Sdílet prostřednictvím

Získání protokolů auditu Windows 365

  • Článek

Protokoly auditu pro Windows 365 obsahují záznam aktivit, které generují změnu v cloudovém počítači. Vytváření, aktualizace (úpravy), odstranění, přiřazení a vzdálené akce vytvářejí události auditu, které můžou správci zkontrolovat u většiny akcí cloudových počítačů, které procházejí graphem. Ve výchozím nastavení je auditování povolené pro všechny zákazníky. Nedá se zakázat.

Kdo má k datům přístup?

Uživatelé s následujícími oprávněními můžou zkontrolovat protokoly auditu:

  • Správce služeb Intune
  • Globální správce
  • Správci přiřazení k roli Intune s auditováním dat – oprávnění ke čtení

Důležité

Microsoft doporučuje používat role s co nejmenším počtem oprávnění. To pomáhá zlepšit zabezpečení vaší organizace. Globální správce je vysoce privilegovaná role, která by měla být omezená na nouzové scénáře, když nemůžete použít existující roli.

Odeslání protokolů auditu Windows 365 do nastavení diagnostiky ve službě Azure Monitor

Nastavení diagnostiky služby Azure Monitor umožňuje exportovat protokoly a metriky platformy do cíle podle vašeho výběru. Můžete vytvořit až pět různých nastavení diagnostiky pro odesílání různých protokolů a metrik do nezávislých cílů. Další informace najdete v tématu Nastavení diagnostiky ve službě Azure Monitor.

Vytvoření nastavení diagnostiky pro odesílání protokolů

  1. Ujistěte se, že máte účet Azure.
  2. Přihlaste se do Centra pro správu Microsoft Intune a vyberte Nastavení diagnostiky sestav(v části Azure Monitor)>Přidat nastavení diagnostiky>.
  3. V části Protokoly vyberte Windows365AuditLogs.
  4. V části Podrobnosti o cíli vyberte cíl a zadejte podrobnosti.
  5. Vyberte Uložit.

Načtení událostí auditu pomocí rozhraní Graph API a PowerShellu

Pokud chcete získat události protokolu auditu pro vašeho tenanta Windows 365, postupujte takto:

Instalace sady SDK

  1. V PowerShellu spusťte tento příkaz: Install-Module Microsoft.Graph.Beta -Scope CurrentUser -AllowClobber
  2. Ověřte instalaci spuštěním tohoto příkazu:Get-InstalledModule Microsoft.Graph.Beta
  3. Pokud chcete získat všechny koncové body Služby Cloud PC Graph, spusťte tento příkaz: Get-Command -Module Microsoft.Graph* *virtualEndpoint*

Přihlášení

  1. Spusťte jeden z těchto dvou příkazů:
    • Connect-MgGraph -Scopes "CloudPC.ReadWrite.All"
    • Connect-MgGraph -Scopes "CloudPC.Read.All"
  2. Na výsledné webové stránce se přihlaste ke svému tenantovi pomocí uživatelského účtu, který má příslušná oprávnění ke čtení nebo zápisu.
  3. Přepněte do beta prostředí Graphu pomocí tohoto příkazu: Select-MgProfile -Name "beta"

Získání dat auditu

Data auditu můžete zobrazit několika způsoby.

Získání celého seznamu událostí auditu, včetně objektu actor auditu

Pokud chcete získat celý seznam událostí auditu, včetně aktéra (osoby, která akci provedla), použijte následující příkaz:

Get-MgBetaDeviceManagementVirtualEndpointAuditEvent | Select-Object -Property Actor,ActivityDateTime,ActivityType,ActivityResult -ExpandProperty Actor | Format-Table UserId, UserPrincipalName, ActivityType, ActivityDateTime, ActivityResult

Získání seznamu událostí auditu

Pokud chcete získat seznam událostí auditu bez objektu audit actor, použijte následující příkaz:

Get-MgBetaDeviceManagementVirtualEndpointAuditEvent

Pokud chcete získat všechny události, použijte parametr -All : Get-MgBetaDeviceManagementVirtualEndpointAuditEvent -All

Pokud chcete získat pouze události s nejvyšším využitím N, použijte následující parametry: Get-MgBetaDeviceManagementVirtualEndpointAuditEvent -All -Top {TopNumber}

Získání jedné události podle ID události

Pomocí následujícího příkazu můžete získat jednu událost auditu, ve které budete muset zadat {ID události}: Get-MgBetaDeviceManagementVirtualEndpointAuditEvent -CloudPcAuditEventId {event ID}

Další kroky

Provozní kontinuita a zotavení po havárii.