Auditnaplók az Azure Active Directoryban

  • Cikk
  • 3 perc alatt elolvasható

Az Azure Active Directory-tevékenységnaplók (Azure AD) tartalmazzák az auditnaplókat, amely átfogó jelentés az Azure AD minden naplózott eseményéről. Az alkalmazások, csoportok, felhasználók és licencek módosításai mind rögzítve vannak a Azure AD auditnaplókban.

Két további tevékenységnapló is elérhető a bérlő állapotának monitorozásához:

  • Bejelentkezések – Információk a bejelentkezésekről és arról, hogy a felhasználók hogyan használják az erőforrásokat.
  • Kiépítés – A kiépítési szolgáltatás által végrehajtott tevékenységek, például egy csoport létrehozása a ServiceNow-ban vagy egy Workdayből importált felhasználó.

Ez a cikk áttekintést nyújt az auditnaplókról.

Mi ez?

A naplók Azure AD hozzáférést biztosítanak a rendszertevékenység-rekordokhoz, amelyek gyakran szükségesek a megfelelőséghez. Ezt a naplót a felhasználó, a csoport és az alkalmazáskezelés kategorizálja.

Felhasználóközpontú nézetben az alábbiakhoz hasonló kérdésekre kaphat választ:

  • Milyen típusú frissítések lettek alkalmazva a felhasználókra?

  • Hány felhasználó lett módosítva?

  • Hány jelszó lett módosítva?

  • Mit csinált a rendszergazda egy adott címtárban?

Csoportközpontú nézetben az alábbiakhoz hasonló kérdésekre kaphat választ:

  • Mely csoportok lettek hozzáadva?

  • Történt-e tagsági változás valamelyik csoportban?

  • Változtak-e a csoportok tulajdonosai?

  • Milyen licencek lettek hozzárendelve egy adott csoporthoz vagy felhasználóhoz?

Alkalmazásközpontú nézetben az alábbiakhoz hasonló kérdésekre kaphat választ:

  • Milyen alkalmazásokat adtak hozzá vagy frissítettek?

  • Milyen alkalmazásokat távolítottak el?

  • Módosult egy alkalmazás szolgáltatásneve?

  • Történt változás az alkalmazások nevében?

  • Ki hagyott jóvá egy adott alkalmazást?

Hogyan elérni?

A naplózási tevékenységekre vonatkozó jelentés az Azure AD összes kiadásában elérhető. Az auditnaplókhoz való hozzáféréshez az alábbi szerepkörök egyikével kell rendelkeznie:

  • Jelentésolvasó
  • Biztonsági olvasó
  • Biztonsági rendszergazda
  • Globális olvasó
  • Globális rendszergazda

Jelentkezzen be a Azure Portal, lépjen a Azure AD, és válassza az Auditnapló lehetőséget a Figyelés szakaszban.

Az auditnaplót a Microsoft Graph API keresztül is elérheti.

Mit mutatnak a naplók?

Az auditnaplók alapértelmezett listanézete a következőket jeleníti meg:

  • Az előfordulás dátuma és időpontja
  • Az előfordulást naplózó szolgáltatás
  • A tevékenység kategóriája és neve (mi? )
  • A tevékenység állapota (sikeres vagy sikertelen)
  • Cél
  • A tevékenység kezdeményezője/szereplője (ki?)

A listanézet testreszabásához és szűréséhez kattintson az eszköztár Oszlopok gombjára. Az oszlopok szerkesztésével mezőket vehet fel vagy távolíthat el a nézetből.

Képernyőkép az elérhető mezőkről.

Auditnaplók szűrése

A naplóadatokat a listában látható beállításokkal szűrheti, például a dátumtartományt, a szolgáltatást, a kategóriát és a tevékenységet.

Képernyőkép a szolgáltatásszűrőről.

  • Szolgáltatás: Alapértelmezés szerint az összes elérhető szolgáltatáshoz tartozik, de a legördülő listából kiválasztva szűrheti a listát egy vagy többre.

  • Kategória: Alapértelmezés szerint minden kategóriára érvényes, de szűrhető a tevékenységkategóriák megtekintéséhez, például egy szabályzat módosításához vagy egy jogosult Azure AD szerepkör aktiválásához.

  • Tevékenység: A kiválasztott kategória és tevékenység erőforrástípus alapján. Választhat egy adott tevékenységet, amelyet meg szeretne tekinteni, vagy kiválaszthatja az összeset.

    Az összes naplózási tevékenység listáját a Graph API használhatja:https://graph.windows.net/<tenantdomain>/activities/auditActivityTypesV2?api-version=beta

  • Állapot: Lehetővé teszi az eredmények megtekintését annak alapján, hogy a tevékenység sikeres vagy sikertelen volt-e.

  • Cél: Lehetővé teszi egy tevékenység céljának vagy címzettjének keresését. Keresés egy név vagy egyszerű felhasználónév (UPN) első néhány betűje alapján. A célnév és az UPN megkülönbözteti a kis- és nagybetűk megkülönböztetett nevét.

  • Kezdeményező: Lehetővé teszi a tevékenységet kezdeményező személy keresését a nevük vagy UPN-jük első néhány betűje alapján. A név és az UPN megkülönbözteti a kis- és nagybetűk megkülönböztetett nevét.

  • Dátumtartomány: Lehetővé teszi a visszaadott adatok időkeretének meghatározását. Kereshet az elmúlt 7 napban, 24 órában vagy egyéni tartományban. Egyéni időkeret kiválasztásakor beállíthatja a kezdő és a záró időpontot.

    A Letöltés gombra kattintva akár 250 000 rekordot is letölthet a szűrt adatokból. A naplókat CSV vagy JSON formátumban is letöltheti. A letölthető rekordok számát az Azure Active Directory jelentésmegőrzési szabályzatai korlátozzák.

    Képernyőkép az Adatok letöltése lehetőségről.

Microsoft 365-tevékenységnaplók

A Microsoft 365 tevékenységnaplóit a Microsoft 365 Felügyeleti központ tekintheti meg. Bár a Microsoft 365-tevékenység- és Azure AD-tevékenységnaplók számos címtárerőforrást osztanak meg, csak a Microsoft 365 Felügyeleti központ biztosít teljes képet a Microsoft 365 tevékenységnaplóiról.

A Microsoft 365-tevékenységnaplókat programozott módon is elérheti a Office 365 Felügyeleti API-k használatával.

Megjegyzés

A legtöbb különálló vagy csomagolt Microsoft 365-előfizetés háttérbeli függőségekkel rendelkezik a Microsoft 365-adatközpont határán belüli egyes alrendszerekhez. A függőségekhez bizonyos adatok visszaírására van szükség ahhoz, hogy a címtárak szinkronban maradjanak, és lényegében lehetővé tegyék a zökkenőmentes előkészítést az előfizetések Exchange Online való engedélyezéséhez. Ezekhez a visszaírásokhoz az auditnapló bejegyzései a "Microsoft Szubsztrátkezelés" által végrehajtott műveleteket mutatják. Ezek az auditnapló-bejegyzések a Exchange Online által Azure AD végrehajtott létrehozási/frissítési/törlési műveletekre vonatkoznak. A bejegyzések tájékoztató jellegűek, és nem igényelnek semmilyen műveletet.

Következő lépések