Megosztás a következőn keresztül:


Tevékenységnaplók elemzése a Microsoft Graph használatával

A Microsoft Entra jelentéskészítési API-k programozott hozzáférést biztosítanak az adatokhoz REST API-k készletén keresztül. Ezeket az API-kat számos programozási nyelvről és eszközről hívhatja meg.

Ez a cikk bemutatja, hogyan elemezheti a Microsoft Entra tevékenységnaplóit a Microsoft Graph Explorerrel és a Microsoft Graph PowerShell-lel.

Előfeltételek

  • Egy működő Microsoft Entra-bérlő, amelyhez microsoft Entra-azonosítójú P1 vagy P2 licenc tartozik.
  • A szükséges engedélyekhez való hozzájáruláshoz a kiemelt szerepkör-rendszergazda szükséges.

Jelentések elérése a Microsoft Graph Explorerrel

Az összes előfeltétel konfigurálva van, és tevékenységnapló-lekérdezéseket futtathat a Microsoft Graphban. A Microsoft Graph API-t nem nagy mennyiségű tevékenységadatok lekérésére tervezték. A nagy mennyiségű tevékenységadatok API-val történő lekérése problémákat okozhat a lapozással és a teljesítménnyel kapcsolatban. A TevékenységnaplókHoz tartozó Microsoft Graph-lekérdezésekről további információt a Tevékenységjelentések API áttekintésében talál.

  1. Indítsa el a Microsoft Graph Explorer eszközt.

  2. Válassza ki a profilját, majd válassza az Engedélyek módosítása lehetőséget.

  3. Hozzájárulás a következő szükséges engedélyekhez:

    • AuditLog.Read.All
    • Directory.Read.All
  4. A következő lekérdezések egyikével kezdheti el használni a Microsoft Graphot a tevékenységnaplók eléréséhez:

    • https://graph.microsoft.com/v1.0/auditLogs/directoryAudits LEKÉRÉSE
    • https://graph.microsoft.com/v1.0/auditLogs/signIns LEKÉRÉSE
    • https://graph.microsoft.com/v1.0/auditLogs/provisioning LEKÉRÉSE

    Képernyőkép egy tevékenységnapló GET lekérdezéséről a Microsoft Graphban.

A lekérdezések finomhangolása

Adott tevékenységnapló-bejegyzések kereséséhez használja a $filter és a createdDateTime lekérdezési paramétereket az egyik elérhető tulajdonsággal. Az alábbi lekérdezések némelyike a végpontot beta használja. A bétavégpont változhat, és éles használatra nem ajánlott.

Próbálkozzon a következő lekérdezésekkel:

  • Olyan bejelentkezési kísérletek esetén, ahol a feltételes hozzáférés meghiúsult:

    • https://graph.microsoft.com/v1.0/auditLogs/signIns?$filter=conditionalAccessStatus eq 'failure' LEKÉRÉSE
    • Érdemes lehet dátumszűrőt használni, hogy a kérés ne időtúllépést küldjön.
  • Egy adott alkalmazásba való bejelentkezések megkeresése egy adott időkeretben:

    • https://graph.microsoft.com/v1.0/auditLogs/signIns?$filter=(createdDateTime ge 2024-01-13T14:13:32Z and createdDateTime le 2024-01-14T17:43:26Z) and appId eq 'APP ID' LEKÉRÉSE
  • Nem interaktív bejelentkezések esetén:

    • https://graph.microsoft.com/beta/auditLogs/signIns?$filter=(createdDateTime ge 2024-01-13T14:13:32Z and createdDateTime le 2024-01-14T17:43:26Z) and signInEventTypes/any(t: t eq 'nonInteractiveUser') LEKÉRÉSE
  • Szolgáltatásnév-bejelentkezések esetén:

    • https://graph.microsoft.com/beta/auditLogs/signIns?$filter=(createdDateTime ge 2024-01-13T14:13:32Z and createdDateTime le 2024-01-14T17:43:26Z) and signInEventTypes/any(t: t eq 'servicePrincipal') LEKÉRÉSE
  • Felügyelt identitások bejelentkezése esetén:

    • https://graph.microsoft.com/beta/auditLogs/signIns?$filter=(createdDateTime ge 2024-01-13T14:13:32Z and createdDateTime le 2024-01-14T17:43:26Z) and signInEventTypes/any(t: t eq 'managedIdentity') LEKÉRÉSE
  • A felhasználó hitelesítési módszerének lekérése:

    • https://graph.microsoft.com/beta/users/{userObjectId}/authentication/methods LEKÉRÉSE
    • Engedélyre van szükség UserAuthenticationMethod.Read.All
  • A felhasználóregisztrációs adatok jelentésének megtekintése:

    • https://graph.microsoft.com/beta/reports/authenticationMethods/userRegistrationDetails LEKÉRÉSE
    • Engedélyre van szükség UserAuthenticationMethod.Read.All
  • Az adott felhasználó regisztrációs adatai:

    • https://graph.microsoft.com/beta/reports/authenticationMethods/userRegistrationDetails/{userId} LEKÉRÉSE
    • Engedélyre van szükség UserAuthenticationMethod.Read.All

Ha már ismeri a szabványos bejelentkezési és naplózási naplókat, próbálja meg felderíteni az alábbi API-kat:

Jelentések elérése a Microsoft Graph PowerShell használatával

A PowerShell használatával hozzáférhet a Microsoft Entra jelentéskészítő API-hoz. További információkért tekintse meg a Microsoft Graph PowerShell áttekintését.

Microsoft Graph PowerShell-parancsmagok:

  • Naplók: Get-MgAuditLogDirectoryAudit
  • Bejelentkezési naplók: Get-MgAuditLogSignIn
  • Kiépítési naplók: Get-MgAuditLogProvisioning
  • Ismerkedjen meg a jelentéskészítéssel kapcsolatos Microsoft Graph PowerShell-parancsmagok teljes listájával.

Gyakori hibák

Hiba: Egyik bérlő sem B2C, vagy a bérlő nem rendelkezik prémium licenccel: A bejelentkezési jelentések eléréséhez P1 vagy P2 Microsoft Entra-azonosítójú licencre van szükség. Ha ez a hibaüzenet a bejelentkezések elérésekor jelenik meg, győződjön meg arról, hogy a bérlő p1 Microsoft Entra-azonosítójú licenccel rendelkezik.

Hiba: A felhasználó nem szerepel az engedélyezett szerepkörökben: Ha ez a hibaüzenet jelenik meg, amikor az API-val próbál hozzáférni az auditnaplókhoz vagy a bejelentkezésekhez, győződjön meg arról, hogy a fiókja a Microsoft Entra-bérlő biztonsági olvasó vagy jelentésolvasó szerepkörének része.

Hiba: Az alkalmazás nem rendelkezik a Microsoft Entra "Címtáradatok olvasása" vagy "Az összes naplózási napló adatainak olvasása" engedélyével: Az alkalmazásnak rendelkeznie kell a AuditLog.Read.All tevékenységnaplók Microsoft Graph-tal való eléréséhez szükséges engedéllyel vagy Directory.Read.All engedéllyel.