Wat zijn Auditlogboeken van Microsoft Entra?
Microsoft Entra-activiteitenlogboeken bevatten auditlogboeken. Dit is een uitgebreid rapport over elke geregistreerde gebeurtenis in Microsoft Entra-id. Wijzigingen in toepassingen, groepen, gebruikers en licenties worden allemaal vastgelegd in de Auditlogboeken van Microsoft Entra.
Er zijn ook twee andere activiteitenlogboeken beschikbaar om de status van uw tenant te bewaken:
- Aanmeldingen: informatie over aanmeldingen en hoe uw resources door uw gebruikers worden gebruikt.
- Inrichten – activiteiten die worden uitgevoerd door de inrichtingsservice, zoals het maken van een groep in ServiceNow of een gebruiker die is geïmporteerd uit Workday.
In dit artikel vindt u een overzicht van de auditlogboeken, waaronder wat er nodig is om ze te openen en welke informatie ze verstrekken.
Licentie- en rolvereisten
De vereiste rollen en licenties variëren op basis van het rapport. Afzonderlijke machtigingen zijn vereist voor toegang tot bewakings- en statusgegevens in Microsoft Graph. We raden u aan een rol met minimale toegangsrechten te gebruiken om te voldoen aan de richtlijnen voor Zero Trust.
| Logboek/rapport | Rollen | Licenties |
|---|---|---|
| Audit | Rapportlezer Beveiligingslezer Beveiligingsbeheerder Globale lezer |
Alle edities van Microsoft Entra ID |
| Aanmeldingen | Rapportlezer Beveiligingslezer Beveiligingsbeheerder Globale lezer |
Alle edities van Microsoft Entra ID |
| Inrichting | Rapportlezer Beveiligingslezer Beveiligingsbeheerder Globale lezer Beveiligingsoperator Toepassingsbeheerder Cloud App Beheer istrator |
Microsoft Entra ID P1 of P2 |
| Auditlogboeken voor aangepaste beveiligingskenmerken* | Kenmerklogboek Beheer istrator Kenmerklogboeklezer |
Alle edities van Microsoft Entra ID |
| Gebruik en inzichten | Rapportlezer Beveiligingslezer Beveiligingsbeheerder |
Microsoft Entra ID P1 of P2 |
| Identity Protection** | Beveiligingsbeheerder Beveiligingsoperator Beveiligingslezer Globale lezer |
Microsoft Entra ID Free Microsoft 365 Apps Microsoft Entra ID P1 of P2 |
| Activiteitenlogboeken van Microsoft Graph | Beveiligingsbeheerder Machtigingen voor toegang tot gegevens in de bijbehorende logboekbestemming |
Microsoft Entra ID P1 of P2 |
*Voor het weergeven van de aangepaste beveiligingskenmerken in de auditlogboeken of het maken van diagnostische instellingen voor aangepaste beveiligingskenmerken is een van de kenmerklogboekrollen vereist. U hebt ook de juiste rol nodig om de standaardcontrolelogboeken weer te geven.
**Het toegangsniveau en de mogelijkheden voor Identity Protection zijn afhankelijk van de rol en licentie. Zie de licentievereisten voor Identity Protection voor meer informatie.
Wat kunt u doen met auditlogboeken?
Auditlogboeken in Microsoft Entra ID bieden toegang tot systeemactiviteitsrecords, die vaak nodig zijn voor naleving. U kunt antwoorden krijgen op vragen met betrekking tot gebruikers, groepen en toepassingen.
Gebruikers:
- Welke typen wijzigingen zijn onlangs toegepast op gebruikers?
- Hoeveel gebruikers zijn gewijzigd?
- Hoeveel wachtwoorden zijn gewijzigd?
Groepen:
- Welke groepen zijn onlangs toegevoegd?
- Zijn de eigenaren van een groep gewijzigd?
- Welke licenties zijn voor een groep of een gebruiker?
Toepassingen:
- Welke toepassingen zijn bijgewerkt of verwijderd?
- Is de service-principal van een toepassing gewijzigd?
- Zijn de namen van toepassingen gewijzigd?
Aangepaste beveiligingskenmerken:
- Welke wijzigingen zijn aangebracht in definities of toewijzingen van aangepaste beveiligingskenmerken ?
- Welke updates zijn aangebracht in kenmerksets?
- Welke aangepaste kenmerkwaarden zijn toegewezen aan een gebruiker?
Notitie
Vermeldingen in de auditlogboeken worden door het systeem gegenereerd en kunnen niet worden gewijzigd of verwijderd.
Wat wordt in de logboeken weergegeven?
Auditlogboeken zijn standaard ingesteld op het tabblad Map , waarin de volgende informatie wordt weergegeven:
- Datum en tijd waarop de gebeurtenis is opgetreden
- De service die het exemplaar heeft gelogd
- Categorie en naam van de activiteit (wat)
- De status van de activiteit (geslaagd of mislukt)
Op een tweede tabblad voor Aangepaste beveiliging worden auditlogboeken weergegeven voor aangepaste beveiligingskenmerken. Als u gegevens op dit tabblad wilt weergeven, moet u de rol Kenmerklogboek Beheer istrator of Kenmerklogboeklezer hebben. Dit auditlogboek toont alle activiteiten met betrekking tot aangepaste beveiligingskenmerken. Zie Wat zijn aangepaste beveiligingskenmerken voor meer informatie.
Microsoft 365-activiteitenlogboeken
U kunt activiteitenlogboeken van Microsoft 365 weergeven via het Microsoft 365-beheercentrum. Hoewel activiteitenlogboeken van Microsoft 365 en Microsoft Entra veel directory-resources delen, biedt alleen de Microsoft 365-beheercentrum een volledig overzicht van de Microsoft 365-activiteitenlogboeken.
U kunt de Activiteitenlogboeken van Microsoft 365 ook programmatisch openen met behulp van de Office 365 Management-API's.
De meeste zelfstandige of gebundelde Microsoft 365-abonnementen hebben back-endafhankelijkheden op sommige subsystemen binnen de grenzen van het Microsoft 365-datacenter. Voor de afhankelijkheden is het terugschrijven van gegevens vereist om mappen gesynchroniseerd te houden en, in essentie, een probleemloze onboarding mogelijk te maken in een abonnement opt-in voor Exchange Online. Voor deze write-backs geven auditlogboekvermeldingen acties weer die zijn uitgevoerd door 'Microsoft Substrate Management'. Deze vermeldingen in het auditlogboek verwijzen naar bewerkingen voor maken/bijwerken/verwijderen die worden uitgevoerd door Exchange Online naar Microsoft Entra-id. De vermeldingen zijn informatief en vereisen geen actie.