Vereisten voor toegang tot de Rapportage-API van Azure Active Directory

  • Artikel

De rapportage-API's van Azure Active Directory (Azure AD) bieden u programmatische toegang tot de gegevens via een set REST API's. U kunt deze API's aanroepen vanuit veel programmeertalen en hulpprogramma's. De rapportage-API maakt gebruik van OAuth om toegang tot de web-API's te autoriseren.

In dit artikel wordt beschreven hoe u Microsoft Graph toegang kunt geven tot de Azure AD rapportage-API's in de Azure Portal en via PowerShell

Rollen en licentievereisten

Als u toegang wilt krijgen tot de rapportagegegevens via de API, moet u een van de volgende rollen hebben:

  • Beveiligingslezer
  • Beveiligingsbeheer
  • Hoofdbeheerder

Voor toegang tot de aanmeldingsrapporten voor een tenant moet een Azure AD tenant een Azure AD Premium P1- of P2-licentie hebben. Als het adreslijsttype Azure AD B2C is, zijn de aanmeldingsrapporten ook toegankelijk via de API zonder extra licentievereiste.

Registratie is vereist, zelfs als u de rapportage-API opent met behulp van een script. De registratie geeft u een toepassings-id, die vereist is voor de autorisatieaanroepen en waarmee uw code tokens kan ontvangen. Als u uw directory wilt configureren voor toegang tot de Azure AD rapportage-API, moet u zich aanmelden bij de Azure Portal in een van de vereiste rollen.

Belangrijk

Toepassingen die worden uitgevoerd onder referenties met beheerdersbevoegdheden kunnen zeer krachtig zijn, dus zorg ervoor dat u de id en geheime referenties van de toepassing op een veilige locatie bewaart.

De Microsoft-Graph API inschakelen via de Azure Portal

Als u uw toepassing toegang wilt geven tot Microsoft Graph zonder tussenkomst van de gebruiker, moet u uw toepassing registreren bij Azure AD en vervolgens machtigingen verlenen aan de Microsoft Graph API. In dit artikel worden de stappen beschreven die u moet volgen in de Azure Portal.

Een Azure AD-toepassing registreren

  1. Ga in de Azure Portal naar Azure Active Directory>App-registraties.

  2. Selecteer Nieuwe registratie.

    Schermopname van de pagina App-registraties, met de knop Nieuwe registratie gemarkeerd.

  3. Op de pagina Een toepassing registreren :

    1. Geef de toepassing een naam , zoals Reporting API application.
    2. Selecteer bij Type ondersteunde accountsde optie Alleen accounts in deze organisatiemap.
    3. Selecteer in de sectie Omleidings-URIde optie Web in de lijst en typ https://localhost.
    4. Selecteer Registreren.

    Schermopname van de pagina Een toepassing registreren, waar u de waarden in deze stap kunt invoeren.

Machtigingen verlenen

Als u toegang wilt krijgen tot de Azure AD rapportage-API, moet u de app machtigingen Mapgegevens lezen en Alle auditlogboekgegevens lezen verlenen voor de Microsoft Graph API.

  1. Azure Active Directory>App-registraties>API-machtigingen en selecteer Een machtiging toevoegen.

    Schermopname van de menuoptie API-machtigingen en de knop Machtigingen toevoegen.

  2. Selecteer MicrosoftGraph-toepassingsmachtigingen>.

  3. Voeg Directory.Read.All, AuditLog.Read.All en Policy.Read.ConditionalAccess toe en selecteer vervolgens de knop Machtigingen toevoegen .

    • Als u meer machtigingen nodig hebt om de query's uit te voeren die u nodig hebt, kunt u deze nu toevoegen of de machtigingen naar behoefte wijzigen in Microsoft Graph.
    • Zie Werken met Graph Explorer voor meer informatie.

    Schermopname van de pagina API-machtigingen aanvragen, waar u Toepassingsmachtigingen kunt selecteren.

  4. Selecteer op de pagina Rapportage-API-toepassing - API-machtigingende optie Beheerderstoestemming verlenen voor Standaardmap.

    Schermopname van de pagina Api-machtigingen voor de rapportage-API-toepassing, waar u Beheerderstoestemming verlenen kunt selecteren.

Rapporten openen met Microsoft Graph Explorer

Zodra u de app-registratie hebt geconfigureerd, kunt u activiteitenlogboekquery's uitvoeren in Microsoft Graph.

  1. Meld u aan om de rol Beveiligingslezer tehttps://graph.microsoft.com gebruiken. Mogelijk moet u bevestigen dat u bent aangemeld bij de juiste rol. Selecteer uw profielpictogram in de rechterbovenhoek van Microsoft Graph.

  2. Gebruik een van de volgende query's om Microsoft Graph te gebruiken voor toegang tot activiteitenlogboeken:

    • GET https://graph.microsoft.com/v1.0/auditLogs/directoryAudits
    • GET https://graph.microsoft.com/v1.0/auditLogs/signIns
    • Zie Api-overzicht voor activiteitenrapporten voor meer informatie over Microsoft Graph-query's voor activiteitenlogboeken

    Schermopname van een GET-query voor een activiteitenlogboek in Microsoft Graph.

Rapporten openen met Microsoft Graph PowerShell

Als u PowerShell wilt gebruiken voor toegang tot de Azure AD rapportage-API, moet u enkele configuratie-instellingen verzamelen. Deze instellingen zijn gemaakt als onderdeel van het app-registratieproces.

  • Tenant-id
  • Client-app-id
  • Clientgeheim of -certificaat

U hebt deze waarden nodig bij het configureren van aanroepen naar de rapportage-API. U wordt aangeraden een certificaat te gebruiken omdat dit veiliger is.

  1. Ga naar Azure ActiveDirectory-app-registraties>.
  2. Kopieer de map-id (tenant).
  3. Kopieer de toepassings-id (client).
  4. Ga naar App-registratie> Selecteer uw toepassing >Certificaten & geheimen>Certificaten>Certificaat uploaden en het openbare sleutelbestand van uw certificaat uploaden.

Vervolgens verifieert u zich met de configuratie-instellingen die u zojuist hebt verzameld. Open PowerShell en voer de volgende opdracht uit, waarbij u de tijdelijke aanduidingen vervangt door uw gegevens.

Connect-MgGraph -ClientID YOUR_APP_ID -TenantId YOUR_TENANT_ID -CertificateName YOUR_CERT_SUBJECT ## Or -CertificateThumbprint instead of -CertificateName

Microsoft Graph PowerShell-cmdlets:

Api's voor programmatische toegang:

Problemen oplossen in Azure Active Directory Reporting-API

Interne 500 HTTP-serverfout tijdens het openen van het Microsoft Graph beta-eindpunt: het Microsoft Graph beta-eindpunt wordt momenteel niet ondersteund. Zorg ervoor dat u de activiteitenlogboeken opent met behulp van het Microsoft Graph v1.0-eindpunt.

  • GET https://graph.microsoft.com/v1.0/auditLogs/directoryAudits
  • GET https://graph.microsoft.com/v1.0/auditLogs/signIns

Fout: geen van beide tenants is B2C of tenant heeft geen Premium-licentie: voor toegang tot aanmeldingsrapporten is een Azure Active Directory Premium 1-licentie (P1) vereist. Als u dit foutbericht ziet tijdens het openen van aanmeldingen, moet u ervoor zorgen dat uw tenant een licentie heeft met een Azure AD P1-licentie.

Fout: Gebruiker heeft niet de toegestane rollen: als u dit foutbericht ziet tijdens het openen van auditlogboeken of aanmeldingen met behulp van de API, moet u ervoor zorgen dat uw account deel uitmaakt van de rol Beveiligingslezer of Rapportlezer in uw Azure Active Directory-tenant.

Fout: Toepassing ontbreekt Azure AD machtiging Mapgegevens lezen of Alle auditlogboekgegevens lezen: ga opnieuw naar de sectie Machtigingen verlenen van dit artikel om te controleren of de machtigingen juist zijn ingesteld.

Volgende stappen