Naplók az Azure Active Directoryban

Rendszergazdaként tudni szeretné, hogyan működik az informatikai környezete. A rendszer állapotával kapcsolatos információk segítségével felmérheti, hogy kell-e és hogyan kell-e reagálnia a lehetséges problémákra.

Ennek a célnak a támogatásához az Azure Active Directory portál három tevékenységnaplóhoz biztosít hozzáférést:

  • Bejelentkezések – Információk a bejelentkezésekről és arról, hogy a felhasználók hogyan használják az erőforrásokat.
  • Naplózás – Információk a bérlőre alkalmazott változásokról, például a felhasználókról és a csoportkezelésről, illetve a bérlő erőforrásaira alkalmazott frissítésekről.
  • Kiépítés – A kiépítési szolgáltatás által végrehajtott tevékenységek, például egy csoport létrehozása a ServiceNow-ban vagy egy Workdayből importált felhasználó.

Ez a cikk áttekintést nyújt az auditnaplókról.

Mi ez?

Az Azure AD auditnaplóinak használatával hozzáférhet a rendszertevékenységek megfelelőségi rekordjaihoz. A napló leggyakoribb nézetei a következő kategóriákon alapulnak:

  • Felhasználókezelés

  • Csoportkezelés

  • Alkalmazáskezelés

Felhasználóközpontú nézetben az alábbiakhoz hasonló kérdésekre kaphat választ:

  • Milyen típusú frissítések lettek alkalmazva a felhasználókra?

  • Hány felhasználó lett módosítva?

  • Hány jelszó lett módosítva?

  • Mit csinált a rendszergazda egy adott címtárban?

Csoportközpontú nézetben az alábbiakhoz hasonló kérdésekre kaphat választ:

  • Mely csoportok lettek hozzáadva?

  • Történt-e tagsági változás valamelyik csoportban?

  • Változtak-e a csoportok tulajdonosai?

  • Milyen licencek lettek hozzárendelve egy adott csoporthoz vagy felhasználóhoz?

Alkalmazásközpontú nézetben az alábbiakhoz hasonló kérdésekre kaphat választ:

  • Milyen alkalmazásokat adtak hozzá vagy frissítettek?

  • Milyen alkalmazásokat távolítottak el?

  • Módosult egy alkalmazás szolgáltatásneve?

  • Történt változás az alkalmazások nevében?

  • Ki hagyott jóvá egy adott alkalmazást?

Melyik licencre van szükségem?

A naplózási tevékenységről szóló jelentés az Azure AD minden kiadásában elérhető.

Ki férhet hozzá?

Az auditnaplók eléréséhez az alábbi szerepkörök egyikének kell lennie:

  • Biztonsági rendszergazda
  • Biztonsági olvasó
  • Jelentésolvasó
  • Globális olvasó
  • Globális rendszergazda

Hogyan találhatom meg?

Az Azure Portal számos lehetőséget kínál a napló elérésére. Az Azure Active Directory menüjében például megnyithatja a naplót a Figyelés szakaszban.

Open audit logs

Ezen kívül ezen a hivatkozáson keresztül közvetlenül is megnyithatja az auditnaplókat.

Az auditnaplót a Microsoft Graph API-n keresztül is elérheti.

Mi az alapértelmezett nézet?

Az auditnapló alapértelmezett listanézete az alábbi adatokat jeleníti meg:

  • az előfordulás dátuma és időpontját
  • az előfordulást naplózó szolgáltatás
  • a tevékenység kategóriája és neve (mi)
  • a tevékenység állapota (sikeres vagy sikertelen)
  • a célt
  • a tevékenység kezdeményezőjét / szereplőjét (ki?)

Audit logs

A listanézetet az eszköztár Oszlopok elemére kattintva lehet testre szabni.

Audit columns

További mezőket jeleníthet meg, vagy eltávolíthatja a már megjelenített mezőket.

Remove fields

Válasszon ki egy elemet a listanézetben a részletesebb információkért.

select item

Auditnaplók szűrése

A naplózási adatokat a következő mezőkre szűrheti:

  • Szolgáltatás
  • Kategória
  • Tevékenység
  • Állapot
  • Cél
  • Kezdeményező (Szereplő)
  • Dátumtartomány

Filter object

A Szolgáltatásszűrővel a következő szolgáltatások legördülő listájából választhat:

  • Mind
  • AAD felügyeleti felhasználói felület
  • Hozzáférési felülvizsgálatok
  • Fiók kiépítése
  • Alkalmazásproxy
  • Hitelesítési módszerek
  • B2C
  • Feltételes hozzáférés
  • Alapvető könyvtár
  • Jogosultságkezelés
  • Hibrid hitelesítés
  • Identity Protection
  • Meghívott felhasználók
  • MIM szolgáltatás
  • MyApps
  • PIM
  • Önkiszolgáló csoportkezelés
  • Önkiszolgáló jelszókezelés
  • Használati feltételek

A Kategória szűrő lehetővé teszi az alábbi szűrők egyikének kiválasztását:

  • Mind
  • AdministrativeUnit
  • ApplicationManagement
  • Hitelesítés
  • Engedélyezés
  • Kapcsolattartó
  • Eszköz
  • DeviceConfiguration
  • DirectoryManagement
  • EntitlementManagement
  • GroupManagement
  • KerberosDomain
  • KeyManagement
  • Címke
  • Egyéb
  • PermissionGrantPolicy
  • Szabályzat
  • ResourceManagement
  • RoleManagement
  • UserManagement

A tevékenységszűrő a kiválasztott kategória- és tevékenységerőforrás-típuson alapul. Választhat egy adott tevékenységet, amelyet meg szeretne tekinteni, vagy kiválaszthatja az összeset.

A Graph API-val lekérheti az összes naplózási tevékenység listáját: https://graph.windows.net/<tenantdomain>/activities/auditActivityTypesV2?api-version=beta

Az Állapotszűrővel a naplózási művelet állapota alapján szűrhet. Az állapot az alábbiak egyike lehet:

  • Mind
  • Siker
  • Hiba

A Cél szűrő lehetővé teszi egy adott cél megkeresését a név vagy egyszerű felhasználónév (UPN) kezdetével. A célnév és az UPN megkülönbözteti a kis- és nagybetűket.

A Kezdeményező szűrővel meghatározhatja, hogy egy szereplő vagy egy egyszerű egyszerű név (UPN) milyen névvel kezdődik. A név és az UPN megkülönbözteti a kis- és nagybetűket.

A Dátumtartomány szűrővel időkeretet határozhat meg a visszaadott adatokhoz.
Lehetséges értékek:

  • 7 nap
  • 24 óra
  • Egyéni

Egyéni időkeret kiválasztásakor beállíthatja a kezdő és a záró időpontot.

A Letöltés gombra kattintva úgy is dönthet, hogy letölti a szűrt adatokat, legfeljebb 250 000 rekordot. A naplókat CSV vagy JSON formátumban is letöltheti. A letölthető rekordok számát az Azure Active Directory jelentésmegőrzési szabályzatai korlátozzák.

Download data

Microsoft 365-tevékenységnaplók

A Microsoft 365 tevékenységnaplóit a Microsoft 365 Felügyeleti központban tekintheti meg. Bár a Microsoft 365-tevékenységek és az Azure AD-tevékenységnaplók sok címtárerőforrást osztanak meg, csak a Microsoft 365 Felügyeleti központ nyújt teljes körű áttekintést a Microsoft 365 tevékenységnaplóiról.

A Microsoft 365-tevékenységnaplókat programozott módon is elérheti az Office 365 felügyeleti API-jaival.

Megjegyzés

A legtöbb különálló vagy csomagolt Microsoft 365-előfizetés háttérbeli függőségekkel rendelkezik a Microsoft 365 adatközpontjának határain belüli egyes alrendszerekhez. A függőségekhez bizonyos adatok visszaírására van szükség a címtárak szinkronizálásának fenntartásához, és lényegében ahhoz, hogy lehetővé tegyék a zökkenőmentes előkészítést az Exchange Online-ra való előfizetés-regisztrációban. Ezekhez a visszaírásokhoz a naplóbejegyzések a "Microsoft Substrate Management" által végrehajtott műveleteket mutatják be. Ezek az auditnapló-bejegyzések az Exchange Online által az Azure AD-be végrehajtott létrehozási/frissítési/törlési műveletekre vonatkoznak. A bejegyzések tájékoztató jellegűek, és nem igényelnek semmilyen műveletet.

Következő lépések