Auditlogboeken in Azure Active Directory

Activiteitenlogboeken van Azure Active Directory (Azure AD) bevatten auditlogboeken. Dit is een uitgebreid rapport over elke geregistreerde gebeurtenis in Azure AD. Wijzigingen in toepassingen, groepen, gebruikers en licenties worden allemaal vastgelegd in de Azure AD-auditlogboeken.

Er zijn ook twee andere activiteitenlogboeken beschikbaar om de status van uw tenant te bewaken:

  • Aanmeldingen: informatie over aanmeldingen en hoe uw resources door uw gebruikers worden gebruikt.
  • Inrichten – activiteiten die worden uitgevoerd door de inrichtingsservice, zoals het maken van een groep in ServiceNow of een gebruiker die is geïmporteerd uit Workday.

Dit artikel biedt een overzicht van de auditlogboeken.

Wat is het?

Auditlogboeken in Azure AD bieden toegang tot systeemactiviteitsrecords, die vaak nodig zijn voor naleving. Dit logboek is gecategoriseerd op gebruikers-, groeps- en toepassingsbeheer.

De gebruikersgerichte weergave biedt u antwoorden op vragen zoals:

  • Welke soorten updates zijn toegepast op de gebruikers?

  • Hoeveel gebruikers zijn gewijzigd?

  • Hoeveel wachtwoorden zijn gewijzigd?

  • Wat heeft een beheerder in een directory gedaan?

De groepsgerichte weergave biedt u antwoorden op vragen zoals:

  • Welke groepen zijn toegevoegd?

  • Zijn er groepen met wijzigingen in het lidmaatschap?

  • Zijn de eigenaren van een groep gewijzigd?

  • Welke licenties zijn toegewezen aan een groep of een gebruiker?

De toepassingsgerichte weergave biedt u antwoorden op vragen zoals:

  • Welke toepassingen zijn toegevoegd of bijgewerkt?

  • Welke toepassingen zijn verwijderd?

  • Is de service-principal van een toepassing gewijzigd?

  • Zijn de namen van toepassingen gewijzigd?

  • Wie heeft toestemming gegeven voor een toepassing?

Hoe krijg ik er toegang toe?

Het audit activiteitenrapport is beschikbaar in alle edities van Azure AD. Voor toegang tot de auditlogboeken moet u een van de volgende rollen hebben:

  • Rapportlezer
  • Beveiligingslezer
  • Beveiligingsbeheer
  • Algemene lezer
  • Hoofdbeheerder

Meld u aan bij Azure Portal, ga naar Azure AD en selecteer Auditlogboek in de sectie Bewaking .

U kunt het auditlogboek ook openen via de Microsoft Graph API.

Wat wordt in de logboeken weergegeven?

Auditlogboeken hebben een standaardlijstweergave die het volgende weergeven:

  • Datum en tijd waarop de gebeurtenis is opgetreden
  • De service die het exemplaar heeft gelogd
  • Categorie en naam van de activiteit (wat)
  • De status van de activiteit (geslaagd of mislukt)
  • Doel
  • De initiator/actor van een activiteit (wie)

U kunt de lijstweergave aanpassen en filteren door op de knop Kolommen in de werkbalk te klikken. Als u de kolommen bewerkt, kunt u velden toevoegen aan of verwijderen uit de weergave.

Schermopname van beschikbare velden.

Auditlogboeken filteren

U kunt de controlegegevens filteren met behulp van de opties die zichtbaar zijn in uw lijst, zoals datumbereik, service, categorie en activiteit.

Schermopname van het servicefilter.

  • Service: standaard alle beschikbare services, maar u kunt de lijst filteren op een of meer door een optie te selecteren in de vervolgkeuzelijst.

  • Categorie: standaard ingesteld op alle categorieën, maar kan worden gefilterd om de activiteitscategorie weer te geven, zoals het wijzigen van een beleid of het activeren van een in aanmerking komende Azure AD-rol.

  • Activiteit: Op basis van de selectie van het resourcetype categorie en activiteit dat u maakt. U kunt een specifieke activiteit of alle activiteiten selecteren.

    U kunt de lijst weergeven van alle Auditactiviteiten met behulp van de Graph API: https://graph.windows.net/<tenantdomain>/activities/auditActivityTypesV2?api-version=beta

  • Status: Hiermee kunt u het resultaat bekijken op basis van of de activiteit is geslaagd of mislukt.

  • Doel: Hiermee kunt u zoeken naar het doel of de ontvanger van een activiteit. Zoek op de eerste paar letters van een naam of UPN (User Principal Name). De doelnaam en UPN zijn hoofdlettergevoelig.

  • Gestart door: Hiermee kunt u zoeken op wie de activiteit heeft gestart met behulp van de eerste paar letters van hun naam of UPN. De naam en UPN zijn hoofdlettergevoelig.

  • Datumbereik: hiermee kunt u een tijdsbestek definiëren voor de geretourneerde gegevens. U kunt zoeken in de afgelopen 7 dagen, 24 uur of een aangepast bereik. Wanneer u een aangepast tijdsbestek selecteert, kunt u een begintijd en eindtijd configureren.

    U kunt er ook voor kiezen de gefilterde gegevens, maximaal 250.000 records, te downloaden door de knop Downloaden te selecteren. U kunt de logboeken downloaden in CSV- of JSON-indeling. Het aantal records dat u kunt downloaden is beperkt door het Azure Active Directory-rapport retentiebeleid.

    Schermopname van de optie gegevens downloaden.

Microsoft 365-activiteitenlogboeken

U kunt activiteitenlogboeken van Microsoft 365 weergeven via het Microsoft 365-beheercentrum. Hoewel microsoft 365-activiteitenlogboeken en Azure AD-activiteitenlogboeken veel directory-resources delen, biedt alleen het Microsoft 365-beheercentrum een volledig overzicht van de Microsoft 365-activiteitenlogboeken.

U kunt de Activiteitenlogboeken van Microsoft 365 ook programmatisch openen met behulp van de Office 365 Management-API's.

Notitie

De meeste zelfstandige of gebundelde Microsoft 365-abonnementen hebben back-endafhankelijkheden op sommige subsystemen binnen de grenzen van het Microsoft 365-datacenter. Voor de afhankelijkheden is het terugschrijven van gegevens vereist om mappen gesynchroniseerd te houden en, in essentie, een probleemloze onboarding mogelijk te maken in een abonnement opt-in voor Exchange Online. Voor deze write-backs geven auditlogboekvermeldingen acties weer die zijn uitgevoerd door 'Microsoft Substrate Management'. Deze vermeldingen in het auditlogboek verwijzen naar maken/bijwerken/verwijderen bewerkingen uitgevoerd door Exchange Online in Azure AD. De vermeldingen zijn informatief en vereisen geen actie.

Volgende stappen