Partager via

Collecter les journaux d’audit à l’aide de l’API Office 365 de gestion

  • Article

Les flux de synchronisation du journal d’audit se connectent à la Référence de l’API d’activité de gestion Office 365 pour collecter des données de télémétrie, telles que les utilisateurs uniques et les lancements pour les applications. Les flux utilisent une action HTTP pour accéder à l’API. Dans cet article, vous allez configurer l’enregistrement de l’application pour l’action HTTP et les variables d’environnement nécessaires à l’exécution des flux.

Note

Le Starter Kit Center of Excellence (CoE) fonctionne sans ces flux, mais les informations d’utilisation telles que les lancements d’applications et les utilisateurs uniques dans le tableau de bord Power BI sont vides.

Prérequis

  1. Complétez les articles Avant de configurer le Starter Kit CoE et Configurer les composants d’inventaire.
  2. Configurez votre environnement CRM.
  3. Connectez-vous avec l’identité correcte.

Astuce

Configurez les flux du journal d’audit uniquement si vous avez choisi les flux de cloud comme mécanisme d’inventaire et de télémétrie.

Avant de configurer les flux du journal d’audit

  1. La recherche du journal d’audit Microsoft 365 doit être activée pour que le connecteur du journal d’audit fonctionne. Pour en savoir plus, consultez Activer ou désactiver la recherche dans le journal d’audit.
  2. Votre client doit disposer d’un abonnement prenant en charge la journalisation d’audit unifiée. Pour en savoir plus, consultez Disponibilité du Centre de sécurité et de conformité pour les plans Business et Enterprise.
  3. Microsoft Entra Des autorisations peuvent être nécessaires pour configurer l’enregistrement de l’application Microsoft Entra . En fonction de votre configuration Entra, il peut s’agir d’un rôle Développeur d'applications ou d’un rôle supérieur. Consultez Rôles avec le moins de privilèges par tâche dans Microsoft Entra ID pour obtenir plus d’informations.

Note

Microsoft Entra ID permet aux API de gestion Office 365 de fournir des services d’authentification vous permettant d’accorder des droits d’accès à votre application.

Créer une inscription d’application Microsoft Entra pour l’accès à l’API de gestion Office 365

En suivant ces étapes, vous pouvez configurer une inscription d’application Microsoft Entra pour un appel HTTP dans un flux Power Automate pour vous connecter au journal d’audit. Pour en savoir plus, consultez Se familiariser avec les API de gestion Office 365.

  1. Connectez-vous au portail Azure.

  2. Accédez à Microsoft Entra ID>Inscriptions d’application.

    Capture d’écran montrant l’emplacement du service Azure d’inscriptions d’applications.

  3. Sélectionnez + Nouvelle inscription.

  4. Saisissez un nom, tel que Gestion Microsoft 365, mais ne modifiez aucun autre paramètre. Ensuite, sélectionnez Inscrire.

  5. Cliquez sur Autorisations API>+ Ajouter une autorisation.

    Capture d’écran montrant l’emplacement du bouton +Ajouter une autorisation du menu des autorisations de l’API.

  6. Sélectionnez API de gestion Office 365 et configurez les autorisations comme suit :

    1. Sélectionnez Autorisations d’application, puis sélectionnez ActivityFeed.Read.

      Capture d’écran montrant le paramètre ActivityFeed.Read sur la page Demander les autorisations d’API du menu Autorisations d’API.

    2. Sélectionnez Ajouter des autorisations.

  7. Sélectionnez Accorder un consentement à l’administrateur à (votre organisation). Pour en savoir plus sur la configuration du contenu administrateur, consultez Accorder le consentement de l’administrateur à l’échelle du client à une application.

    Les autorisations d’API reflètent maintenant ActivityFeed.Read délégué avec un statut de Accordé pour (votre organisation).

  8. Sélectionnez Certificats et secrets.

  9. Sélectionnez + Nouveau secret client.

  10. Ajoutez une description et une date d’expiration conformément aux stratégies de votre organisation. Sélectionnez ensuite Ajouter.

  11. Copiez et collez l’ID d’application (client) dans un document texte, par exemple le Bloc-notes.

  12. Sélectionnez Présentation et copiez et collez les valeurs ID d’application (client) et ID de répertoire (client) dans le même document texte. Assurez-vous de noter quel GUID correspond à quelle valeur. Vous avez besoin de ces valeurs lorsque vous configurez le connecteur personnalisé.

Mettre à jour les variables d’environnement

Les variables d’environnement sont utilisées pour contrôler l’API à utiliser, l’API de gestion Office 365 héritée ou l’API Graph, et pour stocker l’ID et le secret client pour l’enregistrement de l’application. Les variables sont également utilisées pour définir les points de terminaison du service d’audience et d’autorité, en fonction de votre cloud pour l’action HTTP. Votre type de cloud peut être commercial, US Government Community Cloud (GCC), US GCC High ou US Department of Defense (DoD). Mettez à jour les variables d’environnement avant d’activer les flux.

Vous pouvez stocker la clé secrète client en texte brut dans la variable d’environnement Journaux d’audit - Clé secrète client, ce qui n’est pas recommandé. Au lieu de cela, nous vous recommandons de créer et de stocker la clé secrète client dans Azure Key Vault et de la référencer dans la variable d’environnement Journaux d’audit – Clé secrète Azure client .

Note

Le flux qui utilise cette variable d’environnement est configuré avec une condition qui attend la variable d’environnement Journaux d’audit - Secret client ou Journaux d’audit - Secret client Azure. Toutefois, vous n’avez pas besoin de modifier le flux pour utiliser Azure Key Vault.

Nom  Description Valeurs
Journaux d’audit - Utiliser l’API Graph Paramètre permettant de contrôler si l’API Graph doit être utilisée pour interroger des événements. Non (par défaut)

Le flux de synchronisation utilise l’API de gestion Office 365 héritée.
Journaux d’audit - Audience Le paramètre d’audience pour les appels HTTP. Commercial (par défaut) : https://manage.office.com

GCC : https://manage-gcc.office.com

GCC High : https://manage.office365.us

DoD : https://manage.protection.apps.mil
Journaux d’audit - Autorité Le champ d’autorité dans les appels HTTP. Commercial (par défaut) : https://login.windows.net

GCC : https://login.windows.net

GCC High : https://login.microsoftonline.us

DoD : https://login.microsoftonline.us
Journaux d’audit - ClientID ID client de l’inscription d’application. L’ID client de l’application provient de l’étape Créer une inscription d’application Microsoft Entra pour l’accès à l’API de gestion Office 365.
Journaux d’audit - Secret client Secret client de l’inscription d’application (pas l’ID secret, mais la valeur réelle) en texte brut. Le secret client de l’application provient de l’étape Créer une inscription d’application Microsoft Entra pour l’accès à l’API de gestion Office 365. Laissez vide si vous utilisez Azure Key Vault pour stocker votre ID client et votre clé secrète.
Journaux d’audit - Secret client Azure Référence Azure Key Vault du secret client pour l’inscription de l’application. La référence Azure Key Vault pour le secret client de l’application provient de l’étape Créer une inscription d’application Microsoft Entra pour l’accès à l’API de gestion Office 365. Laissez cette option vide si vous stockez votre ID client en texte brut dans la variable d’environnement Journaux d’audit - Secret client. Cette variable attend la référence Azure Key Vault, pas la clé secrète. Pour en savoir plus, consultez Utiliser les secrets Azure Key Vault dans les variables d’environnement.

Démarrer un abonnement au contenu du journal d’audit

  1. Accédez à make.powerapps.com.

  2. Sélectionnez Solutions.

  3. Ouvrez la solution Center of Excellence - Composants principaux.

  4. Activez le flux Administrateur | Journaux d’audit | Abonnement à l’API de gestion Office 365 et exécutez-le, puis saisissez démarrer comme opération à exécuter.

    Capture d’écran montrant l’emplacement du bouton Exécuter dans la barre de navigation et le démarrage de l’opération dans le volet Exécuter le flux.

  5. Ouvrez le flux et vérifiez que l’action de démarrage de l’abonnement a réussi.

Important

Si vous avez déjà activé l’abonnement, vous voyez un message (400) L’abonnement est déjà activé. Cela signifie que l’abonnement a été activé avec succès dans le passé. Vous pouvez ignorer ce message et poursuivre la configuration.

Si vous ne voyez ni le message ci-dessus ni une réponse (200), la demande a probablement échoué. Il peut y avoir une erreur dans votre configuration qui empêche le flux de fonctionner. Les problèmes courants à vérifier sont les suivants :

  • Les journaux d’audit sont-ils activés et avez-vous l’autorisation d’afficher les journaux d’audit ? Testez si les journaux sont activés en effectuant une recherche dans Microsoft Compliance Manager.
  • Avez-vous activé le journal d’audit récemment ? Si tel est le cas, réessayez dans quelques minutes pour donner au journal d’audit le temps de s’activer.
  • Vérifiez que vous avez correctement suivi les étapes dans Inscription de l’application Microsoft Entra.
  • Vérifiez que vous avez correctement mis à jour les variables d’environnement pour ces flux.

Activer les flux

  1. Accédez à make.powerapps.com.
  2. Sélectionnez Solutions.
  3. Ouvrez la solution Center of Excellence - Composants principaux.
  4. Activez le flux Administrateur | Journaux d’audit | Mettre à jour les données (V2). Ce flux met à jour la table Power Apps avec les informations de lancement les plus récentes et ajoute des métadonnées aux enregistrements des journaux d’audit.
  5. Activez le flux Administrateur | Journaux d’audit | Synchroniser les journaux d’audit (V2). Ce flux s’exécute selon un calendrier horaire et recueille les événements du journal d’audit dans la table Journal d’audit.

Fournir des commentaires

Si vous trouvez un bogue dans le Starter Kit CoE, entrez un bogue pour la solution à l’adresse aka.ms/coe-starter-kit-issues.