Dzienniki inspekcji w usłudze Azure Active Directory

Jako administrator potrzebujesz informacji o tym, jak działa Twoje środowisko IT. Informacje o kondycji systemu umożliwiają ocenę, czy i jak należy reagować na potencjalne problemy.

Aby umożliwić Ci obsługę tego celu, portal usługi Azure Active Directory zapewnia dostęp do trzech dzienników aktywności:

  • Logowania — informacje o logowaniu i sposobie użycia zasobów przez użytkowników.
  • Inspekcja — informacje o zmianach zastosowanych do dzierżawy, takich jak zarządzanie użytkownikami i grupami lub aktualizacje zastosowane do zasobów dzierżawy.
  • Aprowizacja — działania wykonywane przez usługę aprowizacji, takie jak tworzenie grupy w usłudze ServiceNow lub użytkownik zaimportowany z produktu Workday.

Ten artykuł zawiera omówienie dzienników inspekcji.

Co to?

Dzienniki inspekcji w usłudze Azure AD umożliwiają uzyskanie dostępu do rekordów działań systemowych w celu zapewnienia zgodności. Najbardziej typowe widoki tego dziennika są oparte na następujących kategoriach:

  • Zarządzanie użytkownikami

  • Zarządzanie grupami

  • Zarządzanie aplikacjami

Widok skoncentrowany na użytkowniku umożliwia uzyskanie odpowiedzi na pytania, takie jak:

  • Jakie typy aktualizacji zostały zastosowane do użytkowników?

  • Ilu użytkowników zostało zmienionych?

  • Ile haseł zostało zmienionych?

  • Jakich zmian dokonał administrator w katalogu?

Widok skoncentrowany na grupach umożliwia uzyskanie odpowiedzi na pytania, takie jak:

  • Jakie grupy zostały dodane?

  • Czy istnieją grupy, w których dokonano zmiany członkostwa?

  • Czy właściciele grup zostali zmienieni?

  • Jakie licencje zostały przypisane do grupy lub użytkownika?

Widok skoncentrowany na aplikacji umożliwia uzyskanie odpowiedzi na pytania, takie jak:

  • Jakie aplikacje zostały dodane lub zaktualizowane?

  • Jakie aplikacje zostały usunięte?

  • Czy jednostka usługi dla aplikacji została zmieniona?

  • Czy nazwy aplikacji zostały zmienione?

  • Kto udzielił zezwolenia dla aplikacji?

Jaka licencja jest potrzebna?

Raport aktywności inspekcji jest dostępny we wszystkich wersjach usługi Azure AD.

Kto może uzyskać do niego dostęp?

Aby uzyskać dostęp do dzienników inspekcji, musisz mieć jedną z następujących ról:

  • Administrator zabezpieczeń
  • Czytelnik zabezpieczeń
  • Czytelnik raportów
  • Czytelnik globalny
  • Administrator globalny

Jak mogę ją znaleźć?

Witryna Azure Portal udostępnia kilka opcji uzyskiwania dostępu do dziennika. Na przykład w menu usługi Azure Active Directory możesz otworzyć dziennik w sekcji Monitorowanie .

Open audit logs

Ponadto możesz przejść bezpośrednio do dzienników inspekcji przy użyciu tego linku.

Dostęp do dziennika inspekcji można również uzyskać za pośrednictwem interfejsu API programu Microsoft Graph.

Jaki jest widok domyślny?

Dziennik inspekcji zawiera domyślny widok listy, który pokazuje:

  • datę i godzinę wystąpienia,
  • usługa, która zarejestrowała wystąpienie
  • kategoria i nazwa działania (co)
  • stan działania (powodzenie lub niepowodzenie)
  • element docelowy.
  • inicjatora/aktora (kto) działania,

Audit logs

Możesz dostosować widok listy, klikając pozycję Kolumny na pasku narzędzi.

Audit columns

Dzięki temu możesz wyświetlić dodatkowe pola lub usunąć pola, które są już wyświetlane.

Remove fields

Wybierz element w widoku listy, aby uzyskać bardziej szczegółowe informacje.

select item

Dzienniki inspekcji filtrowania

Dane inspekcji można filtrować w następujących polach:

  • Usługa
  • Kategoria
  • Działanie
  • Stan
  • Cel
  • Zainicjowane przez (aktor)
  • Zakres dat

Filter object

Filtr Usługi umożliwia wybranie z listy rozwijanej następujących usług:

  • Wszystko
  • Interfejs użytkownika zarządzania usługą AAD
  • Przeglądy dostępu
  • Aprowizacja kont
  • Serwer proxy aplikacji
  • Metody uwierzytelniania
  • B2C
  • Dostęp warunkowy
  • Katalog podstawowy
  • Zarządzanie upoważnieniami
  • Uwierzytelnianie hybrydowe
  • Identity Protection
  • Zaproszeni użytkownicy
  • Usługa MIM
  • MyApps
  • PIM
  • Samoobsługowe zarządzanie grupami
  • Samoobsługowe zarządzanie hasłami
  • Warunki użytkowania

Filtr Kategoria umożliwia wybranie jednego z następujących filtrów:

  • Wszystko
  • AdministrativeUnit
  • Zarządzanie aplikacjami
  • Authentication
  • Autoryzacja
  • Kontakt
  • Urządzenie
  • DeviceConfiguration
  • Zarządzanie katalogami
  • EntitlementManagement
  • Zarządzanie grupą
  • KerberosDomain
  • Zarządzanie kluczami
  • Etykieta
  • Inne
  • PermissionGrantPolicy
  • Zasady
  • Zarządzanie zasobami
  • RoleManagement
  • UserManagement

Filtr Działania jest oparty na wybranej kategorii i typie zasobu działania. Możesz wybrać konkretne działanie, które chcesz zobaczyć, lub wybrać wszystkie działania.

Listę wszystkich działań inspekcji można uzyskać przy użyciu interfejsu API programu Graph: https://graph.windows.net/<tenantdomain>/activities/auditActivityTypesV2?api-version=beta

Filtr Stan umożliwia filtrowanie na podstawie stanu operacji inspekcji. Stan może być jednym z następujących:

  • Wszystko
  • Powodzenie
  • Niepowodzenie

Filtr docelowy umożliwia wyszukiwanie określonego obiektu docelowego przez rozpoczęcie nazwy głównej nazwy użytkownika (UPN). Nazwa docelowa i nazwa UPN są uwzględniane w wielkości liter.

Filtr zainicjowany przez umożliwia zdefiniowanie nazwy aktora lub uniwersalnej głównej nazwy (UPN). Nazwa i nazwa UPN są uwzględniane w wielkości liter.

Filtr Zakres dat umożliwia zdefiniowanie przedziału czasu dla zwracanych danych.
Możliwe wartości:

  • 7 dni
  • 24 godziny
  • Niestandardowy

Po wybraniu niestandardowego przedziału czasu możesz skonfigurować godzinę rozpoczęcia i zakończenia.

Możesz również pobrać odfiltrowane dane, maksymalnie 250 000 rekordów, wybierając przycisk Pobierz . Dzienniki można pobrać w formacie CSV lub JSON. Liczba rekordów, które można pobrać, jest ograniczona przez zasady przechowywania raportów usługi Azure Active Directory.

Download data

Dzienniki aktywności platformy Microsoft 365

Dzienniki aktywności platformy Microsoft 365 można wyświetlić w centrum administracyjnym platformy Microsoft 365. Mimo że dzienniki aktywności platformy Microsoft 365 i dzienników aktywności usługi Azure AD współdzielą wiele zasobów katalogu, tylko centrum administracyjne platformy Microsoft 365 zapewnia pełny widok dzienników aktywności platformy Microsoft 365.

Dostęp do dzienników aktywności platformy Microsoft 365 można również uzyskać programowo przy użyciu interfejsów API zarządzania usługi Office 365.

Uwaga

Większość autonomicznych lub dołączonych subskrypcji platformy Microsoft 365 ma zależności zaplecza w niektórych podsystemach w granicach centrum danych platformy Microsoft 365. Zależności wymagają zapisu informacji, aby zachować synchronizację katalogów i zasadniczo ułatwić bezproblemowe dołączanie w ramach subskrypcji w usłudze Exchange Online. W przypadku tych zapisów wpisy dziennika inspekcji pokazują akcje wykonywane przez "Zarządzanie substratami firmy Microsoft". Te wpisy dziennika inspekcji odnoszą się do operacji tworzenia/aktualizowania/usuwania wykonywanych przez usługę Exchange Online w usłudze Azure AD. Wpisy są informacyjne i nie wymagają żadnej akcji.

Następne kroki