Delen via

Windows 365-auditlogboeken ophalen

  • Artikel

Auditlogboeken voor Windows 365 bevatten een record van activiteiten die een wijziging in een cloud-pc genereren. Maken, bijwerken (bewerken), verwijderen, toewijzen en externe acties maken allemaal controlegebeurtenissen die beheerders kunnen controleren voor de meeste cloud-pc-acties die via Graph worden uitgevoerd. Controle is standaard ingeschakeld voor alle klanten. Deze kan niet worden uitgeschakeld.

Wie heeft toegang tot de gegevens?

Gebruikers met de volgende machtigingen kunnen auditlogboeken bekijken:

  • Intune-servicebeheerder
  • Hoofdbeheerder
  • Beheerders die zijn toegewezen aan een Intune-rol met controlegegevens - leesmachtigingen

Belangrijk

Microsoft raadt u aan rollen te gebruiken met de minste machtigingen. Dit helpt bij het verbeteren van de beveiliging voor uw organisatie. Globale beheerder is een zeer bevoorrechte rol die moet worden beperkt tot scenario's voor noodgevallen wanneer u een bestaande rol niet kunt gebruiken.

Windows 365-auditlogboeken verzenden naar diagnostische instellingen in Azure Monitor

Met de diagnostische instellingen van Azure Monitor kunt u platformlogboeken en metrische gegevens exporteren naar de bestemming van uw keuze. U kunt maximaal vijf verschillende diagnostische instellingen maken om verschillende logboeken en metrische gegevens naar onafhankelijke bestemmingen te verzenden. Zie Diagnostische instellingen in Azure Monitor voor meer informatie.

Een diagnostische instelling maken voor het verzenden van logboeken

  1. Zorg ervoor dat u een Azure-account hebt.
  2. Meld u aan bij het Microsoft Intune-beheercentrum, selecteerDiagnostische instellingen voor rapporten> (onder Azure monitor)>Diagnostische instellingen toevoegen.
  3. Selecteer onder Logboekende optie Windows365AuditLogs.
  4. Selecteer onder Doeldetails de bestemming en geef de details op.
  5. Klik op Opslaan.

Graph API en PowerShell gebruiken om controlegebeurtenissen op te halen

Voer de volgende stappen uit om gebeurtenissen in het auditlogboek voor uw Windows 365-tenant op te halen:

De SDK installeren

  1. Voer in PowerShell deze opdracht uit: Install-Module Microsoft.Graph.Beta -Scope CurrentUser -AllowClobber
  2. Controleer de installatie door deze opdracht uit te voeren:Get-InstalledModule Microsoft.Graph.Beta
  3. Voer deze opdracht uit om alle Cloud PC Graph-eindpunten op te halen: Get-Command -Module Microsoft.Graph* *virtualEndpoint*

Aanmelden

  1. Voer een van deze twee opdrachten uit:
    • Connect-MgGraph -Scopes "CloudPC.ReadWrite.All"
    • Connect-MgGraph -Scopes "CloudPC.Read.All"
  2. Meld u op de resulterende webpagina aan bij uw tenant met een gebruikersaccount met de juiste lees- en/of schrijfmachtigingen.
  3. Schakel over naar de Graph-bètaomgeving met behulp van deze opdracht: Select-MgProfile -Name "beta"

Controlegegevens ophalen

U kunt controlegegevens op meerdere manieren weergeven.

Volledige lijst met controlegebeurtenissen ophalen, inclusief de auditacteur

Gebruik de volgende opdracht om de volledige lijst met controlegebeurtenissen op te halen, inclusief de actor (persoon die de actie heeft uitgevoerd):

Get-MgBetaDeviceManagementVirtualEndpointAuditEvent | Select-Object -Property Actor,ActivityDateTime,ActivityType,ActivityResult -ExpandProperty Actor | Format-Table UserId, UserPrincipalName, ActivityType, ActivityDateTime, ActivityResult

Een lijst met controlegebeurtenissen ophalen

Gebruik de volgende opdracht om een lijst met controlegebeurtenissen op te halen zonder de controle-actor:

Get-MgBetaDeviceManagementVirtualEndpointAuditEvent

Als u alle gebeurtenissen wilt ophalen, gebruikt u de parameter -All : Get-MgBetaDeviceManagementVirtualEndpointAuditEvent -All

Gebruik de volgende parameters om alleen de belangrijkste N-gebeurtenissen op te halen: Get-MgBetaDeviceManagementVirtualEndpointAuditEvent -All -Top {TopNumber}

Eén gebeurtenis ophalen op gebeurtenis-id

U kunt de volgende opdracht gebruiken om één controlegebeurtenis op te halen, waarbij u de {gebeurtenis-id} moet opgeven: Get-MgBetaDeviceManagementVirtualEndpointAuditEvent -CloudPcAuditEventId {event ID}

Volgende stappen

Bedrijfscontinuïteit en herstel na noodgevallen.