Apa itu log audit Microsoft Entra?

  • Artikel

Log aktivitas Microsoft Entra mencakup log audit, yang merupakan laporan komprehensif tentang setiap peristiwa yang dicatat di ID Microsoft Entra. Perubahan pada aplikasi, grup, pengguna, dan lisensi semuanya diambil dalam log audit Microsoft Entra.

Dua log aktivitas lainnya juga tersedia untuk membantu memantau kesehatan penyewa Anda:

  • Rincian Masuk - Informasi tentang rincian masuk dan bagaimana sumber daya Anda digunakan oleh pengguna Anda.
  • Provisi – Aktivitas yang dilakukan oleh layanan provisi, seperti pembuatan grup di ServiceNow atau pengguna yang diimpor dari Workday.

Artikel ini memberi Anda gambaran umum tentang log audit, termasuk apa yang diperlukan untuk mengaksesnya dan informasi apa yang mereka berikan.

Persyaratan lisensi dan peran

Peran dan lisensi yang diperlukan bervariasi berdasarkan laporan. Izin terpisah diperlukan untuk mengakses data pemantauan dan kesehatan di Microsoft Graph. Sebaiknya gunakan peran dengan akses hak istimewa paling sedikit untuk menyelaraskan dengan panduan Zero Trust.

Log / Laporan Peran Lisensi
Audit Pembaca Laporan
Pembaca Keamanan
Administrator Keamanan
Pembaca Global
 Semua edisi ID Microsoft Entra
Rincian masuk Pembaca Laporan
Pembaca Keamanan
Administrator Keamanan
Pembaca Global
 Semua edisi ID Microsoft Entra
Penyediaan Pembaca Laporan
Pembaca Keamanan
Administrator Keamanan
Pembaca Global
Operator Keamanan
Administrator Aplikasi
Administrator Aplikasi Cloud
 Microsoft Entra ID P1 atau P2
Log audit atribut keamanan kustom* Administrator Log Atribut
Pembaca Log Atribut		 Semua edisi ID Microsoft Entra
Penggunaan dan wawasan Pembaca Laporan
Pembaca Keamanan
Administrator Keamanan		 Microsoft Entra ID P1 atau P2
Perlindungan Identitas** Administrator Keamanan
Operator Keamanan
Pembaca Keamanan
Pembaca Global
 Microsoft Entra ID Gratis
Aplikasi Microsoft 365
Microsoft Entra ID P1 atau P2
Log aktivitas Microsoft Graph Administrator Keamanan
Izin untuk mengakses data di tujuan log terkait		 Microsoft Entra ID P1 atau P2

*Melihat atribut keamanan kustom di log audit atau membuat pengaturan diagnostik untuk atribut keamanan kustom memerlukan salah satu peran Log Atribut. Anda juga memerlukan peran yang sesuai untuk melihat log audit standar.

**Tingkat akses dan kemampuan untuk Perlindungan Identitas bervariasi menurut peran dan lisensi. Untuk informasi selengkapnya, lihat persyaratan lisensi untuk Perlindungan Identitas.

Apa yang dapat Anda lakukan dengan log audit?

Log audit di MICROSOFT Entra ID menyediakan akses ke catatan aktivitas sistem, sering kali diperlukan untuk kepatuhan. Anda bisa mendapatkan jawaban atas pertanyaan yang terkait dengan pengguna, grup, dan aplikasi.

Pengguna:

  • Jenis perubahan apa yang baru-baru ini diterapkan pada pengguna?
  • Berapa banyak pengguna yang diubah?
  • Berapa banyak kata sandi yang diubah?

Kelompok:

  • Grup apa yang baru saja ditambahkan?
  • Apakah pemilik grup telah diubah?
  • Lisensi apa yang dimaksud dengan grup atau pengguna?

Aplikasi:

  • Aplikasi apa yang, diperbarui, atau dihapus?
  • Apakah perwakilan layanan untuk aplikasi telah berubah?
  • Apakah nama aplikasi telah diubah?

Atribut keamanan kustom:

  • Perubahan apa yang dilakukan pada definisi atau penugasan atribut keamanan kustom?
  • Pembaruan apa yang dibuat untuk set atribut?
  • Nilai atribut kustom apa yang ditetapkan untuk pengguna?

Catatan

Entri dalam log audit dihasilkan sistem dan tidak dapat diubah atau dihapus.

Apa yang ditunjukkan oleh log?

Log audit default ke tab Direktori , yang menampilkan informasi berikut:

  • Tanggal dan waktu kejadian
  • Layanan yang mencatat kejadian
  • Kategori dan nama kegiatan (apa)
  • Status kegiatan (berhasil atau gagal)

Tab kedua untuk Keamanan Kustom menampilkan log audit untuk atribut keamanan kustom. Untuk melihat data pada tab ini, Anda harus memiliki peran Administrator Log Atribut atau Pembaca Log Atribut. Log audit ini menunjukkan semua aktivitas yang terkait dengan atribut keamanan kustom. Untuk informasi selengkapnya, lihat Apa itu atribut keamanan kustom.

Screenshot of the audit logs, with the Directory and Custom Security tabs highlighted.

Log aktivitas Microsoft 365

Anda dapat melihat log aktivitas Microsoft 365 dari pusat admin Microsoft 365. Meskipun aktivitas Microsoft 365 dan log aktivitas Microsoft Entra berbagi banyak sumber daya direktori, hanya pusat admin Microsoft 365 yang menyediakan tampilan penuh log aktivitas Microsoft 365.

Anda juga dapat mengakses log aktivitas Microsoft 365 secara terprogram dengan menggunakan API Pengelolaan Office 365.

Sebagian besar langganan Microsoft 365 mandiri atau bundel memiliki dependensi ujung belakang pada beberapa subsistem di dalam batas pusat data Microsoft 365. Dependensi memerlukan beberapa informasi write-back untuk menjaga direktori tetap sinkron dan pada dasarnya untuk membantu memungkinkan onboarding tanpa kesulitan dalam penyertaan langganan untuk Exchange Online. Untuk write-back ini, entri log audit menunjukkan tindakan yang diambil oleh "Microsoft Substrate Management". Entri log audit ini mengacu pada operasi buat/perbarui/hapus yang dijalankan oleh Exchange Online ke ID Microsoft Entra. Entri ini bersifat informatif dan tidak memerlukan tindakan apa pun.