2017年12月 4日 (月)

Power Automate (旧Microsoft Flow) に関する監査ログ

現在、 Microsoft Flow に関する監査ログが Office 365 セキュリティ&コンプライアンスセンターで取得できるようになっています。このログを使って、組織内でどのように Microsoft Flow が利用されているかを把握するのに役立ちます。具体的には次のような情報が取得できます

  • 誰が Flow を作成したか
  • Flowが誰と共有されているか
  • どのコネクターが使われているか
  • ライセンスの利用状況

監査ログを確認してみよう

この情報にアクセスできるのは、Office 365 のテナント管理者のみです。ちなみに、セキュリティ&コンプライアンスセンターの直接の URL は次の通りです。

  • https://protection.office.com

当ブログを閲覧されている方は必ずしも Office 365 のテナント管理者ではないと思いますので、どのようにログが取得できるのか説明しておきましょう。

管理者は先述したセキュリティ&コンプライアンス センターから、次のように監査ログ検索します。

2017-12-04_7-38-10

監査できる項目は、徐々に増えてきており、Microsoft Flow 関連については次の情報が取得できるようになっています。

  • フローの作成
  • フローの編集
  • フローの削除
  • アクセス許可の編集
  • アクセス許可の削除
  • 有料試用の開始
  • 有料試用の更新

取得したログは次のようになっており、いつ誰が何を行ったのか一覧で確認できます。

2017-12-04_7-40-38

各ログの詳細では、Flow への詳細 URL なども取得できます。

2017-12-04_7-42-19

監査ログは、90日間保持されているためこの期間内であればログが閲覧できます。必要があれば、CSVにエクスポートできるため、Excel や Power BI で加工して利活用状況の分析などを行いましょう。

Microsoft Flow のログに Microsoft Flow からアクセスする 

 2017年12月付けで、Microsoft Flow に関する公式ブログに次の記事が公開されました。

Accessing Office 365 Security & Compliance Center Logs from Microsoft Flow

In a previous blog post, we discussed Microsoft Flow audit events surfacing in the Office 365 Security & Compliance Center. We have had inquiries from customers and partners about programmatically accessing this data. Something that is of particular interest, is understanding what connectors are being used in new, or updated, flows.

 要約すると、監査情報に対して 「PowerShell Search-UnifiedAuditLog」Webサービスを使って Microsoft Flow からアクセスし、アクティビティをメールで通知するというものであり、次のMicrosoft Flow のテンプレートが新たに追加されています。

  • Admin - Get List of New Flows
  • Admin - Get List on Edited Flows

2017-12-04_9-33-36

このフローも結局は先ほど紹介した監査ログにアクセスするため、Office 365 テナント管理者のアカウント情報が必要です。一般ユーザーのアカウントでは動作しないため注意しましょう。また、Basic Authentication のみが利用できる状態であるため Multi-Factor Authentication を構成しているアカウントでは利用できません。上記のブログの具体的な手順が書かれていますが、Postman を使った接続テストをしてから Flow を試しましょうという流れです。しかし、私の環境では、Postman でうまく認証が通らず(詳細は調査中) 、とりあえずPostman での接続テストはあきらめて、Microsoft Flow 側で検証したところまずは動いてくれました。環境によっては、こんなことも有り得るということを参考までに記載しておきます。

ちなみに、Microsoft Flow の上記テンプレートでは2箇所追加設定が必要です。アカウント情報を入力する部分と送信先メールの2箇所です。

2017-12-04_9-40-40

☝で指定するアカウントが Office 365 テナント管理者アカウントです。

2017-12-04_9-47-58

☝が送信先のメールアドレスです。これで、既定では1日ごとにメール送信されます。ブログ通りAdmin - Get List of New Flowsを試してみたところですが、次のような内容のメールが指定したメールアドレスに送信されます。

2017-12-04_9-54-16

いつ、だれがどのFlow を新たに作ったのか概要が分かります。ただ、Connectors のところはこれだけで何をしているかは把握しにくいですが、フローの複雑さは確認できるように思います。

ということで、このフローを応用(アレンジ)すれば、メールでなくても Excel に定期的に書き込むなどの処理もできそうです。

余談ですが、監査ログへのアクセス方法は次の3つがあります。

  • Office 365 Management Activity API
  • PowerShell Search-UnifiedAuditLog コマンドレット
  • PowerShell Search-UnifiedAuditLog Webサービス

上2つに関しては把握していたものの、最後の " PowerShell Search-UnifiedAuditLog Webサービス" については不勉強であったため、非常に参考になりました。

最後に

弊社でもMicrosoft Flowに関しては定期的にオープンコースとして研修を実施していますが、Microsoft Flow に関して認知度がまだまだ低いと感じます。それもそのはず、Office 365 のテナント管理者側で PowerApps や Microsoft Flow などの新サービスの利用をまだ正式には社内に公開していないところが多いのです。

この手のツールは、業務に紐づくため、最初はある程度ユーザー範囲を狭めつつも、実証実験していかなければどこまで利用できそうかなどの予測ができません。しかし、そこまで手が回っていないといったケースも多いようです。使ってみなければ、いつまでも公開できないし、公開しなければいつまでも使えないという悪循環に陥りがちです。

今回紹介したようにMicrosoft Flow に特化した監査ログが取れるようになってきているため、少し長めに検証期間を設けしばらくの間、特定のユーザーに利用してもらい、どのようなワークフローニーズが多く、どのようなフローが作成できて、作れていないのか、だれがよく利用しているのかなど、分析することで、利活用の支援の体制づくりに役立てられればと思います。

コメント