Sledování a monitorování událostí v Microsoft Intune pomocí protokolů auditu

V Microsoft Intune jsou protokoly auditu, které obsahují záznam aktivit, které generují změnu. Například všechny akce vytvoření, aktualizace (úpravy), odstranění, přiřazení a vzdálené akce vytvářejí události auditu.

Správci můžou zkontrolovat protokoly auditu a sledovat události pro většinu úloh Intune. Auditování je povolené pro všechny zákazníky. Nedá se zakázat.

Kdo má k datům přístup?

Uživatelé s následujícími oprávněními můžou zkontrolovat protokoly auditu:

• Role Microsoft Entra správce Intune
• Správci přiřazení k roli Intune s oprávněním Auditovat čtení dat - Seznam předdefinovaných rolí Intune, které mají toto oprávnění, najdete v tématu Oprávnění předdefinovaných rolí pro Microsoft Intune.

Zobrazení protokolů auditu

Pro každou úlohu Intune můžete zkontrolovat protokoly auditu ve skupině monitorování, jako je dodržování předpisů nebo podmíněný přístup.

1. Přihlaste se k Centru pro správu Microsoft 365.

2. Vyberte Protokoly auditu správy>tenanta.

3. Zobrazí se seznam protokolů. Výběrem protokolu ze seznamu zobrazíte podrobnosti o aktivitě.

4. Pokud existuje mnoho protokolů, můžete:

   1. Vyberte Datum a zadejte počáteční a koncové datum. Tento rozsah dat může zobrazovat protokoly za předchozí měsíc, týden nebo den.

      

   2. Vyberte Přidat filtry>Kategorie. V seznamu vyberte kategorii, například Dodržování předpisů, Zařízení nebo Role. Pak vyberte Použít.

   3. Vyberte Přidat aktivitu filtrů>. Dostupné možnosti závisí na vybrané kategorii . Pak vyberte Použít.

      Pokud například vyberete kategorii Kompatibilita , budou možnosti filtru aktivity vypadat podobně jako na následujícím obrázku:

      

Související informace o protokolech auditu najdete tady:

• Ukládání a zpracování dat v Intune
• Použití protokolů auditu v intune
• Auditování, export nebo odstranění osobních údajů v Intune

Směrování protokolů do Služby Azure Monitor

Protokoly auditu a provozní protokoly je také možné směrovat do služby Azure Monitor. V Centru pro správu Intune vyberte Správa> tenantaProtokoly> audituExport:

Při exportu se .csv soubor vytvoří a uloží místně, pravděpodobně do .C:\Users\UserName\AppData\Local\Temp\MicrosoftEdgeDownloads\GUID

Při prohlížení .csv souboru:

• Iniciátor (actor) obsahuje informace o tom, kdo úkol spustil a kde byl spuštěn.

  Pokud například spustíte aktivitu v Intune na webu Azure Portal, aplikace vždy zobrazí seznam rozšíření portálu Microsoft Intune a ID aplikace vždy používá stejný identifikátor GUID.

• Oddíl Cíle obsahuje seznam několika cílů a vlastností, které byly změněny.

Další informace o této funkci, včetně požadavků, najdete v tématu Odesílání dat protokolu do úložiště, center událostí nebo log Analytics.

Načtení událostí auditu pomocí rozhraní Graph API

Pomocí rozhraní Graph API můžete také získat události auditu za jeden rok. Další informace najdete v tématu Výpis auditEvents.

Související články

• Odesílání dat protokolu do úložiště, centra událostí nebo log Analytics
• Kontrola protokolů ochrany klientských aplikací