Activiteitenlogboeken analyseren met Microsoft Graph

De Rapportage-API's van Microsoft Entra bieden u programmatische toegang tot de gegevens via een set REST API's. U kunt deze API's aanroepen vanuit veel programmeertalen en hulpprogramma's. De Microsoft Graph API is niet ontworpen voor het ophalen van grote hoeveelheden activiteitsgegevens. Het ophalen van grote hoeveelheden activiteitsgegevens met behulp van de API kan leiden tot problemen met paginering en prestaties.

In dit artikel wordt beschreven hoe u activiteitenlogboeken van Microsoft Entra kunt analyseren met Microsoft Graph Explorer en Microsoft Graph PowerShell.

Vereisten

• Zie Microsoft Entra-bewaking en statuslicenties voor licentie- en rolvereisten.
• Als u toestemming wilt geven voor de vereiste machtigingen, hebt u de Global Beheer istrator nodig.

Als u aanvragen wilt indienen bij de Microsoft Graph API, moet u eerst het volgende doen:

• Uw app registreren
• Verificatietokens ophalen voor een gebruiker of service

Rapporten openen met Microsoft Graph Explorer

Als alle vereisten zijn geconfigureerd, kunt u query's voor activiteitenlogboeken uitvoeren in Microsoft Graph. Zie overzicht van de API voor activiteitenrapporten voor meer informatie over Microsoft Graph-query's voor activiteitenlogboeken.

1. Start het hulpprogramma Microsoft Graph Explorer.

2. Selecteer uw profiel en selecteer vervolgens Machtigingen wijzigen.

3. Toestemming voor de volgende vereiste machtigingen:

   • AuditLog.Read.All
   • Directory.Read.All

4. Gebruik een van de volgende query's om Microsoft Graph te gebruiken voor toegang tot activiteitenlogboeken:

   • GET https://graph.microsoft.com/v1.0/auditLogs/directoryAudits
   • GET https://graph.microsoft.com/v1.0/auditLogs/signIns
   • GET https://graph.microsoft.com/v1.0/auditLogs/provisioning

   

Uw query's verfijnen

Als u wilt zoeken naar specifieke vermeldingen in het activiteitenlogboek, gebruikt u de $filter- en createdDateTime-queryparameters met een van de beschikbare eigenschappen. Voor sommige van de volgende query's wordt het beta eindpunt gebruikt. Het bèta-eindpunt kan worden gewijzigd en wordt niet aanbevolen voor productiegebruik.

• Eigenschappen van aanmeldingslogboek
• Eigenschappen van auditlogboek

Gebruik de volgende query's:

• Voor aanmeldingspogingen waarbij voorwaardelijke toegang is mislukt:

  • GET https://graph.microsoft.com/v1.0/auditLogs/signIns?&$filter=conditionalAccessStatus eq 'failure'

• Aanmeldingen zoeken naar een specifieke toepassing:

  • GET https://graph.microsoft.com/v1.0/auditLogs/signIns?&$filter=(createdDateTime ge 2024-01-13T14:13:32Z and createdDateTime le 2024-01-14T17:43:26Z) and appId eq 'APP ID'

• Voor niet-interactieve aanmeldingen:

  • GET https://graph.microsoft.com/beta/auditLogs/signIns?&$filter=(createdDateTime ge 2024-01-13T14:13:32Z and createdDateTime le 2024-01-14T17:43:26Z) and signInEventTypes/any(t: t eq 'nonInteractiveUser')

• Voor aanmeldingen van service-principals:

  • GET https://graph.microsoft.com/beta/auditLogs/signIns?&$filter=(createdDateTime ge 2024-01-13T14:13:32Z and createdDateTime le 2024-01-14T17:43:26Z) and signInEventTypes/any(t: t eq 'servicePrincipal')

• Voor aanmeldingen voor beheerde identiteiten:

  • GET https://graph.microsoft.com/beta/auditLogs/signIns?&$filter=(createdDateTime ge 2024-01-13T14:13:32Z and createdDateTime le 2024-01-14T17:43:26Z) and signInEventTypes/any(t: t eq 'managedIdentity')

• De verificatiemethode van een gebruiker ophalen:

  • GET https://graph.microsoft.com/beta/users/{userObjectId}/authentication/methods
  • Hiervoor is een machtiging vereist UserAuthenticationMethod.Read.All

• Ga als volgende te werk om het rapport met gebruikersregistratiegegevens weer te geven:

  • GET https://graph.microsoft.com/beta/reports/authenticationMethods/userRegistrationDetails
  • Hiervoor is een machtiging vereist UserAuthenticationMethod.Read.All

• Voor de registratiedetails van een specifieke gebruiker:

  • GET https://graph.microsoft.com/beta/reports/authenticationMethods/userRegistrationDetails/{userId}
  • Hiervoor is een machtiging vereist UserAuthenticationMethod.Read.All

Gerelateerde API's

Zodra u bekend bent met de standaardlogboeken voor aanmelden en auditlogboeken, kunt u deze andere API's verkennen:

• Identity Protection-API's
• API voor inrichtingslogboeken

Rapporten openen met Microsoft Graph PowerShell

U kunt PowerShell gebruiken voor toegang tot de Rapportage-API van Microsoft Entra. Zie het overzicht van Microsoft Graph PowerShell voor meer informatie.

Microsoft Graph PowerShell-cmdlets:

• AuditlogboekenGet-MgAuditLogDirectoryAudit:
• AanmeldingslogboekenGet-MgAuditLogSignIn:
• Inrichtingslogboeken:Get-MgAuditLogProvisioning
• Bekijk de volledige lijst met rapportagegerelateerde Microsoft Graph PowerShell-cmdlets.

Algemene fouten

Fout: Geen van beide tenants is B2C of tenant heeft geen Premium-licentie: voor toegang tot aanmeldingsrapporten is een Microsoft Entra ID P1- of P2-licentie vereist. Als u dit foutbericht ziet tijdens het openen van aanmeldingen, controleert u of uw tenant een licentie heeft met een Microsoft Entra ID P1-licentie.

Fout: Gebruiker bevindt zich niet in de toegestane rollen: als u dit foutbericht ziet tijdens het openen van auditlogboeken of aanmeldingen met behulp van de API, moet u ervoor zorgen dat uw account deel uitmaakt van de rol Beveiligingslezer of Rapportlezer in uw Microsoft Entra-tenant.

Fout: De toepassing ontbreekt microsoft Entra ID 'Mapgegevens lezen' of 'Alle auditlogboekgegevens lezen': de toepassing moet de AuditLog.Read.All of Directory.Read.All machtiging hebben om toegang te krijgen tot de activiteitenlogboeken met Microsoft Graph.

Volgende stappen

• Aan de slag met Microsoft Entra ID Protection en Microsoft Graph
• Audit API-verwijzing
• Naslaginformatie over API-aanmelding