配置 Azure 应用程序和权限
在配置 Azure 应用程序和权限之前,请确保打开以下端口。ADAudit Plus 服务器上的 HTTPS 出站端口 443 必须打开,因为它用于 HTTPS 和基于 WebSockets 的 AMQP。
要启用 Azure 文件共享的审计,您需要在 Azure 门户中注册应用程序并为其分配所需的角色。然后,您需要授予 Microsoft Graph API 所需的最小权限,并获取客户端 ID 和客户端密钥。
注意:如果您已经在 ADAudit Plus 中配置了 Azure AD 租户,并希望使用同一应用程序进行 Azure 文件共享审计,请继续进行
为注册的应用程序分配所需角色的步骤。
注册应用程序
- 打开 Microsoft Azure 门户,并使用您的 Microsoft 帐户登录。
- 搜索 Microsoft Entra ID。
- 转到 管理 > 应用注册 > + 新注册 打开 注册应用程序 页面。
- 输入应用程序名称(例如, ADAudit Plus 应用)。
- 在 支持的帐户类型 下,确保选择了 仅限此组织目录中的帐户(仅 zohoadapazure - 单租户) 选项。
- 点击 注册。
为注册的应用程序分配所需角色
- 转到 主页 > 订阅。
- 选择一个订阅名称(例如, 按需付费)。
- 从列表中选择 访问控制 (IAM)。
- 在顶部点击 + 添加 并从三个选项中选择 添加角色分配。
- 从列表中选择 读取者 角色,然后点击 下一步。
- 点击 + 选择成员 并添加要分配访问权限的成员(例如,ADAudit Plus 应用)。
- 点击 审核 + 分配。
- 检查在订阅级别是否已将指定角色分配给应用程序。
授予 Microsoft Graph API 所需的最小权限
要授予 Microsoft Graph API 读取用户和组等数据所需的必要权限,请按照以下步骤操作:
- 在 Azure 门户中搜索
Microsoft Entra ID.
- 转到 管理 > 应用注册。在 拥有的应用程序 下选择您的应用程序(例如, ADAudit Plus 应用)。
- 转到 管理 > API 权限 > + 添加权限。
- 选择 Microsoft Graph。
- 选择所需权限类型下的 应用程序权限。
- 从 目录 列表中选择 Directory.Read.All。
- 单击 添加权限。
- 单击 为 <租户名称> 授予管理员同意,其中 <租户名称> 将是您的 Azure 租户名称。
- 单击 是。未授予 <租户名称> 状态将更改为 已授予 <租户名称>。
获取客户端 ID 和客户端密钥
- 在 Azure 门户中,搜索 Microsoft Entra ID。
- 转到 管理 > 应用注册。在 拥有的应用程序 下选择您的应用程序(例如, ADAudit Plus 应用)。
- 转到 管理 > 证书和机密。
- 单击 + 新客户端密钥。
- 输入描述。
- 将到期日期设置为 24 个月,这是可以使用的最大值。
- 单击 添加。将显示值。
- 复制客户端密钥值。生成的 值 即为客户端密钥。此值仅显示一次,因此请确保安全地复制它。
- 记下 应用程序(客户端)ID 作为客户端 ID。在配置 ADAudit Plus 中的租户时,客户端 ID 和密钥 ID 将是必要的。
