Raccogliere i log di controllo utilizzando un connettore personalizzato (deprecato)

  • Articolo

Importante

L'utilizzo della soluzione Center of Excellence - Log di controllo e del connettore personalizzato Gestione di Office 365 per raccogliere gli eventi del log di controllo è deprecato. La soluzione e il connettore personalizzato verranno rimossi dallo starter kit CoE nell'agosto 2023. Abbiamo un nuovo flusso che raccoglie gli eventi del log di controllo, che fa parte della soluzione Center of Excellence - Componenti principali. Questo nuovo flusso utilizza un connettore HTTP. Altre informazioni: Raccogliere i log di controllo utilizzando un'azione HTTP

Il flusso di sincronizzazione Log di controllo si connette al log di controllo di Microsoft 365 per raccogliere dati di telemetria (utenti univoci, avvii) per le app. Il flusso utilizza un connettore personalizzato per la connessione al log di controllo. Nelle istruzioni seguenti, imposti il connettore personalizzato e configuri il flusso.

Il Center of Excellence (CoE) Starter Kit funziona senza questo flusso, ma le informazioni sull'utilizzo (avvii di app, utenti univoci) nella dashboard sono quindi vuote. Power BI

Prerequisiti

Prima di usare il connettore log di controllo

  1. La ricerca del log di controllo di Microsoft 365 deve essere attivata affinché il connettore Log di controllo funzioni. Per ulteriori informazioni, vedere Attivare o disattivare l'audit

  2. L'identità utente che esegue il flusso deve disporre dell'autorizzazione per i log di controllo. Le autorizzazioni minime sono descritte in Prima di effettuare ricerche nel registro di controllo.

  3. Il tenant deve disporre di un abbonamento che supporti la registrazione di controllo unificata. Per ulteriori informazioni, consultare le Microsoft 365 linee guida per la sicurezza e la conformità.

  4. È necessario un amministratore globale per configurare la registrazione dell'app Microsoft Entra.

Le API di gestione di Office 365 usano Microsoft Entra ID per fornire servizi di autenticazione che è possibile usare per concedere all'applicazione i diritti per accedervi.

Creare una registrazione di app Microsoft Entra per l'API di gestione di Office 365

Con questi passaggi, configuri una registrazione di app Microsoft Entra che viene utilizzata in un connettore personalizzato e un flusso Power Automate per la connessione al log di controllo. Ulteriori informazioni: Introduzione alle API di gestione di Office 365

  1. Accedi al portale di Azure.

  2. Vai a Microsoft Entra ID>Registrazioni app.

    Screenshot che mostra la registrazione dell'app. Microsoft Entra

  3. Seleziona + Nuova registrazione.

  4. Immetti un nome (ad esempio, Gestione Microsoft 365), non modificare nessun'altra impostazione, quindi seleziona Registrati.

  5. Seleziona Autorizzazioni API>+ Aggiungi un'autorizzazione.

    Screenshot che mostra le autorizzazioni API: aggiungi un'autorizzazione.

  6. Seleziona API di gestione di Office 365 e configura le autorizzazioni come segue:

    1. Seleziona Autorizzazioni delegate, quindi seleziona ActivityFeed.Read.

      Screenshot che mostra le autorizzazioni delegate.

    2. Selezionare Aggiungi autorizzazioni.

  7. Seleziona Concedi consenso a amministratore per (organizzazione). Prerequisiti: Concedi il consenso dell'amministratore a livello di tenant a un'applicazione

    Ora le autorizzazioni API riflettono l'autorizzazione ActivityFeed.Read delegata con lo stato Concesso per (organizzazione).

  8. Seleziona Certificati e segreti.

  9. Selezionare + Nuovo segreto client.

  10. Aggiungere una descrizione e una scadenza, in linea con i criteri dell'organizzazione, quindi selezionare Aggiungi.

  11. Copia e incolla il Segreto in un documento di testo in Blocco note per il momento.

  12. Seleziona Informazioni generali e incolla i valori ID applicazione (client) e ID directory (tenant) nello stesso documento di testo; assicurati di annotare quale GUID è per quale valore. Questi valori saranno necessari nel passaggio successivo per la configurazione del connettore personalizzato.

Lascia aperto il portale di Azure, poiché dovrai effettuare alcuni aggiornamenti di configurazione dopo aver configurato il connettore personalizzato.

Configurare il connettore personalizzato

Ora puoi configurare e impostare un connettore personalizzato che utilizza le Office 365 API di gestione.

  1. Vai a Power Apps>Dataverse>Connettori personalizzati. Il connettore personalizzato dell'API di gestione è elencato qui. Office 365 Il connettore viene importato con la soluzione dei componenti principali.

  2. Selezionare Modifica.

  3. Se il tuo tenant è un tenant commerciale, lascia la pagina Generale così com'è.

    Importante

    • Se il tuo tenant è un tenant GCC, cambia l'host in manage-gcc.office.com.
    • Se il tuo tenant è un GCC High tenant, cambia l'host in manage.office365.us.
    • Se il tuo tenant è un tenant DoD, cambia l'host in manage.protection.apps.mil.

    Per ulteriori informazioni, vedere Operazioni API attività.

  4. Seleziona Sicurezza.

  5. Selezionare Modifica in fondo all'area OAuth 2.0 per modificare i parametri di autenticazione.

    Screenshot che mostra come modificare la sezione OAuth 2.0 della scheda Sicurezza dei connettori personalizzati.

  6. Cambia Provider di identità in Microsoft Entra ID.

    Cambia Provider di identità in Microsoft Entra ID.

  7. Incolla l'ID applicazione (client) che hai copiato dalla registrazione dell'app in ID cliente.

  8. Incolla il segreto client che hai copiato dalla registrazione dell'app in Segreto cliente.

  9. Non modificare l'ID tenant.

  10. Lasciare l' URL di accessocosì com'è per i tenant commerciali e GCC, ma per i tenant GCC High o DoD modificare l'URL in https://login.microsoftonline.us/.

  11. Imposta l' URL della risorsa:

    Tipo di inquilino URL
    Commerciale https://manage.office.com
    GCC https://manage-gcc.office.com
    GCC High https://manage.office365.us
    DoD https://manage.protection.apps.mil

  12. Seleziona Agiorna connettore.

  13. Copia l' URL di reindirizzamento in un documento di testo, ad esempio Blocco note.

Nota

Se hai una politica dati prevenzione delle perdite (DLP) configurata per il tuo CoE Starter Kit ambiente, aggiungi questo connettore al gruppo solo dati aziendali di questa politica.

Aggiornare la registrazione dell'app Microsoft Entra con l'URL di reindirizzamento

  1. Vai al portale di Azure e alle registrazioni delle tue app.

  2. In Panoramica, seleziona Aggiungi un URI di reindirizzamento.

  3. Seleziona + Aggiungi una piattaforma>Web.

  4. Immetti l'URL che hai copiato dalla sezione URL di reindirizzamento del connettore personalizzato.

  5. Seleziona Configura.

Avvia un abbonamento e controlla il contenuto del registro

Torna al connettore personalizzato per impostare una connessione allo stesso e iniziare un abbonamento al contenuto del log di controllo, come descritto nei passaggi seguenti.

Importante

È necessario completare questi passaggi per il funzionamento dei passaggi successivi. Se non si crea una nuova connessione e non si testa il connettore qui, la configurazione del flusso e di flusso figlio nei passaggi successivi fallirà.

  1. Nella pagina Connettore personalizzato, seleziona Test.

  2. Seleziona + Nuova connessione, quindi accedi con il tuo account.

  3. Sotto Operazioni, seleziona StartSubscription.

    Screenshot che mostra il connettore personalizzato Avvia abbonamento.

  4. Incolla l'ID directory (tenant) copiato in precedenza dalla pagina della panoramica Registrazione dell'app in Microsoft Entra ID nel campo Tenant.

  5. Incolla ID directory (tenant) in PublisherIdentifier.

  6. Seleziona Test operazione

Dovresti vedere uno stato (200) restituito, il che significa che la query ha avuto esito positivo.

Screenshot che mostra lo stato di successo restituito dall'attività StartSubscription.

Importante

Se hai già abilitato l'abbonamento, vedrai un (400) The subscription is already enabled messaggio. Ciò significa che l'abbonamento è già stato attivato correttamente. Ignora questo errore e continua con la configurazione.

Se non vedi il messaggio sopra o un (200) risposta, è probabile che la richiesta non sia riuscita. Potrebbe esserci un errore nella configurazione che impedisce il funzionamento del flusso. I problemi comuni da verificare sono:

  • Il provider di identità nella scheda Sicurezza deve essere impostato su Microsoft Entra ID.
  • I registri di controllo devono essere abilitati e devi avere l'autorizzazione per visualizzarli. Controlla il tuo accesso cercando in Microsoft Compliance Manager.
  • Se non si dispone delle autorizzazioni, vedere Prima di effettuare ricerche nel registro di controllo.
  • Se hai attivato i registri di controllo di recente, prova a effettuare nuovamente la ricerca tra qualche minuto per dare al registro di controllo il tempo di attivarsi.
  • L'ID tenant ottenuto dalla registrazione della tua app deve essere corretto. Microsoft Entra
  • L'URL della tua risorsa non deve contenere spazi o caratteri aggiunti alla fine.
  • Rivedi i passaggi della Microsoft Entra registrazione dell'app per verificarne la correttezza.
  • Le impostazioni di sicurezza del connettore personalizzato, come descritto in passaggio 6 della configurazione del connettore personalizzato, dovrebbero essere aggiornate correttamente.

Se riscontri ancora errori, la tua connessione potrebbe essere in cattive condizioni. Per ulteriori informazioni, vedere Istruzioni dettagliate per riparare la connessione al registro di controllo.

Configurare il flusso Power Automate

Un flusso Power Automate utilizza il connettore personalizzato, esegue quotidianamente query sul log di controllo e scrive gli eventi di avvio di Power Apps e una tabella Microsoft Dataverse. Questa tabella viene quindi utilizzata nella dashboard Power BI per creare report sulle sessioni e sugli utenti unici di un'app.

  1. Scarica la soluzione in Impostazione dei componenti principali.

  2. Vai a make.powerapps.com.

  3. Importare la soluzione dei registri di controllo del Center of Excellence utilizzando il file CenterofExcellenceAuditLogs_*x_x_x_xxx*_managed.zip .

  4. Stabilisci le connessioni e poi attiva la tua soluzione. Se crei una nuova connessione, devi selezionare Aggiorna Non perderai i progressi dell'importazione.

    Screenshot che mostra come importare la soluzione dei componenti del registro di controllo CoE.

  5. Apri la soluzione Center of Excellence - Log di controllo.

  6. Rimuovi il livello non gestito da [Child] Admin | Sync Logs.

  7. Seleziona [Child] Admin | Sync Logs.

  8. Modifica le impostazioni di Utenti di sola esecuzione.

    Flusso figlio - Utenti di sola esecuzione.

  9. Per il connettore personalizzato API di gestione di Office 365 imposta il valore su Usa questa connessione (userPrincipalName@company.com). Se non è presente alcuna connessione per nessuno dei connettori, vai a Dataverse>Connessioni e creane uno per il connettore.

    Screenshot che mostra dove trovare la selezione Configura utenti di sola esecuzione.

  10. Per il connettore Microsoft Dataverse, lascia vuoto il valore dell'autorizzazione di sola esecuzione e conferma che il riferimento di connessione per la connessione Dataverse - Log di Audit CoE sia configurata correttamente. Se la connessione mostra un errore, aggiorna il riferimento della connessione per il riferimento della connessione Log di Audit CoE - Dataverse.

    Screenshot che mostra dove controllare i registri di controllo CoE - Dataverse riferimento a una connessione.

  11. Seleziona Salva e quindi chiudi la scheda Dettagli flusso.

  12. (Facoltativo) Modifica le variabili TimeInterval-Unit e TimeInterval-Interval ambiente per raccogliere blocchi di tempo Più piccolo. Il valore predefinito è quello di suddividere i giorni in segmenti di ore. 1 1 Ricevi un avviso da questa soluzione se il log di controllo non riesce a raccogliere tutti i dati con l'intervallo di tempo configurato.

    Nome Descrizione
    Intervallo StartTime Deve essere un numero intero per rappresentare l'ora di inizio della distanza da recuperare. Valore predefinito: 1 (per un giorno indietro)
    Unità StartTime Determina le unità di quanto tempo indietro bisogna andare per recuperare i dati. Deve essere un valore da accettato come parametro di input a Aggiungi a tempo. Esempi di valori legali: Minute, Hour, Day. Il valore predefinito è Day.
    TimeInterval-Unit Determina le unità per la divisione in blocchi del tempo dall'inizio. Deve essere un valore da accettato come parametro di input a Aggiungi a tempo. Esempi di valori legali: Minute, Hour, Day. Il valore predefinito è Hour.
    TimeInterval-Interval Deve essere un numero intero per rappresentare il numero di blocchi di tipo unit. Il valore predefinito è 1 (per blocchi di 1 ora).
    TimeSegment-CountLimit Deve essere un numero intero per rappresentare il limite del numero di blocchi che è possibile creare. Il valore predefinito è 60.

    [!ITIP] Questi valori predefiniti funzionano in un tenant di medie dimensioni. Potrebbe essere necessario usare Regola sui valori più volte affinché questo funzioni per le dimensioni del tuo tenant.

Per ulteriori informazioni sull'aggiornamento delle variabili ambiente, vedere Aggiornare le variabili ambiente.

  1. Nella soluzione, attiva il flusso Amministrazione | Sincronizzazione log [Figlio] e il flusso Amministrazione | Sincronizzazione log di controllo.

    Screenshot che mostra come attivare i flussi del registro di controllo.

Esempi di configurazioni per variabili di ambiente

Di seguito sono riportati esempi di configurazione per questi valori:

Intervallo StartTime Unità StartTime TimeInterval-Interval TimeInterval-Unit TimeSegment-CountLimit Aspettativa
1 Giorno 1 ora 60 Crea 24 flussi figlio, il che rientra nel limite di 60. Ogni flusso figlio recupera 1 ora di log delle ultime 24 ore.
2 Giorno 1 ora 60 Crea 48 flussi figlio, ovvero entro il limite di 60. Ogni flusso figlio recupera 1 ora di log delle ultime 48 ore.
1 Giorno 5 minuto 300 Crea 288 flussi figlio, che rientrano nel limite di 300. Ogni flusso figlio recupera 5 minuti di log delle ultime 24 ore.
1 Giorno 15 minuto 100 Crea 96 flussi figlio, ovvero entro il limite di 100. Ogni flusso figlio recupera 15 minuti di log delle ultime 24 ore.

Come recuperare i dati precedenti

Una volta configurata, questa soluzione raccoglie gli avvii delle app, anche se non è configurata per raccogliere gli avvii storici delle app. A seconda della Microsoft 365 licenza, i dati storici sono disponibili per un massimo di un anno tramite il registro di controllo in Microsoft Purview.

È possibile caricare manualmente i dati storici nelle tabelle del CoE Starter Kit. Per ulteriori informazioni, vedere Come importare vecchi registri di controllo.

Ho trovato un bug nel CoE Starter Kit. Dove dovrei andare?

Per segnalare un bug per la soluzione, vai a aka.ms/coe-starter-kit-issues.