Apa itu log audit Microsoft Entra?
Log aktivitas Microsoft Entra mencakup log audit, yang merupakan laporan komprehensif tentang setiap peristiwa yang dicatat di ID Microsoft Entra. Perubahan pada aplikasi, grup, pengguna, dan lisensi semuanya diambil dalam log audit Microsoft Entra.
Dua log aktivitas lainnya juga tersedia untuk membantu memantau kesehatan penyewa Anda:
- Rincian masuk – Informasi tentang rincian masuk dan bagaimana sumber daya Anda digunakan oleh pengguna Anda.
- Provisi – Aktivitas yang dilakukan oleh layanan provisi, seperti pembuatan grup di ServiceNow atau pengguna yang diimpor dari Workday.
Artikel ini memberi Anda gambaran umum tentang log audit, termasuk apa yang diperlukan untuk mengaksesnya dan informasi apa yang mereka berikan.
Persyaratan lisensi dan peran
Peran dan lisensi yang diperlukan bervariasi berdasarkan laporan. Izin terpisah diperlukan untuk mengakses data pemantauan dan kesehatan di Microsoft Graph. Sebaiknya gunakan peran dengan akses hak istimewa paling sedikit untuk menyelaraskan dengan panduan Zero Trust. Untuk daftar lengkap peran, lihat Peran dengan hak istimewa terkecil menurut tugas.
Log / Laporan | Peran | Lisensi |
---|---|---|
Log audit | Pembaca Laporan Pembaca Keamanan Administrator Keamanan |
Semua edisi ID Microsoft Entra |
Log masuk | Pembaca Laporan Pembaca Keamanan Administrator Keamanan |
Semua edisi ID Microsoft Entra |
Log provisi | Pembaca Laporan Pembaca Keamanan Administrator Aplikasi Administrator Aplikasi Cloud |
Microsoft Entra ID P1 atau P2 |
Log audit atribut keamanan kustom* | Administrator Log Atribut Pembaca Log Atribut |
Semua edisi ID Microsoft Entra |
Kesehatan | Pembaca Laporan Pembaca Keamanan Helpdesk Administrator |
Microsoft Entra ID P1 atau P2 |
Perlindungan ID Microsoft Entra** | Administrator Keamanan Operator Keamanan Pembaca Keamanan Pembaca Global |
Microsoft Entra ID Gratis Aplikasi Microsoft 365 Microsoft Entra ID P1 atau P2 |
Log aktivitas Microsoft Graph | Administrator Keamanan Izin untuk mengakses data di tujuan log terkait |
Microsoft Entra ID P1 atau P2 |
Penggunaan dan wawasan | Pembaca Laporan Pembaca Keamanan Administrator Keamanan |
Microsoft Entra ID P1 atau P2 |
*Melihat atribut keamanan kustom di log audit atau membuat pengaturan diagnostik untuk atribut keamanan kustom memerlukan salah satu peran Log Atribut. Anda juga memerlukan peran yang sesuai untuk melihat log audit standar.
**Tingkat akses dan kemampuan untuk Microsoft Entra ID Protection bervariasi menurut peran dan lisensi. Untuk informasi selengkapnya, lihat persyaratan lisensi untuk Perlindungan ID.
Apa yang dapat Anda lakukan dengan log audit?
Log audit di MICROSOFT Entra ID menyediakan akses ke catatan aktivitas sistem, sering kali diperlukan untuk kepatuhan. Anda bisa mendapatkan jawaban atas pertanyaan yang terkait dengan pengguna, grup, dan aplikasi.
Pengguna:
- Jenis perubahan apa yang baru-baru ini diterapkan pada pengguna?
- Berapa banyak pengguna yang diubah?
- Berapa banyak kata sandi yang diubah?
Kelompok:
- Grup apa yang baru saja ditambahkan?
- Apakah pemilik grup telah diubah?
- Lisensi apa yang dimaksud dengan grup atau pengguna?
Aplikasi:
- Aplikasi apa yang, diperbarui, atau dihapus?
- Apakah perwakilan layanan untuk aplikasi berubah?
- Apakah nama aplikasi telah diubah?
Atribut keamanan kustom:
- Perubahan apa yang dilakukan pada definisi atau penugasan atribut keamanan kustom?
- Pembaruan apa yang dibuat untuk set atribut?
- Nilai atribut kustom apa yang ditetapkan untuk pengguna?
Nota
Entri dalam log audit dihasilkan sistem dan tidak dapat diubah atau dihapus.
Apa yang ditampilkan log?
Log audit default ke tab Direktori , yang menampilkan informasi berikut:
- Tanggal dan waktu kemunculan
- Layanan yang mencatat kemunculan
- Kategori dan nama aktivitas (apa)
- Status aktivitas (berhasil atau gagal)
Tab kedua untuk Keamanan Kustom menampilkan log audit untuk atribut keamanan kustom. Untuk melihat data pada tab ini, Anda harus memiliki peran Administrator Log Atribut atau Pembaca Log Atribut. Log audit ini menunjukkan semua aktivitas yang terkait dengan atribut keamanan kustom. Untuk informasi selengkapnya, lihat Apa itu atribut keamanan kustom.
Log aktivitas Microsoft 365
Anda dapat melihat log aktivitas Microsoft 365 dari pusat admin Microsoft 365. Meskipun aktivitas Microsoft 365 dan log aktivitas Microsoft Entra berbagi banyak sumber daya direktori, hanya pusat admin Microsoft 365 yang menyediakan tampilan penuh log aktivitas Microsoft 365.
Anda juga dapat mengakses log aktivitas Microsoft 365 secara terprogram dengan menggunakan API Manajemen Office 365.
Sebagian besar langganan Microsoft 365 mandiri atau dibundel memiliki dependensi back-end pada beberapa subsistem dalam batas pusat data Microsoft 365. Dependensi memerlukan beberapa penulisan kembali informasi untuk menjaga direktori tetap sinkron dan pada dasarnya untuk membantu mengaktifkan onboarding bebas repot dalam keikutsertaan langganan untuk Exchange Online. Untuk write-back ini, entri log audit menunjukkan tindakan yang diambil oleh "Microsoft Substrate Management". Entri log audit ini mengacu pada operasi buat/perbarui/hapus yang dijalankan oleh Exchange Online ke ID Microsoft Entra. Entri bersifat informasi dan tidak memerlukan tindakan apa pun.