง ก่อนดำเนินการตั้งค่าต่อในบทความนี้ บทความนี้ถือว่าคุณมี การตั้งค่าสภาพแวดล้อม และลงชื่อเข้าใช้ด้วย ตัวตนที่ถูกต้อง
ตั้งค่าโซลูชันบันทึกการตรวจสอบหากคุณเลือก โฟลว์ระบบคลาวด์ เป็นกลไกสำหรับสินค้าคงคลังและการวัดและส่งข้อมูลทางไกลไว้เท่านั้น
ดูการแนะนำ วิธีตั้งค่าตัวเชื่อมต่อบันทึกการตรวจสอบ
ก่อนที่คุณจะใช้ตัวเชื่อมต่อบันทึกการตรวจสอบ
บันทึกการตรวจสอบ Microsoft 365 ต้องเปิดการค้นหาตัวเชื่อมต่อบันทึกการตรวจสอบเพื่อให้ทำงานได้ ข้อมูลเพิ่มเติม: เปิดหรือปิดการค้นหาบันทึกการตรวจสอบ
ข้อมูลประจำตัวผู้ใช้ที่รันอยู่ที่โฟลว์จะต้องมีสิทธิ์บันทึกการตรวจสอบ สิทธิ์ขั้นต่ำสำหรับรายการนี้มีอธิบายไว้ที่นี่: ก่อนที่คุณจะค้นหาบันทึกการตรวจสอบ
ผู้เช่าของคุณต้องมีการสมัครใช้งานที่รองรับการบันทึกการตรวจสอบแบบรวม ข้อมูลเพิ่มเติม: ศูนย์ความปลอดภัยและการปฏิบัติตามข้อกำหนดสำหรับแผนธุรกิจและองค์กร
ผู้ดูแลระบบส่วนกลางจำเป็นต้องมีเพื่อกำหนดค่าการลงทะเบียนแอป Microsoft Entra
API การจัดการ Office 365 ใช้ Microsoft Entra ID เพื่อให้บริการตรวจสอบสิทธิ์ที่คุณสามารถใช้เพื่อให้สิทธิ์สำหรับแอปพลิเคชันของคุณในการเข้าถึง
สร้างการลงทะเบียนแอป Microsoft Entra สำหรับ API การจัดการของ Office 365
ใช้ขั้นตอนเหล่านี้ คุณจะตั้งค่าการลงทะเบียนแอป Microsoft Entra ที่ใช้ในตัวเชื่อมต่อที่กำหนดเอง และโฟลว์ Power Automate เพื่อเชื่อมต่อกับบันทึกการตรวจสอบ ข้อมูลเพิ่มเติม: เริ่มต้นใช้ APIs การจัดการ Office 365
ลงชื่อเข้าใช้ portal.azure.com
ไปที่ Microsoft Entra ID>การลงทะเบียนแอป
เลือก + การลงทะเบียนใหม่
ป้อนชื่อ (เช่น การจัดการ Microsoft 365) ไม่ต้องเปลี่ยนการตั้งค่าใดๆ แล้วเลือก ลงทะเบียน
เลือก สิทธิ์ API>+ เพิ่มสิทธิ์
เลือก API การจัดการ Office 365 และกำหนดค่าการอนุญาตดังต่อไปนี้:
เลือก สิทธิ์ที่ได้รับมอบหมาย แล้วเลือก ActivityFeed.Read
เลือก เพิ่มสิทธิ์
เลือก ให้ความยินยอมของผู้ดูแลระบบสำหรับ (องค์กรของคุณ) ข้อกำหนดเบื้องต้น: ให้คำยินยอมจากผู้ดูแลระบบทั่วทั้งผู้เช่าในโปรแกรมประยุกต์
ตอนนี้สิทธิ์ API จะแสดงผู้รับมอบสิทธิ์ ActivityFeed.Read ที่มีสถานะเป็น ให้สิทธิ์สำหรับ (องค์กรของคุณ)
เลือก ใบรับรองและข้อมูลลับ
เลือก + ข้อมูลลับไคลเอ็นต์ใหม่
เพิ่มคำอธิบายและวันหมดอายุ (สอดคล้องกับนโยบายขององค์กรของคุณ) จากนั้นเลือก เพิ่ม
คัดลอกและวาง ข้อมูลลับ ไปยังเอกสารข้อความใน Notepad ในขณะนี้
เลือก ภาพรวม และคัดลอกและวาง ID แอปพลิเคชัน (ไคลเอ็นต์) และค่า ID ไดเรกทอรี (ผู้เช่า) ไปยังเอกสารข้อความเดียวกัน ให้แน่ใจว่าได้ทำบันทึกไว้ว่า GUID ใด สำหรับค่าใด คุณจะต้องใช้ค่าเหล่านี้ในขั้นตอนถัดไปเมื่อคุณกำหนดค่าตัวเชื่อมต่อแบบกำหนดเอง
เปิดพอร์ทัล Azure ไว้ เนื่องจากคุณจะต้องทำการอัปเดตการกำหนดค่าบางอย่างหลังจากที่คุณตั้งค่าตัวเชื่อมต่อที่กำหนดเอง
ตั้งค่าตัวเชื่อมต่อแบบกำหนดเอง
ตอนนี้คุณจะกำหนดค่าและตั้งค่าตัวเชื่อมต่อที่กำหนดเองที่ใช้ APIs การจัดการ Office 365
ไปที่ Power Apps>Dataverse>ตัวเชื่อมต่อที่กำหนดเอง ตัวเชื่อมต่อที่กำหนดเองของ API การจัดการ Office 365 แสดงรายการที่นี่ ซึ่งได้รับการนำเข้าด้วยโซลูชันส่วนประกอบหลัก
เลือก แก้ไข
หากผู้เช่าของคุณอยู่ในผู้เช่าเชิงพาณิชย์ ให้ออกจากหน้า ทั่วไป ตามที่เป็น
สำคัญ
- หากผู้เช่าของคุณเป็นผู้เช่า GCC ให้เปลี่ยนโฮสต์เป็น manage-gcc.office.com
- หากผู้เช่าของคุณเป็นผู้เช่า GCC High ให้เปลี่ยนโฮสต์เป็น manage.office365.us
- หากผู้เช่าของคุณเป็นผู้เช่า DoD ให้เปลี่ยนโฮสต์เป็น manage.protection.apps.mil
ข้อมูลเพิ่มเติม: การดำเนินการ API กิจกรรม
เลือก ความปลอดภัย
เลือก แก้ไข ที่ด้านล่างของพื้นที่ Oauth 2.0 เพื่อแก้ไขพารามิเตอร์การรับรองความถูกต้อง
เปลี่ยน ผู้ให้บริการข้อมูลประจำตัว เป็น Microsoft Entra ID
วาง ID แอปพลิเคชัน (ไคลเอ็นต์) ที่คุณคัดลอกจากการลงทะเบียนแอป ลงใน ID ไคลเอ็นต์
วางข้อมูลลับไคลเอ็นต์ที่คุณคัดลอกจากการลงทะเบียนแอป ลงใน ข้อมูลลับไคลเอ็นต์
อย่าเปลี่ยนแปลง ID ผู้เช่า
ออกจาก URL เข้าสู่ระบบ เช่นเดียวกับผู้เช่าเชิงพาณิชย์และผู้เช่า GCC และเปลี่ยนเป็น https://login.microsoftonline.us/ สำหรับผู้เช่า GCC High หรือ DoD
ตั้งค่า URL ทรัพยากร เป็น https://manage.office.com สำหรับผู้เช่าเชิงพาณิชย์ https://manage-gcc.office.com สำหรับผู้เช่า GCC, https://manage.office365.us สำหรับผู้เช่า GCC High และ https://manage.protection.apps.mil สำหรับผู้เช่า DoD
เลือก อัปเดตตัวเชื่อมต่อ
คัดลอก URL เปลี่ยนเส้นทาง ลงในเอกสารข้อความของคุณใน Notepad
หมายเหตุ
หากคุณมี นโยบายการป้องกันการสูญหายของข้อมูล (DLP) กำหนดค่าสำหรับสภาพแวดล้อมชุดเริ่มต้น CoE ของคุณ คุณจะต้องเพิ่มตัวเชื่อมต่อนี้ในข้อมูลธุรกิจกลุ่มเดียวของนโยบายนี้
อัปเดตการลงทะเบียนแอป Microsoft Entra ด้วย URL การเปลี่ยนเส้นทาง
ไปที่พอร์ทัล Azure และการลงทะเบียนแอปของคุณ
ภายใต้ ภาพรวม เลือก เพิ่ม URI การเปลี่ยนเส้นทาง
เลือก + เพิ่มแพลตฟอร์ม>เว็บ
ป้อน URL ที่คุณคัดลอกมาจากส่วน URL การเปลี่ยนเส้นทาง ของตัวเชื่อมต่อที่กำหนดเอง
เลือก กำหนดค่า
เริ่มการสมัครใช้งานเพื่อตรวจสอบเนื้อหาบันทึก
กลับไปที่ตัวเชื่อมต่อแบบกำหนดเองเพื่อตั้งค่าการเชื่อมต่อกับตัวเชื่อมต่อแบบกำหนดเอง และ เริ่มการสมัครใช้งานเนื้อหาบันทึกการตรวจสอบ ตามที่อธิบายไว้ในขั้นตอนต่อไปนี้
สำคัญ
คุณต้องทำตามขั้นตอนเหล่านี้สำหรับขั้นตอนต่อไปในการทำงาน หากคุณไม่ได้สร้างการเชื่อมต่อใหม่และทดสอบตัวเชื่อมต่อที่นี่ การตั้งค่าโฟลว์และโฟลว์รองในขั้นตอนต่อมาจะล้มเหลว
บนหน้า ตัวเชื่อมต่อที่กำหนดเอง ให้เลือก ทดสอบ
เลือก + การเชื่อมต่อใหม่ จากนั้นเข้าสู่ระบบด้วยบัญชีของคุณ
ภายใต้ การดำเนินงาน เลือก StartSubscription
วาง รหัสไดเรกทอรี (ผู้เช่า)—คัดลอกก่อนหน้านี้จากหน้าภารวมของ การลงทะเบียนแอป ใน Microsoft Entra ID—ลงในฟิลด์ ผู้เช่า
วาง รหัสไดเรกทอรี (ผู้เช่า) ลงใน PublisherIdentifier
เลือก การดำเนินการทดสอบ
คุณควรเห็นสถานะที่ส่งคืน (200) ซึ่งหมายความว่าการสอบถามประสบความสำเร็จ
สำคัญ
หากคุณได้เปิดใช้งานการสมัครใช้งานไว้ก่อนหน้านี้ คุณจะเห็นข้อความ (400) เปิดใช้งานการสมัครใช้งานแล้ว ซึ่งหมายความว่ามีการเปิดใช้การสมัครใช้งานสำเร็จในอดีต คุณสามารถละเว้นข้อผิดพลาดนี้และดำเนินการตั้งค่าต่อได้
หากคุณไม่เห็นข้อความด้านบนหรือการตอบกลับ (200) แสดงว่าคำขออาจล้มเหลว อาจมีข้อผิดพลาดในการตั้งค่าที่ทำให้โฟลว์ทำงานไม่ได้ ปัญหาทั่วไปในการตรวจสอบคือ:
- ตรวจสอบว่าผู้ให้บริการข้อมูลประจำตัวบนแท็บ ความปลอดภัย ถูกตั้งค่าเป็น Microsoft Entra ID
- มีการเปิดใช้งานบันทึกการตรวจสอบหรือไม่ และคุณได้รับสิทธ์ให้ดูบันทึกการตรวจสอบหรือไม่ ตรวจสอบโดยดูว่าคุณสามารถค้นหาใน Microsoft Compliance Manager ได้หรือไม่
- หากคุณไม่มีสิทธิ์ ดูที่ ก่อนที่คุณจะค้นหาบันทึกการตรวจสอบ
- คุณได้เปิดใช้งานบันทึกการตรวจสอบเมื่อเร็วๆ นี้หรือไม่ ถ้าเป็นเช่นนั้นอีกสักครู่ให้ลองอีกครั้ง เพื่อให้เวลาบันทึกการตรวจสอบในการเปิดใช้งาน
- คุณได้วางรหัสผู้เช่าที่ถูกต้องจากการลงทะเบียนแอป Microsoft Entra ของคุณหรือยัง
- คุณไดัวางใน URL ของทรัพยากรที่ถูกต้อง โดยไม่มีการเว้นวรรคหรือเพิ่มตัวอักษรหรือไม่
- ตรวจสอบว่าคุณทำตามขั้นตอนอย่างถูกต้องใน การลงทะเบียนแอป Microsoft Entra
- ตรวจสอบว่าคุณอัปเดตการตั้งค่าความปลอดภัยของตัวเชื่อมต่อแบบกำหนดเองอย่างถูกต้อง ตามที่อธิบายไว้ในกระบวนงาน ขั้นตอนที่ 6 ของการตั้งค่าตัวเชื่อมต่อแบบกำหนดเอง ก่อนหน้าในบทความนี้
หากคุณยังคงเห็นความล้มเหลว การเชื่อมต่อของคุณอาจอยู่ในสถานะที่ไม่ดี เรียนรู้เพิ่มเติม: คำแนะนำทีละขั้นตอนเพื่อซ่อมแซมการเชื่อมต่อบันทึกการตรวจสอบ
ตั้งค่าโฟลว์ Power Automate
โฟลว์ Power Automate ใช้ตัวเชื่อมต่อแบบกำหนดเอง สอบถามบันทึกการตรวจสอบทุกวัน และเขียนการเรียกใช้ Power Apps กิจกรรมไปยังตาราง Microsoft Dataverse ตารางนี้ใช้ในแดชบอร์ด Power BI เพื่อรายงานเกี่ยวกับเซสชันและผู้ใช้ที่ไม่ซ้ำของแอป
ทำตามคำแนะนำใน ตั้งค่าส่วนประกอบหลัก เพื่อดาวน์โหลดโซลูชัน
ไปที่ make.powerapps.com
นำเข้าโซลูชันบันทึกการตรวจสอบของ Center of Excellence (CenterofExcellenceAuditLogs_x_x_x_xxx_managed.zip)
สร้างการเชื่อมต่อเพื่อเปิดใช้งานโซลูชันของคุณ หากคุณสร้างการเชื่อมต่อใหม่ คุณต้องเลือก รีเฟรช คุณจะไม่สูญเสียความคืบหน้าในการนำเข้า
เปิด Center of Excellence – โซลูชันบันทึกการตรวจสอบ
ลบเลเยอร์ที่ไม่มีการจัดการ จาก ผู้ดูแลระบบ [รอง] | บันทึกการซิงค์
เลือก ผู้ดูแลระบบ [รอง] | บันทึกการซิงค์
แก้ไขการตั้งค่า ผู้ใช้แบบเรียกใช้อย่างเดียว
สำหรับตัวเชื่อมต่อที่กำหนดเองของ Office 365 Management API ให้เปลี่ยนค่าเป็น ใช้การเชื่อมต่อนี้ (userPrincipalName@company.com) หากไม่มีการเชื่อมต่อสำหรับตัวเชื่อมต่อใดๆ ให้ไปที่ Dataverse>การเชื่อมต่อ และสร้างขึ้นใหม่สำหรับตัวเชื่อมต่อ
สำหรับตัวเชื่อมต่อ Microsoft Dataverse ให้ปล่อยค่า สิทธิ์รันอย่างเดียว ว่างไว้ และยืนยันว่าการอ้างอิงการเชื่อมต่อสำหรับการเชื่อมต่อ บันทึกการตรวจสอบ CoE - Dataverse ได้รับการกำหนดค่าอย่างถูกต้องแล้ว หากการเชื่อมต่อแสดงข้อผิดพลาด ให้อัปเดตการอ้างอิงการเชื่อมต่อ สำหรับการอ้างอิงการเชื่อมต่อ บันทึกการตรวจสอบ CoE - Dataverse
เลือก บันทึก แล้วปิดแท็บ รายละเอียดโฟลว์
(ไม่บังคับ) แก้ไขตัวแปรสภาพแวดล้อม TimeInterval-Unit และ TimeInterval-Interval เพื่อรวบรวมเวลาที่เล็กลง ค่าเริ่มต้นคือการแบ่งกลุ่ม 1 วัน ออกเป็น 1 ชั่วโมง คุณได้รับการแจ้งเตือนจากโซลูชันนี้หากบันทึกการตรวจสอบล้มเหลวในการรวบรวมข้อมูลทั้งหมดด้วยช่วงเวลาที่คุณกำหนดค่าไว้
ชื่อ รายละเอียด StartTime-Interval ต้องเป็นตัวเลขจำนวนเต็มเพื่อแสดงเวลาเริ่มต้นในการดึงข้อมูลย้อนหลัง
ค่าเริ่มต้น: 1 (สำหรับหนึ่งวันย้อนหลัง)StartTime-Unit กำหนดหน่วยสำหรับเวลาที่ต้องใช้ในการดึงข้อมูลย้อนหลัง
ต้องเป็นค่าจากการยอมรับเป็นพารามิเตอร์อินพุตถึง เพิ่มไปยังเวลา
ตัวอย่างค่าทางกฎหมาย: นาที ชั่วโมง วัน
ค่าเริ่มต้น: วันTimeInterval-Unit กำหนดหน่วยสำหรับการแบ่งเวลาตั้งแต่เริ่มต้น
ต้องเป็นค่าจากการยอมรับเป็นพารามิเตอร์อินพุตถึง เพิ่มไปยังเวลา
ตัวอย่างค่าทางกฎหมาย: นาที ชั่วโมง วัน
ค่าเริ่มต้น: ชั่วโมงTimeInterval-Interval ต้องเป็นจำนวนเต็มเพื่อแสดงจำนวนส่วนของหน่วยชนิด (ด้านบน)
ค่าเริ่มต้น: 1 (สำหรับส่วน 1 ชั่วโมง)TimeSegment-CountLimit ต้องเป็นจำนวนเต็มเพื่อแสดงถึงขีดจำกัดจำนวนกลุ่มที่สามารถสร้างได้
ค่าเริ่มต้น: 60สำคัญ
ค่าเริ่มต้นที่มีให้จะทำงานในผู้เช่าขนาดกลาง คุณอาจต้องปรับค่าหลายครั้งเพื่อให้สิ่งนี้ใช้ได้กับขนาดผู้เช่าของคุณ
สำคัญ
เรียนรู้วิธีอัปเดตตัวแปรสภาพแวดล้อม: อัปเดตตัวแปรสภาพแวดล้อม
กลับไปที่โซลูชัน เปิดทั้งผู้ดูแลระบบ [รอง] | ขั้นตอนการซิงค์บันทึกและผู้ดูแลระบบ | โฟลว์การบันทึกการตรวจสอบการซิงค์
ตัวอย่างการกำหนดค่าสำหรับตัวแปรสภาพแวดล้อม
ต่อไปนี้คือตัวอย่างการกำหนดค่าสำหรับค่าเหล่านี้:
StartTime-Interval | StartTime-Unit | TimeInterval-Interval | TimeInterval-Unit | TimeSegment-CountLimit | ความคาดหวัง |
---|---|---|---|---|---|
1 | วัน | 1 | ชั่วโมง | 60 | จะสร้างโฟลว์รอง 24 โฟลว์ ซึ่งอยู่ภายในขีดจำกัด 60 แต่ละโฟลว์รองทำงานเพื่อดึงบันทึก 1 ชั่วโมงจาก 24 ชั่วโมงที่ผ่านมา |
2 | วัน | 1 | ชั่วโมง | 60 | จะสร้างโฟลว์รอง 48 โฟลว์ ซึ่งอยู่ภายในขีดจำกัด 60 แต่ละโฟลว์รองทำงานเพื่อดึงบันทึก 1 ชั่วโมงจาก 48 ชั่วโมงที่ผ่านมา |
1 | วัน | 5 | นาที | 300 | จะสร้างโฟลว์รอง 288 โฟลว์ ซึ่งอยู่ภายในขีดจำกัด 300 แต่ละโฟลว์รองทำงานเพื่อดึงบันทึก 5 นาทีจาก 24 ชั่วโมงที่ผ่านมา |
1 | วัน | 15 | นาที | 100 | จะสร้างโฟลว์รอง 96 โฟลว์ ซึ่งอยู่ภายในขีดจำกัด 100 แต่ละโฟลว์รองทำงานเพื่อดึงบันทึก 15 นาทีจาก 24 ชั่วโมงที่ผ่านมา |
วิธีรับข้อมูลเก่า
โซลูชันนี้รวบรวมการเปิดใช้แอปตั้งแต่ช่วงเวลาที่กำหนดค่า และไม่ได้ตั้งค่าให้รวบรวมการเปิดใช้แอปที่ผ่านมา ขึ้นอยู่กับ สิทธิการใช้งาน Microsoft 365 ของคุณ ข้อมูลย้อนหลังจะสามารถใช้ได้นานถึงหนึ่งปีโดยใช้บันทึกการตรวจสอบใน Microsoft Purview
คุณสามารถโหลดข้อมูลย้อนหลังลงในตารางชุดเริ่มต้น CoE ได้ด้วยตนเอง เรียนรู้เพิ่มเติม: วิธีการนำเข้าบันทึกการตรวจสอบเก่า
ฉันพบจุดบกพร่องในชุดเริ่มต้น CoE ฉันควรจะไปที่ไหนดี
หากต้องการรายงานข้อบกพร่องเกี่ยวกับโซลูชัน ให้ไปที่ aka.ms/coe-starter-kit-issues