使用 HTTP 動作收集稽核記錄
稽核記錄同步處理流程會連接到 Office 365 管理API,以收集應用程式的遙測資料 (例如唯一使用者、啟動)。 這些流程會使用 HTTP 動作來存取 API。 在以下指示中,您將為執行資料流程所需的 HTTP 動作和環境變數設定應用程式註冊。
卓越中心 (CoE) 入門套件不需要這些流程即可運作,但是 Power BI 儀表板中的使用資訊 (應用程式啟動、不重複使用者) 將會是空白。
重要
繼續進行本文中的設定之前,請先完成設定 CoE 入門套件之前和設定存放庫元件中的指示。 本文假設您已設定好環境,並且以正確的身分識別登入。
只有在您已選擇雲端流程做為詳細目錄和遙測的機制,才設定稽核記錄流程。
再設定稽核記錄流程之前
- Microsoft 365 稽核紀錄搜尋必須打開,稽核紀錄連接器才能運作。 其他資訊:開啟或關閉稽核記錄搜尋
- 您的租用戶必須有支援整合稽核記錄的訂閱。 其他資訊:商務版和企業版方案的安全性與合規性中心可用性
- 需要全域管理員來設定 Microsoft Entra 應用程式註冊。
Office 365 管理 API 用 Microsoft Entra ID 來提供驗證服務,您可以用來授予您的應用程式存取權。
建立 Office 365 管理 API 的 Microsoft Entra 應用程式註冊
使用這些步驟,您可以為 Power Automate 流程中的 HTTP 呼叫設定 Microsoft Entra 應用程式註冊,以連線至稽核記錄。 其他資訊:開始使用 Office 365 管理 API
登入 portal.azure.com。
移至 Microsoft Entra ID>應用程式註冊。
選取 + 新增註冊。
輸入名稱 (例如 Microsoft 365 管理),請勿變更任何其他設定,然後選取註冊。
選取 API 權限>+ 新增權限。
選取 Office 365 管理 API,並設定權限,如下所示:
選取應用程式權限,然後選取 ActivityFeed.Read。
選取新增權限。
選取(為您的組織)授予管理者同意。 先決條件:授與租用戶範圍的應用程式管理員同意
API 權限現在反映了委派的 ActivityFeed.Read,狀態為授與(您的組織)。
選取憑證和密碼。
選取 + 新增用戶端密碼。
根據您組織的原則新增描述和到期日,然後選取新增。
暫時將應用程式 (用戶端) 識別碼複製並貼至記事本中的文字檔。
選取概觀,並將應用程式 (用戶端) 識別碼和目錄 (租用戶) 識別碼值複製與貼至相同的文字檔。 請務必記住每個 GUID 分別代表的值。 您在設定自訂連接器時會需要這些值。
更新環境變數
環境變數用於儲存應用程式註冊的用戶端識別碼和金鑰,以及 HTTP 動作的對象和權限服務端點,具體取決於您的雲端 (商務、GCC、GCC High、DoD)。 在打開流程之前,請先更新環境變數。
您可以將用戶端密碼以純文本形式儲存在稽核記錄 - 用戶端密碼環境變數中,但不建議這樣做。 相反地,我們建議您在 Azure Key Vault 中建立和儲存用戶端密碼,並在 稽核記錄 - 用戶端 Azure 密碼環境變數中參考它。
注意
使用此環境變數的流程設定了一個條件,即要求稽核記錄 - 用戶端密碼或稽核記錄 - 用戶端 Azure 密碼環境變數。 無需編輯流程就能使用 Azure Key Vault。
| 姓名 | 描述: | 數值 |
|---|---|---|
| 稽核記錄 - 對象 | HTTP 呼叫的對象參數。 | 商務 (預設):https://manage.office.com GCC: https://manage-gcc.office.com GCC High: https://manage.office365.us> DoD: https://manage.protection.apps.mil |
| 稽核記錄 - 授權 | HTTP 呼叫中的授權欄位。 | 商務 (預設值):https://login.windows.net GCC: https://login.windows.net GCC High: https://login.microsoftonline.us DoD: https://login.microsoftonline.us |
| 稽核記錄 - ClientID | 應用程式註冊用戶端識別碼。 | 為 Office 365 管理 API 建立 Microsoft Entra 應用程式註冊 步驟中的應用程式用戶端識別碼。 |
| 稽核記錄 - 用戶端密碼 | 應用程式註冊用戶端密碼 (純文字)。 | 為 Office 365 管理 API 建立 Microsoft Entra 應用程式註冊 步驟中的應用程式用戶端密碼。 如果您使用 Azure Key Vault 儲存您的用戶端識別碼和密碼,則保留空白。 |
| 稽核記錄 - 用戶端 Azure 密碼 | 應用程式註冊用戶端密碼的 Azure Key Vault 參考。 | 為 Office 365 管理 API 建立 Microsoft Entra 應用程式註冊步驟中的應用程式用戶端密碼 Azure Key Vault 參考。 如果要將用戶端識別碼以純文字形式儲存在稽核記錄 - 用戶端密碼環境變數中,請保留空白。 此變數需要 Azure Key Vault 參考,而不是密碼。 深入了解:在環境變數中使用 Azure Key Vault 密碼 |
開始訂閱以稽核記錄內容
- 前往 make.powerapps.com。
- 選取解決方案。
- 開啟卓越中心 - 核心元件解決方案。
- 打開管理員 | 稽核記錄 | Office 365 管理 API 訂閱流程並執行,輸入開始做為要執行的作業。
- 打開流程,並確認啟動訂閱的動作是否已通過。
重要
如果您之前啟用了訂閱,您將看到 (400) 訂閱已啟用訊息。 這表示之前已成功啟用訂閱。 您可以忽略此錯誤並繼續設定。
如果您沒有看到上述訊息或 (200) 回覆,則要求可能失敗。 您的安裝程式可能會讓您的設定無法正常運作。 要檢查的一般問題包括:
- 是否已啟用稽核紀錄,且您是否有查看稽核紀錄的權限? 檢查您是否可以在 Microsoft 合規性管理員中搜尋。
- 您最近是否啟用過稽核記錄? 如果是,請在幾分鐘後再試一次,讓稽核記錄有時間啟動。
- 確認您是否已正確按照 Microsoft Entra 應用程式註冊中的步驟進行。
- 確認您是否已正確更新這些流程的環境變數。
打開流程
- 前往 make.powerapps.com。
- 選取解決方案。
- 開啟卓越中心 - 核心元件解決方案。
- 打開 管理員 | 稽核記錄 | 同步處理稽核記錄 (V2) 流程。 此流程將依每小時排程執行,並將稽核記錄事件收集至稽核記錄表中。
如何取得更舊的資料
此解決方案會從設定的那一刻起收集應用程式啟動,而不會設定為收集歷史應用程式啟動。 根據您的 Microsoft 365 授權,使用 Microsoft Purview 中的稽核記錄可以使用長達一年的歷史資料。
您可以使用此解決方案中提供的其中一個流程,手動將歷史資料載入到 CoE 入門套件資料表中,如此處所述。
注意
擷取稽核記錄的使用者必須具備稽核記錄的權限。 其他資訊:在您搜尋稽核記錄之前
- 瀏覽至稽核記錄搜尋。
- 在可以使用的日期範圍內,搜尋「已啟動應用程式」活動。
- 搜尋執行完成後,選取匯出來下載結果。
- 瀏覽至核心解決方案中的以下流程:管理員 |稽核記錄 | 從匯出的稽核記錄 CSV 檔案載入事件
- 打開流程並執行,為稽核記錄 CSV 參數選擇已下載的檔案。
注意
如果選取匯入後看不到檔案載入,則它可能超過此觸發器的允許內容大小。 試著將檔案分割成較小的檔案 (每個檔案 50,000 列),並執行每個檔案一次的流程。 流程可以同時執行多個檔案。
- 完成後,這些記錄會包含在您的遙測中。 如果找到較新的啟動記錄,就會更新應用程式的上次啟動清單。
CoE 入門套件似乎出現了一個錯誤。 我應該前往何處?
要針對解決方案提交錯誤,請移至 aka.ms/coe-starter-kit-issues。