Wat zijn Auditlogboeken van Microsoft Entra?
Microsoft Entra-activiteitenlogboeken bevatten auditlogboeken. Dit is een uitgebreid rapport over elke geregistreerde gebeurtenis in Microsoft Entra-id. Wijzigingen in toepassingen, groepen, gebruikers en licenties worden allemaal vastgelegd in de Auditlogboeken van Microsoft Entra.
Er zijn ook twee andere activiteitenlogboeken beschikbaar om de status van uw tenant te bewaken:
- Aanmeldingen: informatie over aanmeldingen en hoe uw resources worden gebruikt door uw gebruikers.
- Inrichten: activiteiten die worden uitgevoerd door de inrichtingsservice, zoals het maken van een groep in ServiceNow of een gebruiker die is geïmporteerd uit Workday.
In dit artikel vindt u een overzicht van de auditlogboeken, waaronder wat er nodig is om ze te openen en welke informatie ze verstrekken.
Licentie- en rolvereisten
De vereiste rollen en licenties variëren op basis van het rapport. Afzonderlijke machtigingen zijn vereist voor toegang tot bewakings- en statusgegevens in Microsoft Graph. We raden u aan een rol met minimale toegangsrechten te gebruiken om te voldoen aan de richtlijnen voor Zero Trust. Zie Rollen met minimale bevoegdheden per taak voor een volledige lijst met rollen.
Logboek/rapport | Rollen | Licenties |
---|---|---|
Auditlogboeken | Rapportlezer Beveiligingslezer Beveiligingsbeheerder |
Alle edities van Microsoft Entra ID |
Aanmeldingslogboeken | Rapportlezer Beveiligingslezer Beveiligingsbeheerder |
Alle edities van Microsoft Entra ID |
Inrichtingslogboeken | Rapportlezer Beveiligingslezer Toepassingsbeheerder Cloud-app-beheerder |
Microsoft Entra ID P1 of P2 |
Auditlogboeken voor aangepaste beveiligingskenmerken* | Kenmerklogboekbeheerder Kenmerklogboeklezer |
Alle edities van Microsoft Entra ID |
Gezondheid | Rapportlezer Beveiligingslezer Helpdeskbeheerder |
Microsoft Entra ID P1 of P2 |
Microsoft Entra ID Protection** | Beveiligingsbeheerder Beveiligingsoperator Beveiligingslezer Globale lezer |
Microsoft Entra ID Free Microsoft 365-apps Microsoft Entra ID P1 of P2 |
Activiteitenlogboeken van Microsoft Graph | Beveiligingsbeheerder Machtigingen voor toegang tot gegevens in de bijbehorende logboekbestemming |
Microsoft Entra ID P1 of P2 |
Gebruik en inzichten | Rapportlezer Beveiligingslezer Beveiligingsbeheerder |
Microsoft Entra ID P1 of P2 |
*Voor het weergeven van de aangepaste beveiligingskenmerken in de auditlogboeken of het maken van diagnostische instellingen voor aangepaste beveiligingskenmerken is een van de kenmerklogboekrollen vereist. U hebt ook de juiste rol nodig om de standaardcontrolelogboeken weer te geven.
**Het toegangsniveau en de mogelijkheden voor Microsoft Entra ID Protection is afhankelijk van de rol en licentie. Zie de licentievereisten voor ID Protection voor meer informatie.
Wat kunt u doen met auditlogboeken?
Auditlogboeken in Microsoft Entra ID bieden toegang tot systeemactiviteitsrecords, die vaak nodig zijn voor naleving. U kunt antwoorden krijgen op vragen met betrekking tot gebruikers, groepen en toepassingen.
Gebruikers:
- Welke typen wijzigingen zijn onlangs toegepast op gebruikers?
- Hoeveel gebruikers zijn gewijzigd?
- Hoeveel wachtwoorden zijn gewijzigd?
Groepen:
- Welke groepen zijn onlangs toegevoegd?
- Zijn de eigenaren van de groep gewijzigd?
- Welke licenties zijn voor een groep of een gebruiker?
Toepassingen:
- Welke toepassingen zijn bijgewerkt of verwijderd?
- Is een service-principal voor een toepassing gewijzigd?
- Zijn de namen van toepassingen gewijzigd?
Aangepaste beveiligingskenmerken:
- Welke wijzigingen zijn aangebracht in definities of toewijzingen van aangepaste beveiligingskenmerken ?
- Welke updates zijn aangebracht in kenmerksets?
- Welke aangepaste kenmerkwaarden zijn toegewezen aan een gebruiker?
Notitie
Vermeldingen in de auditlogboeken worden door het systeem gegenereerd en kunnen niet worden gewijzigd of verwijderd.
Wat worden in de logboeken weergegeven?
Auditlogboeken zijn standaard ingesteld op het tabblad Map , waarin de volgende informatie wordt weergegeven:
- Datum en tijd van het exemplaar
- Service waarmee het exemplaar is geregistreerd
- Categorie en naam van de activiteit (wat)
- Status van de activiteit (geslaagd of mislukt)
Op een tweede tabblad voor Aangepaste beveiliging worden auditlogboeken weergegeven voor aangepaste beveiligingskenmerken. Als u gegevens op dit tabblad wilt weergeven, moet u de rol Kenmerklogboekbeheerder of Kenmerklogboeklezer hebben. Dit auditlogboek toont alle activiteiten met betrekking tot aangepaste beveiligingskenmerken. Zie Wat zijn aangepaste beveiligingskenmerken voor meer informatie.
Activiteitenlogboeken van Microsoft 365
U kunt Microsoft 365-activiteitenlogboeken bekijken vanuit de Microsoft 365-beheercentrum. Hoewel activiteitenlogboeken van Microsoft 365 en Microsoft Entra veel directory-resources delen, biedt alleen de Microsoft 365-beheercentrum een volledig overzicht van de Microsoft 365-activiteitenlogboeken.
U kunt ook programmatisch toegang krijgen tot de Microsoft 365-activiteitenlogboeken met behulp van de Office 365-beheer-API's.
De meeste zelfstandige of gebundelde Microsoft 365-abonnementen hebben back-endafhankelijkheden op sommige subsystemen binnen de grenzen van het Microsoft 365-datacenter. Voor de afhankelijkheden is het terugschrijven van gegevens vereist om directory's gesynchroniseerd te houden en in wezen om probleemloze onboarding mogelijk te maken in een abonnementsaanschrijfprogramma voor Exchange Online. Voor deze write-backs tonen auditlogboekvermeldingen acties die zijn uitgevoerd door 'Microsoft Substrate Management'. Deze vermeldingen in het auditlogboek verwijzen naar bewerkingen voor maken/bijwerken/verwijderen die worden uitgevoerd door Exchange Online naar Microsoft Entra-id. De vermeldingen zijn informatief en vereisen geen actie.