Freigeben über

Überwachungsprotokolle über die Office 365-Verwaltungs-API erfassen

  • Artikel

Der Überwachungsprotokoll-Synchronisierungsflow stellt eine Verbindung zum Verweis der Office 365-Verwaltungsaktivitäts-API her, um Telemetriedaten wie eindeutige Benutzer und Starts für Apps zu erfassen. Die Flows verwenden eine HTTP-Aktion, um auf die API zuzugreifen. In diesem Artikel richten Sie die App-Registrierung für die HTTP-Aktion und die Umgebungsvariablen ein, die zum Ausführen der Flows erforderlich sind.

Anmerkung

Das Starter Kit des Center of Excellence (CoE) funktioniert ohne diese Flows, aber die Nutzungsinformationen wie App-Einführungen und eindeutige Benutzer im Power BI-Dashboard sind leer.

Anforderungen

  1. Schließen Sie die Artikel Vor der Einrichtung des CoE-Starter-Kits und Bestandskomponenten einrichen ab.
  2. Richten Sie Ihre CRM-Umgebung ein.
  3. Melden Sie sich mit der richtigen Identität an.

Trinkgeld

Richten Sie die Überwachungsprotokoll-Flows nur ein, wenn Sie Cloud-Flows als Mechanismus für Bestand und Telemetrie ausgewählt haben.

Vor dem Einrichten der Überwachungsprotokoll-Flows

  1. Die Microsoft 365-Überwachungsprotokollsuche muss aktiviert sein, damit der Überwachungsprotokoll-Connector funktioniert. Weitere Informationen erhalten Sie unter Überwachungsprotokollsuche aktivieren oder deaktivieren
  2. Ihr Mandant muss über ein Abonnement verfügen, das die einheitliche Überwachungsprotokollierung unterstützt. Weitere Informationen erhalten Sie unter Verfügbarkeit des Security & Compliance Centers für Geschäfts- und Unternehmenspläne.
  3. Microsoft Entra Möglicherweise sind Berechtigungen erforderlich, um die Microsoft Entra App-Registrierung zu konfigurieren. Abhängig von Ihrer Entra-Konfiguration kann dies die Rolle " Anwendungsentwickler " oder höher sein. Weitere Anleitungen erhalten Sie unter Rollen mit den geringsten Rechten nach Aufgabe in Microsoft Entra ID.

Anmerkung

Die Office 365-Verwaltungs-APIs verwenden Microsoft Entra ID, um Authentifizierungsdienste bereitzustellen, mit denen Sie Ihrer Anwendung Rechte für den Zugriff darauf gewähren können.

Eine Microsoft Entra-App-Registrierung für den Office 365-Verwaltungs-API-Zugriff erstellen

Mit diesen Schritten können Sie eine Microsoft Entra-App-Registrierung für einen HTTP-Aufruf in einem Power Automate-Flow einrichten, um eine Verbindung zum Überwachungsprotokoll herzustellen. Weitere Informationen finden Sie unter Erste Schritt mit Office 365 Management-APIs.

  1. Melden Sie sich am Azure-Portal an.

  2. Wechseln Sie zu Microsoft Entra ID>App-Registrierungen.

    Screenshot mit dem Speicherort des Azure-Dienstes „App-Registrierungen“.

  3. Wählen Sie Neue Registrierung.

  4. Geben Sie einen Namen ein (z. B. Microsoft 365-Verwaltung), aber ändern Sie keine andere Einstellung. Wählen Sie dann Registrieren aus.

  5. Wählen Sie API-Berechtigungen>+ Berechtigung hinzufügen aus.

    Screenshot mit der Position der Schaltfläche +Berechtigung hinzufügen im Menü „API-Berechtigungen“.

  6. Wählen Sie Office 365-Verwaltungs-API aus, und konfigurieren Sie die Berechtigungen wie folgt:

    1. Wählen Sie Anwendungsberechtigungen und dann ActivityFeed.Read aus.

      Screenshot, der die Einstellung „ActivityFeed.Read“ auf der Seite „API-Berechtigungen anfordern“ des Menüs „API-Berechtigungen“ zeigt.

    2. Wählen Sie Berechtigungen hinzufügen aus.

  7. Wählen Sie Einwilligung des Administrators für (Ihre Organisation) aus. Weitere Informationen zum Einrichten von Administratorinhalten finden Sie unter Einer Anwendung die mandantenweite Administratoreinwilligung erteilen.

    Die API-Berechtigungen spiegeln jetzt delegierte ActivityFeed.Read mit dem Status von Erteilt für (Ihre Organisation) wider.

  8. Wählen Sie Zertifikate und Geheimnisse aus.

  9. Wählen Sie + Neuer geheimer Clientschlüssel aus.

  10. Fügen Sie eine Beschreibung und einen Ablauf gemäß den Richtlinien Ihrer Organisation hinzu. Klicken Sie auf Hinzufügen.

  11. Kopieren Sie die Anwendungs-ID (Client-ID), und fügen Sie sie in ein Textdokument wie Notepad ein.

  12. Wählen Sie Überblick aus. Kopieren Sie die Anwendungs-(Client-)ID sowie die Verzeichnis-ID (Mandant) und fügen Sie sie in dasselbe Textdokument ein. Notieren Sie sich unbedingt, welche GUID für welchen Wert steht. Sie benötigen diese Werte, wenn Sie den benutzerdefinierten Konnektor konfigurieren.

Umgebungsvariablen aktualisieren

Umgebungsvariablen werden verwendet, um zu steuern, welche API, veraltete Office 365-Verwaltungs-API oder Graph-API, verwendet werden soll, und um die Client-ID und das Geheimnis für die App-Registrierung zu speichern. Variablen werden auch verwendet, um die Zielgruppen‑ und Autoritätsdienstendpunkte abhängig von Ihrer Cloud für die HTTP-Aktion zu definieren. Ihre Cloud kann vom Typ kommerziell, US Government Coummunity Coud (GCC), US GCC High oder US Department of Defense (DoD) sein. Aktualisieren Sie die Umgebungsvariablen, bevor Sie den Flow aktivieren.

Sie können den geheimen Clientschlüssel entweder im Klartext in der Umgebungsvariable Überwachungsprotokolle – geheimer Clientschlüssel speichern, was nicht empfohlen wird. Stattdessen wird empfohlen, den geheimen Clientschlüssel in Azure Key Vault zu erstellen und zu speichern und in der Umgebungsvariablen Überwachungsprotokolle – Azure-Geheimnis darauf zu verweisen.

Anmerkung

Der Flow, der diese Umgebungsvariable verwendet, ist mit einer Bedingung konfiguriert, sodass er entweder die Umgebungsvariable Überwachungsprotokolle – Client-Geheimnis oder Überwachungsprotokolle – Client-Azure-Geheimnis erwartet. Sie müssen den Flow oder die Command Center-App jedoch nicht bearbeiten, damit er mit Azure Key Vault funktioniert.

Name des Dataflows Eigenschaft Werte
Überwachungsprotokolle – Graph-API verwenden Parameter zum Steuern, ob die Graph-API zum Abfragen von Ereignissen verwendet werden soll. Nein (Standard)

Der Synchronisierungsflow verwendet die veraltete Office 365-Verwaltungs-API.
Überwachungsprotokolle – Zielgruppe Der Zielgruppenparameter für die HTTP-Anrufe Kommerziell (Standard): https://manage.office.com

GCC: https://manage-gcc.office.com

GCC High: https://manage.office365.us

DoD: https://manage.protection.apps.mil
Überwachungsprotokolle – Autoritative Stelle Das Feld „Autoritative Stelle“ in den HTTP-Aufrufen Kommerziell (Standard): https://login.windows.net

GCC: https://login.windows.net

GCC High: https://login.microsoftonline.us

DoD: https://login.microsoftonline.us
Überwachungsprotokolle – Client-ID Die App-Registrierungs-Client-ID. Die ID des Anwendungs-Clients stammt aus dem Schritt Eine Microsoft Entra-App-Registrierung für den Office 365-Verwaltungs-API-Zugriff erstellen.
Überwachungsprotokolle – Geheimer Clientschlüssel Der geheime Clientschlüssel für die App-Registrierung (nicht die geheime ID, sondern der tatsächliche Wert) im Nur-Text-Format. Der geheime Clientschlüssel der Anwendung stammt aus dem Schritt Eine Microsoft Entra-App-Registrierung für den Office 365-Verwaltungs-API-Zugriff erstellen. Lassen Sie das Feld leer, wenn Sie Azure Key Vault verwenden, um Ihre Client-ID und Ihr Geheimnis zu speichern.
Überwachungsprotokolle – Client-Azure-Geheimnis Azure Key Vault-Referenz des geheimen Clientschlüssels der App-Registrierung Die Azure Key Vault-Referenz für den geheimen Clientschlüssel der Anwendung stammt aus dem Schritt Eine Microsoft Entra-App-Registrierung für den Office 365-Verwaltungs-API-Schritt erstellen. Lassen Sie dieses Feld leer, wenn Sie Ihre Client-ID im Klartext in der Umgebungsvariable Überwachungsprotokolle – Geheimer Clientschlüssel speichern. Diese Variable erwartet den Azure Key Vault-Verweis, nicht das Geheimnis. Weitere Informationen erhalten Sie unter Azure Key Vault-Geheimnisse in Umgebungsvariablen verwenden

Ein Abonnement für den Überwachungsprotokollinhalt starten

  1. Gehen Sie zu make.powerapps.com.

  2. Wählen Sie Lösungen aus.

  3. Öffnen Sie die Lösung Center of Excellence – Kernkomponenten.

  4. Aktivieren Sie den Flow Admin | Audit-Protokolle | Office 365-Verwaltung-API-Abonnement, und führen Sie ihn aus. Geben Sie dann als Betrieb zur Ausführung Starten ein.

    Screenshot, der die Position der Schaltfläche „Ausführen“ in der Navigationsleiste und den Vorgang „Starten“ im Bereich „Flow ausführen“ zeigt.

  5. Öffnen Sie den Flow, und prüfen Sie, ob die Aktion zum Starten des Abonnements erfolgreich ist.

Wichtig

Wenn Sie das Abonnement zuvor aktiviert haben, sehen Sie die Nachricht: (400) Das Abonnement ist bereits aktiviert. Dies bedeutet, dass das Abonnement in der Vergangenheit erfolgreich aktiviert wurde. Sie können diese Meldung ignorieren und mit der Einrichtung fortfahren.

Wenn Sie die obige Nachricht oder eine (200)-Antwort nicht sehen, ist die Anforderung möglicherweise fehlgeschlagen. Es könnte ein Fehler in Ihrem Setup vorliegen, der den Flow daran hindert, zu funktionieren. Häufige zu überprüfende Probleme sind:

  • Sind Überwachungsprotokolle aktiviert und haben Sie die Berechtigung, die Überwachungsprotokolle anzuzeigen? Testen Sie, ob die Protokolle aktiviert sind, indem Sie im Microsoft Compliance Manager suchen.
  • Haben Sie das Überwachungsprotokoll kürzlich aktiviert? Versuchen Sie es in diesem Fall in einigen Minuten erneut, um dem Überwachungsprotokoll Zeit zum Aktivieren zu geben.
  • Stellen Sie sicher, dass Sie die Schritte unter Microsoft Entra-App-Registrierung richtig ausgeführt haben.
  • Überprüfen Sie, ob Sie die Umgebungsvariablen für diese Flows korrekt aktualisiert haben.

Aktivieren Sie Flows

  1. Gehen Sie zu make.powerapps.com.
  2. Wählen Sie Lösungen aus.
  3. Öffnen Sie die Lösung Center of Excellence – Kernkomponenten.
  4. Aktivieren Sie den Flow Administrator | Überwachungsprotokolle | Daten aktualisieren (V2). Dieser Flow aktualisiert die Power Apps-Tabelle mit Informationen zum letzten Start und fügt den Überwachungsprotokolldatensätzen Metadaten hinzu.
  5. Aktivieren Sie den Flow Administrator | Überwachungsprotokolle | Überwachungsprotokolle synchronisieren (V2). Dieser Flow wird stündlich ausgeführt und sammelt Überwachungsprotokoll-Ereignisse in der Überwachungsprotokoll-Tabelle.

Feedback senden

Wenn ein Fehler im CoE Starter Kit auftritt, melden Sie diesen in der Lösung unter aka.ms/coe-starter-kit-issues.