审核日志同步流连接到 Office 365 管理活动 API 参考以收集遥测数据,如应用的唯一用户和启动。 流使用 HTTP 操作访问 API。 在本文中,您将设置 HTTP 操作的应用程序注册以及运行流所需的环境变量。
备注
Center of Excellence(CoE)初学者工具包在没有这些流的情况下工作。 但是,如果不使用流,则应用启动和唯一用户等使用情况信息在 Power BI 仪表板中为空。
必备条件
- 完成 设置 CoE 初学者工具包 和 设置清单组件中的步骤。
- 创建环境。
- 使用正确的身份登录。
提示
仅当您选择云端流作为库存和遥测机制时,才设置审核日志流程。
设置审核日志流之前
在开始之前,请确保满足以下附加先决条件:
- Microsoft 365 审核日志搜索功能已启用,如 启用或禁用审核中所述。
- 您的租户拥有支持统一审核日志记录的订阅。 了解更多信息,请参阅 Microsoft 365 安全性与合规性指南。
- Microsoft Entra 的权限用于配置 Microsoft Entra 应用注册。 根据您的 Microsoft Entra 配置,这些权限可能是应用程序开发人员角色或更高权限。 在 Microsoft Entra ID 中按任务划分的最低权限角色中找到更多指导信息。
备注
要授予应用程序访问 Office 365 管理 API 的权限,可以使用 API 通过 Microsoft Entra ID 提供的身份验证服务。
为 Office 365 管理 API 访问创建 Microsoft Entra 应用注册
按照以下步骤为 Power Automate 流中的 HTTP 调用设置 Microsoft Entra 应用注册,以连接审核日志。 在开始使用 Office 365 管理 API 中了解更多信息。
登录到 Azure 门户。
转到 Microsoft Entra ID>应用注册。
选择 + 新建注册。
输入名称(如 Microsoft 365 管理),但不更改任何其他设置。 然后选择注册。
选择 API 权限>+ 添加权限。
选择 Office 365 管理 API,按如下方式配置权限:
选择 应用程序权限,然后选择 ActivityFeed.Read。
选择添加权限。
选择为<您的组织>授予管理员同意。 详细了解设置管理员内容的 先决条件 。
现在,API 权限反映的是已授权的 ActivityFeed.Read 权限,状态为<向您的组织>授予。
选择证书和密码。
选择 + 新客户端密码。
根据您组织的策略添加描述和到期时间。 然后选择添加。
将应用程序(客户端)ID 复制并粘贴到记事本文件等文本文档中。
选择概述,并将应用程序(客户端)ID 和目录(租户)ID 值复制并粘贴到同一文本文档。
重要提示
请确保记下哪个全局唯一标识符(GUID)对应于每个值。 在配置自定义连接器时,您将需要这些值。
更新环境变量
使用环境变量选择旧版 Office 365 管理 API 或图形 API。 在环境变量中存储应用注册的客户端 ID 和机密。 根据 HTTP 操作的云类型,使用环境变量设置 Audience 和授权服务终结点。 云类型可以是商业、美国政府社区云(GCC)、美国 GCC High 或美国国防部(DoD)。 在打开流之前更新新的 环境变量 。
您可以在审核日志 - 客户端密钥环境变量中以纯文本形式存储客户密钥。 但是,我们不建议使用此方法。 而是在 Azure Key Vault 中创建和存储客户端密码,并在 审核日志 - 客户端 Azure 机密 环境变量中引用它。
备注
为使用此环境变量的流配置了一个条件,以获取审核日志 - 客户端密码或审核日志 - 客户端 Azure 密码环境变量。 但是,您不需要编辑流即可使用 Azure Key Vault。
| 名称 | 描述 | 价值 |
|---|---|---|
| 审计日志 - 使用图形 API | 控制是否使用图形 API 查询事件的参数。 | 否(默认) 同步流使用传统 Office 365 管理 API。 |
| 审核日志 - 访问群体 | HTTP 调用的访问群体参数。 |
|
| 审核日志 - 权限 | HTTP 调用中的授权字段。 |
|
| 审核日志 - ClientID | 应用程序注册客户端 ID。 | 来自为 Office 365 管理 API 访问创建 Microsoft Entra 应用注册步骤的应用程序客户端 ID。 |
| 审核日志 - 客户端密码 | 纯文本形式的应用程序注册客户端密码(不是密码 ID,而是实际值)。 | 来自为 Office 365 管理 API 访问创建 Microsoft Entra 应用注册步骤的应用程序客户端密码。 如果使用 Azure Key Vault 存储客户端 ID 和密钥,请将此变量留空。 |
| 审核日志 - 客户端 Azure 密码 | 应用程序注册客户端密钥的 Azure Key Vault 参考。 | 来自为 Office 365 管理 API 访问创建 Microsoft Entra 应用注册步骤的应用程序客户端密码的 Azure Key Vault 参考。 如果您在审核日志 - 客户端密钥环境变量中以纯文本形式存储客户端 ID,请将此变量留空。 此变量需要 Azure Key Vault 引用,而不是机密。 了解更多信息,请参阅将环境变量用于 Azure Key Vault 密码。 |
开启订阅审核日志内容
选择解决方案。
打开卓越中心 - 核心组件解决方案。
打开 管理员 |审核日志 |Office 365 管理 API 订阅 流。 输入 start 作为要运行的操作来启动流程。
打开流并验证启动订阅的操作是否已通过。
重要提示
如果您之前启用了订阅,您将看到 (400) 订阅已启用消息。 此消息表示订阅已启用。 您可以忽略此消息,继续安装。
如果没有看到上述消息或 (200) 响应,请求可能会失败。 您的设置可能存在错误,导致流无法正常工作。 要检查的常见问题包括:
- 审核日志是否已启用,您是否有权查看审核日志? 通过在 Microsoft Purview 合规性管理器中搜索来测试日志是否已启用。
- 最近是否启用了审核日志? 如果已启用,请在几分钟后重试,以使审核日志有时间激活。
- 验证是否正确遵循了为 Office 365 管理 API 访问创建Microsoft Entra 应用注册中的步骤。
- 验证您是否正确更新了这些流的环境变量。
打开流
选择解决方案。
打开卓越中心 - 核心组件解决方案。
打开管理 | 审核日志 | 更新数据 (V2) 流。 此流会用上次启动的信息更新 Power Apps 表。 它还将元数据添加到审核日志记录中。
打开管理员 | 审核日志 | 同步审核日志 (V2) 流。 该流每小时运行一次,并将审核日志事件收集到审核日志表中。
提供反馈
如果发现 CoE 初学者工具包出现问题,请在 aka.ms/coe-starter-kit-issues 针对解决方案提交 bug。