注
Power Platform CoE スターター キットは、アクティブに保守されなくなりました。 そのコア機能は、 Power Platform 管理センターの一部です。
問題のレビューや対処は行われません。 潜在的なセキュリティの問題を特定した場合は、Microsoft Security Response Centerに報告してください。
監査ログ同期フローは、Office 365 管理アクティビティ API 参照 に接続して、アプリのテレメトリ データ (ユニーク ユーザー、起動回数など) を収集します。 フローは HTTP アクションを使用して API にアクセスします。 この記事では、HTTP アクションのアプリ登録と、フローの実行に必要な環境変数を設定します。
注
センター オブ エクセレンス (CoE) スタート キットは、これらのフローなしで動作します。 ただし、フローを使用しない場合は、Power BI ダッシュボードでアプリの起動や一意のユーザーなどの使用状況情報が空白になります。
前提条件
- CoE スターター キットのセットアップとインベントリ コンポーネントの設定に関する手順を完了します。
- 環境を作成します。
- 適切な ID でサインインします。
Tip
インベントリとテレメトリのメカニズムとして クラウド フロー を選択した場合のみ、監査ログ フローを設定します。
監査ログのフローを設定する前に
開始する前に、次の追加の前提条件が満たされていることを確認します。
- 「監査の オンとオフを切り替える」の説明に従って、Microsoft 365 監査ログ検索が有効になっています。
- テナントには、統合監査ログをサポートするサブスクリプションがあります。 詳細については Microsoft 365 セキュリティとコンプライアンスに関するガイダンス を参照してください。
- Microsoft Entra アプリ登録を構成するための Microsoft Entra のアクセス許可。 Microsoft Entra 構成によって、これらのアクセス許可は アプリケーション開発者 ロール以上になります。 詳細については、 Microsoft Entra ID のタスク別の最小特権ロールに関するガイダンスを参照してください。
注
Office 365 Management API へのアクセス権を取るためにアプリケーションの権限を取得するには、API が Microsoft Entra ID を通じて提供する認証サービスを使用できます。
Office 365 管理 API アクセスの Microsoft Entra アプリの登録を作成する
これらの手順に従って、Microsoft Entra フローで HTTP 呼び出しの Power Automate アプリ登録を設定し、監査ログに接続できます。 詳細は Office 365 管理 API の使用を始める を参照してください。
Azure ポータルにサインインします。
[Microsoft Entra ID]>[アプリの登録] の順に移動します。
+ 新規登録を選択します。
Microsoft 365 Management などの名前を入力しますが、他の設定は変更しないでください。 その後、[登録] を選択します。
API アクセス許可>アクセス許可の追加を選択します。
![[API アクセス許可] メニューの [アクセス許可の追加] ボタンの場所を示すスクリーンショット。](media/coe34.png)
Office 365 管理 API を選択し、次のようにアクセス許可を構成します:。
[ アプリケーションのアクセス許可] を選択し、[ ActivityFeed.Read] を選択します。
![[API アクセス許可] メニューの [API アクセス許可の要求] ページの ActivityFeed.Read 設定を示すスクリーンショット。](media/coe36new.png)
アクセス許可の追加を選択します。
< 組織向けに管理者の同意を付与する> を選択します。 管理者コンテンツを設定するための前提条件の詳細について説明 します 。
API のアクセス許可は、委任された ActivityFeed.Read のアクセス許可が あなたの組織に対して<付与済み> であるという状態を反映するようになりました。
証明書とシークレット を選択します。
+ 新しいクライアント シークレットを選択します。
(組織のポリシーに従って) 説明と有効期限を追加します。 その後、追加を選択します。
アプリケーション (クライアント) ID 値をコピーして Notepad file などのテキスト ドキュメントに貼り付けます。
概要 を選択し、アプリケーション (クライアント) ID およびディレクトリ (テナント) ID の値を同じテキスト ドキュメントにコピーして貼り付けます。
Important
各値に対応するグローバル一意識別子 (GUID) を記録してください。 カスタムコネクタを構成するときにこれらの値が必要になります。
環境変数を更新する
環境変数を使用して、従来の Office 365 Management API または Graph API を選択します。 アプリ登録のクライアント ID とシークレットを環境変数に格納します。 HTTP アクションのクラウドの種類に応じて、対象ユーザーと機関サービス エンドポイントを環境変数で設定します。 クラウドの種類は、商用、米国政府コミュニティ クラウド (GCC)、US GCC High、または米国国防総省 (DoD) のいずれかです。 フローを有効にする前に、新しい 環境変数 を更新します。
監査ログ - クライアント シークレット 環境変数でプレーンテキストでクライアント シークレットを保存することができます。 ただし、この方法は推奨しません。 代わりに、クライアント シークレットを作成して Azure Key Vault に格納し、 監査ログ - クライアント Azure シークレット 環境変数で参照します。
注
この環境変数を使用するフローには、監査ログ - クライアント シークレット、または 監査ログ - クライアント Azure シークレット のいずれかの環境変数を必要とする条件が設定されています。 しかし、Azure Key Vault と連携するために、フローを編集する必要はありません。
| Name | Description | 値 |
|---|---|---|
| 監査ログ - Graph API を使用する | イベントのクエリに Graph API を使用するかどうかを制御するパラメーター。 | いいえ (デフォルト) 同期フローでは、レガシ Office 365 Management API が使用されます。 |
| 監査ログ - 対象者 | HTTP 呼び出しの対象者パラメーター。 |
|
| 監査ログ - オーソリティ | HTTP 呼び出しの [オーソリティ] フィールド。 |
|
| 監査ログ - ClientID | アプリ登録のクライアント ID。 | Office 365 管理 API アクセスに対して Microsoft Entra アプリ登録を作成する ステップからのアプリケーション クライアント ID。 |
| 監査ログ - クライアント シークレット | アプリ登録クライアントシークレット (シークレットIDではなく、実際の値) のプレーン テキスト。 | Office 365 管理 API アクセスに対して Microsoft Entra アプリ登録を作成する ステップからのアプリケーション クライアント シークレット。 Azure Key Vault を使用しクライアント ID とシークレットを保存している場合は、この変数を空にしておきます。 |
| 監査ログ - クライアント Azure シークレット | アプリ登録のクライアント シークレットに対する Azure Key Vault の参照。 | Azure Key Vault の参照は、「Office 365 管理 API に対して Microsoft Entra アプリ登録を作成する」ステップからのアプリケーション クライアント シークレット用です。 監査ログ - クライアント シークレット 環境変数でクライアント ID をプレーン テキストで保存する場合は、空のままにします。 この変数は、シークレットではなく、Azure Key Vault 参照が必要です。 詳細情報は、Azure Key Vault シークレットの環境変数を使用するを参照してください。 |
監査ログ コンテンツに対するサブスクリプションの開始
make.powerapps.com に移動します。
[ ソリューション] を選択します。
Center of Excellence - コア コンポーネント ソリューションを開きます。
フローを有効にする 管理者 | 監査ログ | Office 365 管理 API サブスクリプション。 実行する操作として 開始 を入力して、フローを実行します。
![ナビゲーション バーの [実行] ボタンと [実行フロー] ウィンドウの [開始操作] の場所を示すスクリーンショット。](media/coe-startsubscription.png)
フローを開いて、サブスクリプションを開始するアクションが成功したことを確認します。
![ナビゲーション バーの [実行] ボタンと [実行フロー] ウィンドウの [開始操作] の場所を示すスクリーンショット。](media/coe-startsubscription.png#lightbox)
Important
以前にサブスクリプションを有効にしている場合は、(400) サブスクリプションは既に有効になっています というメッセージが表示されます。 このメッセージは、サブスクリプションが既に有効になっていることを意味します。 このメッセージは無視でき、設定は続行できます。
上記のメッセージまたは (200) 応答が表示されない場合、要求は失敗した可能性があります。 設定にエラーがあり、フローが機能しないようにしている可能性があります。 以下の一般的な問題が発生していないかを確認してください。
- 監査ログは有効になっており、さらに監査ログを表示する権限を持っていますか? Microsoft Purview コンプライアンス マネージャーで検索して、ログが有効になっているかどうかをテストします。
- 監査ログを最近有効にしたばかりですか? その場合は、監査ログがアクティブ化する時間を考慮して、数分後にもう一度行ってみてください。
- Office 365 Management API アクセス用の Microsoft Entra アプリ登録の作成に関する手順に正しく従っていることを確認します。
- これらのフローの環境変数が正しく更新されたことを確認します。
フローをオンにする
make.powerapps.com に移動します。
[ ソリューション] を選択します。
Center of Excellence - コア コンポーネント ソリューションを開きます。
管理者 | 監査ログ | データの更新 (V2) フローをオンにします。 このフローは Power Apps テーブルを前回の起動に関する情報で更新します。 また、監査ログ レコードにメタデータが追加されます。
管理者 | 監査ログ | 監査ログの同期 (V2) フローをオンにします。 このフローは時間ごとのスケジュールで実行され、監査ログ イベントを監査ログ テーブルに収集します。
フィードバックを提供する
CoE スターター キットで問題が見つかる場合は、 aka.ms/coe-starter-kit-issues でソリューションに対するバグを報告してください。