Microsoft 365 Management Activity

您可以將Microsoft 365管理活動與Sophos Central集成。這會將Microsoft審核日誌數據添加到Data Lake中，並允許您使用Sophos Live Discover查詢它。

必要條件

您必須是 Microsoft 365 管理員。

您必須在 Microsoft 365 中開啟稽核。如果您沒有開啟，系統會提示您在設定期間開啟。

在 Microsoft Office 365 管理 API 的屬性中，您必須將已啟用，以便使用者登入？設定為是。要檢查並變更此設定，請參閱 管理 Microsoft Office 365 API。

設定整合

若要將 Microsoft 365 資料整合到 Sophos Central，請依照以下步驟操作：

1. 在 Sophos Central 中，移至威脅分析中心 > 整合 > 市場。

2. 按一下 Microsoft - Office 365 管理活動 API。

   Microsoft - Office 365 管理活動 API 頁面隨即開啟。您可以在此處設定整合並查看已設定的所有整合清單。

3. 在資料擷取（安全警示）中，按一下新增設定。

   注意

   如果這是您新增的第一個整合，我們可能會要求您提供內部網域和 IP 的詳細資料。請參閱提供您的域和IP詳細資訊。

4. 在整合步驟中，如果尚未開啟 Microsoft 365 稽核，則可以按一下開啟 Microsoft 365 稽核。

   將帶您前往 Microsoft 365。開啟稽核，然後返回 Sophos Central。請參閱開啟或關閉稽核。

   Microsoft 可能會要求您進行驗證，以開啟稽核。

   注意

   Microsoft 365 稽核記錄資料在您開啟稽核之後，可能需要至多 12 小時才會顯示。

5. 按一下儲存並繼續。

6. 閱讀連線至 Microsoft 365 中的文字，然後按一下繼續。

   您已連線至 Microsoft 365 以建立與 Sophos Central 整合的應用程式。

   

7. 輸入或選取您的 Microsoft 帳戶並登入。

8. 系統會提示您授與某個應用程式權限。這些權限可讓我們建立與 Sophos Central 整合的 Microsoft 應用程式。按一下接受。

   

   系統可能會要求您再次授權，具體視您的 Microsoft 365 環境而定。

   連線可能需要幾分鐘。

9. 您會看到應用程式已設定的確認訊息。按一下關閉。

   

在 Sophos Central 的整合 > Microsoft - Office 365 管理活動中，您會看到新的整合。

在 Live Discover > 查詢中，新類別 Microsoft 365 稽核資料會顯示。您可以在 Microsoft 365 資料上執行此類別中的查詢。

管理 Microsoft Office 365 API

在此 API 的屬性中，您必須將已啟用，以便使用者登入？設定為是。若要檢查並變更此項，請執行以下動作。

1. 在您的 Microsoft Azure 入口網站中，移至 Azure Active Directory > 企業應用程式 > 所有應用程式。

2. 在所有應用程式中，按應用程式類型 == Microsoft 應用程式進行篩選。

   

3. 按一下 Office 365 管理 API。

4. 在 Office 365 管理 API | 屬性中，將已啟用，以便使用者登入？設定為是。

   

5. 按一下儲存。