Dzienniki inspekcji w usłudze Azure Active Directory

Dzienniki aktywności usługi Azure Active Directory (Azure AD) obejmują dzienniki inspekcji, które są kompleksowym raportem dotyczącym każdego zarejestrowanego zdarzenia w Azure AD. Zmiany w aplikacjach, grupach, użytkownikach i licencjach są przechwytywane w dziennikach inspekcji Azure AD.

Dostępne są również dwa inne dzienniki aktywności ułatwiające monitorowanie kondycji dzierżawy:

  • Logowania — informacje o logowaniu i sposobie użycia zasobów przez użytkowników.
  • Aprowizowanie — działania wykonywane przez usługę aprowizacji, takie jak tworzenie grupy w usłudze ServiceNow lub użytkownik zaimportowany z produktu Workday.

Ten artykuł zawiera omówienie dzienników inspekcji.

Co to?

Dzienniki inspekcji w Azure AD zapewniają dostęp do rekordów aktywności systemu, często potrzebnych do zapewnienia zgodności. Ten dziennik jest kategoryzowany przez użytkownika, grupę i zarządzanie aplikacjami.

W widoku skoncentrowanym na użytkowniku możesz uzyskać odpowiedzi na pytania, takie jak:

  • Jakie typy aktualizacji zostały zastosowane do użytkowników?

  • Ilu użytkowników zostało zmienionych?

  • Ile haseł zostało zmienionych?

  • Jakich zmian dokonał administrator w katalogu?

W widoku skoncentrowanym na grupach możesz uzyskać odpowiedzi na pytania, takie jak:

  • Jakie grupy zostały dodane?

  • Czy istnieją grupy, w których dokonano zmiany członkostwa?

  • Czy właściciele grup zostali zmienieni?

  • Jakie licencje zostały przypisane do grupy lub użytkownika?

W widoku skoncentrowanym na aplikacji możesz uzyskać odpowiedzi na pytania, takie jak:

  • Jakie aplikacje zostały dodane lub zaktualizowane?

  • Jakie aplikacje zostały usunięte?

  • Czy jednostka usługi dla aplikacji została zmieniona?

  • Czy nazwy aplikacji zostały zmienione?

  • Kto udzielił zezwolenia dla aplikacji?

Jak mogę uzyskać do niego dostęp?

Raport aktywności związanej z inspekcją jest dostępny we wszystkich wersjach usługi Azure AD. Aby uzyskać dostęp do dzienników inspekcji, musisz mieć jedną z następujących ról:

  • Czytelnik raportów
  • Czytelnik zabezpieczeń
  • Administrator zabezpieczeń
  • Czytelnik globalny
  • Administrator globalny

Zaloguj się do Azure Portal i przejdź do Azure AD i wybierz pozycję Dziennik inspekcji w sekcji Monitorowanie.

Możesz również uzyskać dostęp do dziennika inspekcji za pośrednictwem Microsoft interfejs Graph API.

Co zawierają dzienniki?

Dzienniki inspekcji zawierają domyślny widok listy, który obejmuje następujące informacje:

  • Data i godzina wystąpienia
  • Usługa, która zarejestrowała wystąpienie
  • Kategoria i nazwa działania (co)
  • Stan działania (powodzenie lub niepowodzenie)
  • Cel
  • Inicjator / aktor działania (kto)

Widok listy można dostosować i filtrować, klikając przycisk Kolumny na pasku narzędzi. Edytowanie kolumn umożliwia dodawanie lub usuwanie pól z widoku.

Zrzut ekranu przedstawiający dostępne pola.

Dzienniki inspekcji filtrowania

Dane inspekcji można filtrować przy użyciu opcji widocznych na liście, takich jak zakres dat, usługa, kategoria i działanie.

Zrzut ekranu przedstawiający filtr usługi.

  • Usługa: domyślnie wszystkie dostępne usługi, ale można filtrować listę do co najmniej jednej, wybierając opcję z listy rozwijanej.

  • Kategoria: Domyślnie wszystkie kategorie, ale można je filtrować, aby wyświetlić kategorię działania, taką jak zmiana zasad lub aktywowanie kwalifikującej się roli Azure AD.

  • Działanie: na podstawie wybranego typu zasobu kategorii i działania. Możesz wybrać konkretne działanie, które chcesz zobaczyć, lub wybrać wszystkie działania.

    Listę wszystkich działań inspekcji można uzyskać przy użyciu interfejs Graph API:https://graph.windows.net/<tenantdomain>/activities/auditActivityTypesV2?api-version=beta

  • Stan: umożliwia przyjrzenie się wynikowi na podstawie tego, czy działanie było powodzeniem lub niepowodzeniem.

  • Element docelowy: umożliwia wyszukiwanie elementu docelowego lub adresata działania. Wyszukaj kilka pierwszych liter nazwy lub głównej nazwy użytkownika (UPN). Nazwa docelowa i nazwa UPN są uwzględniane w wielkości liter.

  • Zainicjowane przez: umożliwia wyszukiwanie przez osoby, które zainicjowały działanie przy użyciu kilku pierwszych liter ich nazwy lub nazwy UPN. Nazwa i nazwa UPN są uwzględniane w wielkości liter.

  • Zakres dat: umożliwia zdefiniowanie przedziału czasu dla zwracanych danych. Możesz wyszukać ostatnie 7 dni, 24 godziny lub zakres niestandardowy. Po wybraniu niestandardowego przedziału czasu możesz skonfigurować godzinę rozpoczęcia i zakończenia.

    Możesz również pobrać odfiltrowane dane, maksymalnie 250 000 rekordów, wybierając przycisk Pobierz . Dzienniki można pobrać w formacie CSV lub JSON. Liczba rekordów, które można pobrać, jest ograniczona przez zasady przechowywania raportów usługi Azure Active Directory.

    Zrzut ekranu przedstawiający opcję pobierania danych.

dzienniki aktywności Microsoft 365

Dzienniki aktywności Microsoft 365 można wyświetlić z Centrum administracyjne platformy Microsoft 365. Mimo że Microsoft 365 działań i dzienników aktywności Azure AD współużytkuje wiele zasobów katalogu, tylko Centrum administracyjne platformy Microsoft 365 zapewnia pełny widok dzienników aktywności Microsoft 365.

Dostęp do dzienników aktywności usługi Microsoft 365 można również uzyskać programowo przy użyciu interfejsów API zarządzania Office 365.

Uwaga

Większość autonomicznych lub powiązanych subskrypcji Microsoft 365 ma zależności zaplecza dla niektórych podsystemów w granicach centrum danych Microsoft 365. Zależności wymagają zapisu informacji, aby zachować synchronizację katalogów i zasadniczo ułatwić bezproblemowe dołączanie w ramach subskrypcji w celu uzyskania Exchange Online. W przypadku tych zapisów wpisy dziennika inspekcji pokazują akcje wykonywane przez "Microsoft Zarządzanie substratami". Te wpisy dziennika inspekcji odnoszą się do operacji tworzenia/aktualizowania/usuwania wykonywanych przez Exchange Online do Azure AD. Wpisy są informacyjne i nie wymagają żadnej akcji.

Następne kroki