HTTP アクションを使用して監査ログを収集する
監査ログ同期は、接続 を Office 365 Management Activity APIリファレンス にフローし、アプリの固有ユーザーや起動などのテレメトリ データを収集します。 フローは HTTP アクションを使用して API にアクセスします。 この記事では、HTTPアクションのアプリ登録と、フローを実行するために必要な 環境 変数を設定しました。
注意
Center of Excellence (CoE) スターター キットはこれらのフローがなくても機能しますが、ダッシュボード内のアプリの起動や固有ユーザーなどの使用状況情報は空白になります。 Power BI
前提条件
- CoEスターター キットを設定する前に および インベントリ コンポーネントを設定する の記事を完了します。
- 環境 を設定します。
- 正しいIDでログインしてください。
チップ
インベントリとテレメトリのメカニズムとして クラウド フロー を選択した場合のみ、監査ログ フローを設定します。
監査ログのフローを設定する前に
- 監査ログのコネクタが機能するためには、Microsoft 365 の監査ログ検索がオンになっている必要があります。 詳細については、「 監査ログ検索をオンまたはオフにする」を参照してください。
- テナントには、統合監査ログをサポートするサブスクリプションが必要です。 詳細については、「 ビジネス プランとエンタープライズ プランでのセキュリティ & コンプライアンス センターの可用性」を参照してください。
- Microsoft Entra アプリ登録を構成するには、グローバル管理者が必要です。
注意
Office 365 管理 API は、Microsoft Entra ID を使用して、ユーザーのアプリケーションがそれらにアクセスするための権限の付与に使用できる認証サービスを提供します。
Office 365 管理 APIの Microsoft Entra アプリの登録を作成する
これらの手順を使用すると、Microsoft Entra フローで HTTP 呼び出しの Power Automate アプリ登録を設定し、監査ログに接続できます。 詳細については、「 管理APIの使用を開始する Office 365 」 を参照してください。
Azure portalにサインインします。
Microsoft Entra ID>アプリの登録 に移動します。
+ 新規登録を選択します。
Microsoft 365 Management などの名前を入力しますが、他の設定は変更せず、選択 Register を実行します。
API アクセス許可>アクセス許可の追加を選択します。
Office 365 管理 API を選択してから、次のようにアクセス許可を構成します:
アプリケーションのアクセス許可 を選択してから、ActivityFeed.Read を選択します。
アクセス許可の追加 を選択します。
(組織の) 管理者の承認を付与を選択します。 管理者コンテンツを設定するには、「 アプリケーションにテナント全体の管理者の同意を付与する」を参照してください。
これで、API アクセス許可には、委任された ActivityFeed.Read が (ユーザーの組織) に付与済みの状態で反映されるようになりました。
証明書とシークレット を選択します。
+ 新しいクライアント シークレットを選択します。
(組織のポリシーに従って) 説明と有効期限を追加し、追加を選択します。
アプリケーション (クライアント) IDをコピーして、メモ帳などのテキスト ドキュメントに貼り付けます。
概要を選択し、アプリケーション (クライアント) ID およびディレクトリ (テナント) ID の値を同じテキスト ドキュメントにコピーして貼り付けます。 どの GUID がどの値に対応するかを必ずメモしてください。 カスタム コネクタを構成するときにこれらの値が必要になります。
環境変数の更新
環境 変数は、アプリ登録用のクライアントIDとシークレットを保存するために使用されます。 変数は、HTTPアクションのクラウド (商用、GCC、 GCC High、DoD) に応じて、対象者 および権限サービス エンドポイントを格納するためにも使用されます。 フローをオンにする前に、環境変数 を更新します。
クライアント シークレットは、 監査ログ - クライアント シークレット 環境 変数にプレーン テキストで保存できますが、これは推奨されません。 代わりに、Azure Key Vaultにクライアント シークレットを作成して保存し、 監査ログ - クライアントAzureシークレット 環境 変数で参照することをお勧めします。
注意
この環境変数を使用するフローは、監査ログ - クライアント シークレット、または 監査ログ - クライアント Azure シークレット のいずれかの環境変数を期待する条件で構成されます。 ただし、Azure Key Vaultを操作するためにフローを編集する必要はありません。
| 件名 | プロパティ | Values |
|---|---|---|
| 監査ログ - 対象ユーザー | HTTP呼び出しの対象者パラメータ | 商用(デフォルト): https://manage.office.comギリシャ: https://manage-gcc.office.comGCC High: https://manage.office365.us国防総省: https://manage.protection.apps.mil |
| 監査ログ - オーソリティ | HTTP呼び出しの権限フィールド | 商用(デフォルト): https://login.windows.netギリシャ: https://login.windows.netGCC High: https://login.microsoftonline.us国防総省: https://login.microsoftonline.us |
| 監査ログ - ClientID | アプリ登録クライアントID | アプリケーション クライアントIDは、 Management API Microsoft Entra 手順 のアプリ登録の作成から取得されます。 Office 365 |
| 監査ログ - クライアント シークレット | アプリ登録クライアントシークレット(シークレットIDではなく実際の値)をプレーンテキストで保存 | アプリケーション クライアント シークレットは、 Management API Microsoft Entra 手順 のアプリ登録の作成 Office 365 から取得されます。 Azure Key Vault を使用しクライアント ID とシークレットを保存している場合は、空にしておきます。 |
| 監査ログ - クライアント Azure シークレット | アプリ登録クライアント シークレットのAzure Key Vault参照 | アプリケーション クライアント シークレットのAzure Key Vault参照は、 Management API Microsoft Entra のアプリ登録の作成 Office 365 手順 から取得されます。 監査ログ - クライアント シークレット の環境変数にクライアントIDをプレーンテキストで保存している場合は、空のままにします。 この変数は、シークレットではなく、Azure Key Vault 参照が必要です。 詳細については、「 環境 変数でAzure Key Vaultシークレットを使用する」を参照してください。 |
監査ログ コンテンツに対するサブスクリプションの開始
- make.powerapps.com に移動します。
- ソリューションを選択します。
- センター オブ エクセレンス - コア コンポーネント ソリューションを開きます。
- 管理 | 監査ログ | Office 365 管理APIサブスクリプション フローをオンにして実行し、実行する操作として start と入力します。
![ナビゲーション バーの [実行] ボタンの位置と [フロー実行] ペインの開始操作を示すスクリーンショット。](media/coe-startsubscription.png)
- フローを開き、サブスクリプションを開始するアクションが渡されたことを確認します。
![ナビゲーション バーの [実行] ボタンの位置と [フロー実行] ペインの開始操作を示すスクリーンショット。](media/coe-startsubscription.png#lightbox)
重要
以前にサブスクリプションを有効にしていた場合は、「 (400) サブスクリプションはすでに有効になっています 」というメッセージが表示されます。 これは、サブスクリプションが過去に正常に有効化されたことを意味します。 このメッセージを無視してセットアップを続行できます。 上記のメッセージまたは (200) 応答 が表示されない場合は、リクエストが失敗した可能性があります。 フローが機能しない原因となっている設定エラーがある可能性があります。 以下の一般的な問題がないかを確認してください。
- 監査ログは有効になっていて、監査ログを表示する権限がありますか? Microsoft Compliance Manager で検索して、ログが有効になっているかどうかをテストします。
- 最近監査ログを有効にしましたか? その場合は、監査ログがアクティブ化する時間を必要とするため、数分後に再試行してみてください。
- Microsoft Entra アプリの登録 の手順を正しく実行したことを確認します。
- これらのフローの環境変数が正しく更新されたことを検証します。
子フローをオンにする
- make.powerapps.com に移動します。
- ソリューションを選択します。
- センター オブ エクセレンス - コア コンポーネント ソリューションを開きます。
- 管理 | 監査ログ | データの更新 (V2) フローをオンにします。 このフローは、最後の起動情報でテーブルを更新し、監査ログ レコードにメタデータを追加します。 PowerApps
- 管理 | 監査ログ | 監査ログの同期 (V2) フローをオンにします。 このフローは1時間ごとに実行され、監査ログ イベントを監査ログ テーブルに収集します。
過去のデータの入手方法
このソリューションは、構成された後にアプリの起動を収集しますが、履歴アプリの起動を収集するように設定されていません。 Microsoft 365 ライセンスに応じて、Microsoft Purviewの監査ログを使用して最大1年間の履歴データを利用できます。
ソリューション内のフローの1つを使用して、履歴データをCoEスターター キット テーブルに手動でロードできます。
注意
監査ログを取得するユーザーには、監査ログにアクセスするための権限が必要です。 詳細については、「 監査ログを検索する前に」を参照してください。
監査ログ検索 を参照します。
利用可能な日付範囲で「起動されたアプリ」アクティビティを検索します。
検索が実行されたら、選択 エクスポート して結果をダウンロードします。
コア ソリューションで次のフローを参照します: 管理 | 監査ログ | エクスポートされた監査ログCSVファイルからイベントを読み込む。
フローをオンにして実行し、監査ログCSVパラメータにダウンロードしたファイルを選択します。
注意
[インポート] を選択した後、ファイルが読み込まれない場合は、この トリガー で許可されているコンテンツ サイズを超えている可能性があります。 ファイルをより小さなファイル (ファイルあたり 50,000 行) に分割し、ファイルごとにフローを 1 回実行してみてください。 フローは複数のファイルに対して同時に実行できます。
完了すると、これらのログはテレメトリに含まれます。 より最近の起動が見つかった場合、アプリの 最終起動 リストが更新されます。
トラブルシューティング
API アクセス許可
アプリ登録に移動し、正しいAPI権限があることを確認します。 アプリの登録には委任されていないアプリケーション権限が必要です。 ステータスが 許可であることを確認します。
シークレット 環境 変数 - Azureシークレット
Azureキー値を使用してアプリ登録シークレットを保存している場合は、Azure Key Vaultのアクセス許可が正しいことを確認します。
ユーザーは、読み取りには Key Vault Secret User ロール、更新には Key Vault投稿者 ロールを持っている必要があります。
ファイアウォール、 Dataverse 環境 の静的IP、またはその他の機能に関するAzure Key Vaultのその他の問題がある場合は、製品サポートに問い合わせて解決してください。
秘密の 環境 変数 - プレーンテキスト
アプリ登録シークレットを保存するためにプレーンテキストを使用している場合は、シークレットIDではなくシークレット値自体を入力したことを確認します。 シークレット値は、GUIDよりも長い文字列で、文字セットも大きいため、たとえば文字列にチルダ文字が含まれる場合があります。
CoEスターター キットにバグが見つかりました。 どこに行けばよいですか?
ソリューションに対してバグを提出するには、aka.ms/coe-starter-kit-issues にアクセスしてください。