Auditlogboeken in Azure Active Directory

Als IT-beheerder wilt u weten hoe het gaat met uw IT-omgeving. Met de informatie over de status van uw systeem kunt u beoordelen of en hoe u moet reageren op potentiële problemen.

Om u te ondersteunen met dit doel, biedt de Azure Active Directory-portal u toegang tot drie activiteitenlogboeken:

  • Aanmeldingen: informatie over aanmeldingen en hoe uw resources worden gebruikt door uw gebruikers.
  • Controle : informatie over wijzigingen die zijn toegepast op uw tenant, zoals gebruikers en groepsbeheer of updates die zijn toegepast op de resources van uw tenant.
  • Inrichten : activiteiten die worden uitgevoerd door de inrichtingsservice, zoals het maken van een groep in ServiceNow of een gebruiker die is geïmporteerd uit Workday.

In dit artikel vindt u een overzicht van de auditlogboeken.

Wat is het?

Met de auditlogboeken in Azure AD krijgt u toegang tot records van systeemactiviteiten voor naleving. De meest voorkomende weergaven van dit logboek zijn gebaseerd op de volgende categorieën:

  • Gebruikersbeheer

  • Groepsbeheer

  • Toepassingsbeheer

Met een gebruikersgerichte weergave kunt u antwoorden krijgen op vragen zoals:

  • Welke typen updates zijn toegepast op gebruikers?

  • Hoeveel gebruikers zijn gewijzigd?

  • Hoeveel wachtwoorden zijn gewijzigd?

  • Wat heeft een beheerder in een directory gedaan?

Met een groepsgerichte weergave kunt u antwoorden krijgen op vragen zoals:

  • Welke groepen zijn toegevoegd?

  • Zijn er groepen met wijzigingen in het lidmaatschap?

  • Zijn de eigenaren van een groep gewijzigd?

  • Welke licenties zijn toegewezen aan een groep of een gebruiker?

Met een toepassingsgerichte weergave kunt u antwoorden krijgen op vragen zoals:

  • Welke toepassingen zijn toegevoegd of bijgewerkt?

  • Welke toepassingen zijn verwijderd?

  • Is een service-principal voor een toepassing gewijzigd?

  • Zijn de namen van toepassingen gewijzigd?

  • Wie heeft toestemming gegeven voor een toepassing?

Welke licentie heb ik nodig?

Het controleactiviteitsrapport is beschikbaar in alle edities van Azure AD.

Wie heeft er toegang toe?

Voor toegang tot de auditlogboeken moet u een van de volgende rollen hebben:

  • Beveiligingsbeheer
  • Beveiligingslezer
  • Rapportlezer
  • Algemene lezer
  • Hoofdbeheerder

Waar kan ik dit vinden?

Azure Portal biedt u verschillende opties voor toegang tot het logboek. In het menu Van Azure Active Directory kunt u bijvoorbeeld het logboek openen in de sectie Bewaking .

Open audit logs

Daarnaast kunt u rechtstreeks naar de auditlogboeken gaan met behulp van deze koppeling.

U kunt het auditlogboek ook openen via de Microsoft Graph API.

Wat is de standaardweergave?

Een controlelogboek heeft een standaardlijstweergave die het volgende laat zien:

  • de datum en tijd van de gebeurtenis
  • de service die het exemplaar heeft geregistreerd
  • de categorie en naam van de activiteit (wat)
  • de status van de activiteit (geslaagd of mislukt)
  • het doel
  • de initiator/actor (wie) van een activiteit

Audit logs

U kunt de lijstweergave aanpassen door te klikken op Kolommen op de werkbalk.

Audit columns

Hiermee kunt u extra velden weergeven of velden verwijderen die al worden weergegeven.

Remove fields

Selecteer een item in de lijstweergave voor meer gedetailleerde informatie.

select item

Auditlogboeken filteren

U kunt de controlegegevens filteren op de volgende velden:

  • Service
  • Categorie
  • Activiteit
  • Status
  • Doel
  • Gestart door (actor)
  • Datumbereik

Filter object

Met het servicefilter kunt u kiezen uit een vervolgkeuzelijst met de volgende services:

  • Alles
  • UX voor AAD-beheer
  • Toegangsbeoordelingen
  • Account inrichten
  • Toepassingsproxy
  • Verificatiemethoden
  • B2C
  • Voorwaardelijke toegang
  • Hoofddirectory
  • Rechtenbeheer
  • Hybride verificatie
  • Identiteitsbeveiliging
  • Uitgenodigde gebruikers
  • MIM-service
  • MyApps
  • PIM
  • Self-service voor groepsbeheer
  • Self-service voor wachtwoordbeheer
  • Gebruiksvoorwaarden

Met het filter Categorie kunt u een van de volgende filters selecteren:

  • Alles
  • AdministrativeUnit
  • ApplicationManagement
  • Verificatie
  • Autorisatie
  • Contactpersoon
  • Apparaat
  • DeviceConfiguration
  • DirectoryManagement
  • EntitlementManagement
  • GroupManagement
  • KerberosDomain
  • KeyManagement
  • Label
  • Anders
  • PermissionGrantPolicy
  • Beleid
  • ResourceManagement
  • RoleManagement
  • UserManagement

Het activiteitsfilter is gebaseerd op de selectie van categorie- en activiteitsresourcetypen die u maakt. U kunt een specifieke activiteit of alle activiteiten selecteren.

U kunt de lijst met alle controleactiviteiten ophalen met behulp van de Graph API: https://graph.windows.net/<tenantdomain>/activities/auditActivityTypesV2?api-version=beta

Met het statusfilter kunt u filteren op basis van de status van een controlebewerking. De status kan een van de volgende zijn:

  • Alles
  • Geslaagd
  • Fout

Met het doelfilter kunt u zoeken naar een bepaald doel door de naam of UPN (User Principal Name) te starten. De doelnaam en UPN zijn hoofdlettergevoelig.

Met het filter Geïnitieerd op basis kunt u definiëren met welke naam van een actor of een UPN (Universal Principal Name) begint. De naam en UPN zijn hoofdlettergevoelig.

Met het filter Datumbereik kunt u een tijdsbestek definiëren voor de geretourneerde gegevens.
Mogelijke waarden zijn:

  • 7 dagen
  • 24 uur
  • Aangepast telefoonnummer

Wanneer u een aangepast tijdsbestek selecteert, kunt u een begintijd en eindtijd configureren.

U kunt er ook voor kiezen om de gefilterde gegevens, maximaal 250.000 records, te downloaden door de knop Downloaden te selecteren. U kunt de logboeken downloaden in CSV- of JSON-indeling. Het aantal records dat u kunt downloaden, wordt beperkt door het bewaarbeleid voor Azure Active Directory-rapporten.

Download data

Microsoft 365-activiteitenlogboeken

U kunt activiteitenlogboeken van Microsoft 365 bekijken vanuit het Microsoft 365-beheercentrum. Hoewel microsoft 365-activiteiten- en Azure AD-activiteitenlogboeken veel van de directory-resources delen, biedt alleen het Microsoft 365-beheercentrum een volledig overzicht van de Microsoft 365-activiteitenlogboeken.

U kunt ook programmatisch toegang krijgen tot de Activiteitenlogboeken van Microsoft 365 met behulp van de Office 365 Management-API's.

Notitie

De meeste zelfstandige of gebundelde Microsoft 365-abonnementen hebben back-endafhankelijkheden op sommige subsystemen binnen de grenzen van het Microsoft 365-datacenter. Voor de afhankelijkheden is het terugschrijven van gegevens vereist om directory's gesynchroniseerd te houden en in wezen te helpen bij het inschakelen van probleemloze onboarding in een abonnementsaan opt-in voor Exchange Online. Voor deze write-backs tonen auditlogboekvermeldingen acties die zijn uitgevoerd door 'Microsoft Substrate Management'. Deze vermeldingen in het auditlogboek verwijzen naar bewerkingen voor het maken/bijwerken/verwijderen van Exchange Online naar Azure AD. De vermeldingen zijn informatief en vereisen geen actie.

Volgende stappen