Exercício: configurar o conector do log de auditoria

  • 11 minutos

O fluxo de sincronização do log de auditoria se conecta ao log de auditoria do Microsoft 365 para reunir dados, como usuários exclusivos e lançamentos de aplicativos. O fluxo usa um conector personalizado para conectar-se ao log de auditoria. Nas instruções a seguir, você configurará o conector personalizado e o fluxo.

Observação

O Kit de início do CoE (Centro de Excelência) funcionará sem esse fluxo, mas as informações de uso ficarão em branco no painel do Power BI.

Antes de usar o conector de log de auditoria

Antes de usar o conector de log de auditoria, será necessário atender aos seguintes pré-requisitos:

Importante

A Microsoft recomenda que você use funções com o menor número de permissões. Isso ajuda a melhorar a segurança da sua organização. Administrador global é uma função altamente privilegiada que deve ser limitada a cenários de emergência quando você não puder usar uma função existente.

As APIs da Atividade de Gestão do Office 365 usam o Microsoft Entra ID a fim de fornecer serviços de autenticação que você pode usar para conceder direitos para seu aplicativo acessá-las.

Criar um registro de aplicativo do Microsoft Entra para a API de Gestão do Office 365

Usando essas etapas, você pode configurar um registro de aplicativo do Microsoft Entra para uma chamada HTTP em um fluxo do Power Automate para se conectar ao log de auditoria. Para obter mais informações, consulte Introdução às APIs da Atividade de Gestão do Office 365.

  1. Entre no portal.azure.com.

  2. Vá para o Microsoft Entra ID, procure e selecione Registros de aplicativo.

    Captura de tela de seleção de Registros de aplicativos no Microsoft Entra ID.

  3. Selecione Novo Registro.

  4. Insira um nome (como Gerenciamento do Microsoft 365), mas não altere nenhuma outra configuração. Selecione Registrar.

    Captura de tela de inserir um nome e selecionar Registrar.

  5. Selecione Permissões de API > Adicionar uma permissão.

    Captura de tela de Selecionar permissões de API e + Adicionar uma permissão.

  6. Selecione API de Gestão do Office 365 e configure as permissões desta maneira:

    a. Selecione Permissões delegadas e ActivityFeed.Read.

    Captura de tela de APIs da Atividade de Gestão do Office 365 selecionadas e configurações de permissões.

    b. Selecione Permissões de aplicativo, ActivityFeed.Read e ServiceHealth.Read.

    Captura de tela das Permissões do aplicativo selecionadas.

    c. Selecione Adicionar permissões.

  7. Selecione Conceder consentimento do administrador para (sua organização).

    As permissões da API agora refletem as permissões ActivityFeed.Read delegada e ActivityFeed.Read e ServiceHealth.Read de aplicativo, com o status de Concedido para (sua organização).

    Captura de tela da seleção de Conceder consentimento do administrador.

  8. Selecione Certificados e segredos.

  9. Selecione Novo segredo do cliente.

    Captura de tela da seleção de Novo segredo do cliente.

  10. Adicione uma descrição e uma expiração (de acordo com as políticas da sua organização) e selecione Adicionar.

  11. Copie e cole o segredo em um documento de texto no Bloco de Notas do Windows por enquanto.

  12. Selecione Visão geral e copie e cole a ID do aplicativo (cliente) em um documento de texto.

Atualizar variáveis de ambiente

Variáveis de ambiente são usadas para armazenar a ID do Cliente e o segredo para o registro do aplicativo. Também armazenam os pontos de extremidade de serviço de autoridade e público-alvo, dependendo de sua nuvem (comercial, GCC, GCC High, DoD) para a ação HTTP. Atualize as variáveis de ambiente antes de ativar os fluxos.

Observação

Você pode armazenar o segredo do cliente em texto sem formatação na variável de ambiente Logs de Auditoria: Segredo do Cliente ou pode armazenar o segredo do cliente no Azure Key Vault e referenciá-lo na variável de ambiente Logs de Auditoria: Segredo do Cliente do Azure. Estas etapas descrevem o uso de um segredo do cliente, embora o Azure Key Vault seja o método recomendado pela Microsoft.

  1. Acesse o Power Apps.

  2. Vá para Soluções.

  3. Selecione a guia Todos e selecione a solução Centro de Excelência: Componentes Principais para abri-la.

  4. Selecione Aplicativos no menu esquerdo e execute o aplicativo Centro de Comando Administrativo do CoE.

  5. Selecione Variáveis de Ambiente no menu esquerdo do aplicativo.

    Captura de tela do aplicativo Centro de Comando e das variáveis de ambiente a serem atualizadas.

  6. Encontre a variável de ambiente Logs de Auditoria: Público-alvo e verifique se o valor corresponde ao ponto de extremidade de serviço do público-alvo para seu tipo de nuvem.

    Você pode encontrar os valores de público-alvo para seu tipo de nuvem na tabela abaixo. Se o valor não corresponder a seu tipo de nuvem, selecione a linha no aplicativo Centro de Comando e selecione Editar na barra de comandos.

  7. Insira o valor secreto que foi copiado da seção anterior.

  8. Encontre a variável de ambiente Logs de Auditoria: Autoridade e verifique se o valor corresponde ao ponto de extremidade do serviço de autoridade para seu tipo de nuvem.

    Você pode encontrar os valores de autoridade para seu tipo de nuvem na tabela abaixo. Se o valor não corresponder a seu tipo de nuvem, selecione a linha no aplicativo Centro de Comando e selecione Editar na barra de comandos.

  9. Encontre a variável de ambiente Logs de Auditoria: ID do Cliente e insira a ID do cliente que foi copiada da seção anterior.

    Captura de tela da edição das variáveis de ambiente.

  10. Encontre a variável Logs de Auditoria: Segredo do Cliente e insira o Segredo do Cliente que foi copiado da seção anterior.

    Observação

    O fluxo que usa essa variável de ambiente está configurado com uma condição para esperar a variável de ambiente Logs de Auditoria: Segredo do Cliente ou Logs de Auditoria: Segredo do Cliente do Azure. Não é necessário editar o fluxo para trabalhar com o Azure Key Vault.

Nome Descrição Valor
Logs de Auditoria: Público-alvo O parâmetro de audiência para as chamadas HTTP. Comercial (Padrão): https://manage.office.com
GCC: https://manage-gcc.office.com
GCC High: https://manage.office365.us
DoD: https://manage.protection.apps.mil
Logs de Auditoria: Autoridade O campo de autoridade nas chamadas HTTP. Comercial (Padrão): https://login.windows.net
GCC: https://login.windows.net
GCC High: https://login.microsoftonline.us
DoD: https://login.microsoftonline.us
Logs de Auditoria: ClientID ID do Cliente de Registro do aplicativo. A ID do cliente do aplicativo da etapa Criar um registro de aplicativo do Microsoft Entra para a API de Gestão do Office 365.
Logs de Auditoria: Segredo do Cliente Segredo do cliente de registro de aplicativo em texto sem formatação. O segredo do cliente do aplicativo da etapa Criar um registro de aplicativo do Microsoft Entra para a API de Gestão do Office 365. Deixe em branco se estiver usando o Azure Key Vault para armazenar a ID e o segredo do cliente.
Logs de Auditoria: Segredo do Cliente do Azure Referência do Azure Key Vault do segredo do cliente de Registro do aplicativo. A referência do Azure Key Vault para o segredo do cliente do aplicativo da etapa Criar um registro de aplicativo do Microsoft Entra para a API de Gestão do Office 365. Deixe em branco se você estiver armazenando a ID do cliente em texto sem formatação na variável de ambiente Logs de Auditoria: Segredo do Cliente. Essa variável espera a referência do Azure Key Vault, não o segredo. Saiba mais: usar segredos do Azure Key Vault em variáveis de ambiente

Iniciar uma assinatura para o conteúdo do log de auditoria

  1. Acesse o PowerApps

  2. Selecione Soluções no menu à esquerda.

  3. Selecione a guia Tudo para ver todas as soluções.

  4. Abra a solução Centro de Excelência — Componentes Principais.

  5. Ative o fluxo Administrador | Logs de Auditoria | Assinatura da API de Gestão do Office 365, execute-o e insira start como a operação a ser executada.

    Captura de tela dos Logs de Auditoria do Administrador da Assinatura da API de Gestão do Office 365.

  6. Abra o fluxo e verifique se a ação para iniciar a assinatura é aprovada.

    Captura de tela do fluxo StartSubscription com código de status realçado.

Importante

Se já tiver habilitado a assinatura, você verá uma mensagem (400) A assinatura já está habilitada. Isso significa que a assinatura foi habilitada com êxito no passado. Você pode ignorar esse erro e continuar com a configuração. Se você não vir a mensagem acima ou uma resposta (200), a solicitação poderá ter falhado. Pode haver um erro em sua configuração que está impedindo o funcionamento do fluxo. Problemas comuns a serem verificados são:

  • Os logs de auditoria estão habilitados e você tem permissão para exibi-los? Verifique se você pode pesquisar no Gerenciador de Conformidade da Microsoft.
  • Você habilitou o log de auditoria recentemente? Nesse caso, tente novamente em alguns minutos, para dar tempo ao log de auditoria para ser ativado.
  • Valide se você seguiu corretamente as etapas no registro do aplicativo do Microsoft Entra.

Valide se você atualizou corretamente as variáveis de ambiente para esses fluxos.

Ativar fluxos

  1. Vá para make.powerapps.com.

  2. Selecione a guia Tudo para ver todas as soluções.

  3. Abra a solução Centro de Excelência — Componentes Principais.

  4. Ative o fluxo Administrador | Logs de Auditoria | Sincronizar Logs de Auditoria (V2). Esse fluxo é executado de hora em hora e coleta eventos de log de auditoria na tabela Log de Auditoria.