Esaminare e monitorare i log di controllo di Microsoft Entra
Log di audit
I log di controllo di Azure AD forniscono i record delle attività di sistema per la conformità. Per accedere ai log di controllo, selezionare Log di controllo nella sezione Monitoraggio di Microsoft Entra ID.
Un log di controllo ha una visualizzazione elenco predefinita che mostra:
Data e ora in cui si è verificato l'evento
Servizio che ha registrato l'evento
Categoria e nome dell'attività (cosa)
Stato dell'attività (operazione riuscita o non riuscita)
Destinazione
Iniziatore/attore di un'attività (chi)
Per personalizzare la visualizzazione elenco, fare clic su Colonne nella barra degli strumenti.
In questo modo è possibile visualizzare campi aggiuntivi o rimuovere campi già visualizzati.
Selezionare un elemento nella visualizzazione elenco per ottenere maggiori informazioni dettagliate.
Filtro dei log di controllo
È possibile filtrare i dati di controllo in base ai campi seguenti:
Servizioo
Categoria
Attività
Stato
Destinazione
Azione avviata da (attore)
Intervallo di date
Il filtro Servizio consente di selezionare uno dei servizi seguenti da un elenco a discesa:
- Tutte le date
- Esperienza utente di gestione di Microsoft Entra
- Verifiche di accesso
- Provisioning degli account
- Proxy dell'applicazione
- Metodi di autenticazione
- B2C
- Accesso condizionale
- Directory principale
- Gestione entitlement
- Autenticazione ibrida
- Identity Protection
- Utenti invitati
- Servizio MIM
- MyApps
- PIM
- Gestione gruppi self-service
- Gestione delle password self-service
- Condizioni per l'utilizzo
Il filtro Categoria permette di selezionare uno dei filtri seguenti:
- Tutte le date
- Unità amministrativa
- ApplicationManagement
- Autenticazione
- Autorizzazione
- Contatto
- Dispositivo
- DeviceConfiguration
- DirectoryManagement
- EntitlementManagement
- GroupManagement
- KerberosDomain
- KeyManagement
- Etichetta
- Altro
- PermissionGrantPolicy
- Criteri
- ResourceManagement
- RoleManagement
- UserManagement
Il filtro Attività si basa sulla categoria e sul tipo di risorsa attività selezionati. È possibile selezionare un'attività specifica da visualizzare o selezionarle tutte.
È possibile ottenere l'elenco di tutte le attività di controllo tramite l'API Graph: https://graph.windows.net/<tenantdomain>/activities/auditActivityTypesV2?api-version=beta
Il filtro Stato consente di filtrare in base allo stato di un'operazione di controllo. Lo stato può essere uno dei seguenti:
- Tutte le date
- Riuscita
- Errore
Il filtro Destinazione consente di cercare una determinata destinazione in base all'inizio del nome o del nome dell'entità utente (UPN). Il nome e l'UPN di destinazione fanno distinzione tra maiuscole e minuscole.
Il filtro Avviato da permette di definire l'inizio del nome di un attore o di un nome dell'entità utente (UPN). Il nome e l'UPN fanno distinzione tra maiuscole e minuscole.
Il filtro Intervallo di date permette di definire un intervallo di tempo per i dati restituiti. I valori possibili sono:
- 7 giorni
- 24 ore
- Personalizzazione
Quando si seleziona un intervallo di tempo personalizzato, è possibile configurare un'ora di inizio e un'ora di fine.
Si può anche scegliere di scaricare i dati filtrati, fino a 250.000 record, selezionando il pulsante Scarica. I log possono essere scaricati in formato CSV o JSON. Il numero di record che è possibile scaricare è vincolato dai criteri di conservazione dei report di Microsoft Entra.
Collegamenti ai log di controllo
Oltre ad Microsoft Entra ID, il portale di Azure offre due ulteriori punti di ingresso ai dati di controllo:
- Utenti e gruppi
- Applicazioni aziendali
Log di controllo di utenti e gruppi
Con i report di controllo basati su utenti e gruppi, è possibile ottenere risposte a domande come:
- Quali tipi di aggiornamenti sono stati applicati agli utenti?
- Quanti utenti sono stati modificati?
- Quante password sono state modificate?
- Quali operazioni ha eseguito un amministratore in una directory?
- Quali sono i gruppi che sono stati aggiunti?
- Sono presenti gruppi con modifiche all'appartenenza?
- I proprietari di un gruppo sono stati cambiati?
- Quali licenze sono state assegnate a un gruppo o a un utente?
Per esaminare solo i dati di controllo relativi agli utenti, è possibile trovare una visualizzazione filtrata in Log di controllo nella sezione Monitoraggio della scheda Utenti. Questo punto di ingresso ha UserManagement come categoria preselezionata.
Per esaminare solo i dati di controllo relativi ai gruppi, è possibile trovare una visualizzazione filtrata in Log di controllo nella sezione Monitoraggio della scheda Gruppi. Questo punto di ingresso ha GroupManagement come categoria preselezionata.
Log di controllo di applicazioni aziendali
Con i report di controllo basati sulle applicazioni, è possibile ottenere risposte a domande come:
- Quali applicazioni sono state aggiunte o aggiornate?
- Quali applicazioni sono state rimosse?
- Un'entità servizio per un'applicazione è stata modificata?
- I nomi delle applicazioni sono stati modificati?
- Chi ha dato il consenso a un'applicazione?
Per esaminare i dati di controllo relativi alle applicazioni, è disponibile una visualizzazione filtrata in Log di controllo nella sezione Attività della schermata Applicazioni aziendali. Per questo punto di ingresso è preselezionato il valore Applicazioni aziendali come Tipo applicazione.
Log attività di Microsoft 365
È possibile visualizzare i log attività di Microsoft 365 dall'interfaccia di amministrazione di Microsoft 365. Sebbene i log attività di Microsoft 365 e di Microsoft Entra condividano numerose risorse della directory, solo l'interfaccia di amministrazione di Microsoft 365 consente una visualizzazione completa dei log attività di Microsoft 365. È possibile accedere ai log attività di Microsoft 365 anche a livello di codice tramite le API di gestione di Office 365.