Co to są dzienniki inspekcji firmy Microsoft Entra?
Dzienniki aktywności firmy Microsoft Entra obejmują dzienniki inspekcji, które są kompleksowym raportem na temat każdego zarejestrowanego zdarzenia w identyfikatorze Entra firmy Microsoft. Zmiany w aplikacjach, grupach, użytkownikach i licencjach są przechwytywane w dziennikach inspekcji firmy Microsoft Entra.
Dostępne są również dwa inne dzienniki aktywności, które ułatwiają monitorowanie kondycji dzierżawy:
- Logowania — informacje o logowaniu i sposobie użycia zasobów przez użytkowników.
- Aprowizowanie — działania wykonywane przez usługę aprowizacji, takie jak tworzenie grupy w usłudze ServiceNow lub użytkownik zaimportowany z produktu Workday.
Ten artykuł zawiera omówienie dzienników inspekcji, w tym informacje wymagane do uzyskania dostępu do nich i informacje, które udostępniają.
Wymagania dotyczące licencji i ról
Wymagane role i licencje różnią się w zależności od raportu. Do uzyskiwania dostępu do danych monitorowania i kondycji w programie Microsoft Graph są wymagane oddzielne uprawnienia. Zalecamy używanie roli z dostępem do najniższych uprawnień, aby dopasować je do wskazówek dotyczących relacji Zero Trust.
| Dziennik/raport | Role | Licencje |
|---|---|---|
| Audit | Czytelnik raportów Czytelnik zabezpieczeń Administrator zabezpieczeń Czytelnik globalny |
Wszystkie wersje identyfikatora Entra firmy Microsoft |
| Logowania | Czytelnik raportów Czytelnik zabezpieczeń Administrator zabezpieczeń Czytelnik globalny |
Wszystkie wersje identyfikatora Entra firmy Microsoft |
| Inicjowanie obsługi | Czytelnik raportów Czytelnik zabezpieczeń Administrator zabezpieczeń Czytelnik globalny Operator zabezpieczeń Administrator aplikacji Administracja istrator aplikacji w chmurze |
Microsoft Entra ID P1 lub P2 |
| Niestandardowe dzienniki inspekcji atrybutów zabezpieczeń* | Administracja istrator dziennika atrybutów Czytelnik dziennika atrybutów |
Wszystkie wersje identyfikatora Entra firmy Microsoft |
| Użycie i szczegółowe informacje | Czytelnik raportów Czytelnik zabezpieczeń Administrator zabezpieczeń |
Microsoft Entra ID P1 lub P2 |
| Ochrona tożsamości** | Administrator zabezpieczeń Operator zabezpieczeń Czytelnik zabezpieczeń Czytelnik globalny |
Microsoft Entra ID Free Aplikacje platformy Microsoft 365 Microsoft Entra ID P1 lub P2 |
| Dzienniki aktywności programu Microsoft Graph | Administrator zabezpieczeń Uprawnienia dostępu do danych w odpowiednim miejscu docelowym dziennika |
Microsoft Entra ID P1 lub P2 |
*Wyświetlanie niestandardowych atrybutów zabezpieczeń w dziennikach inspekcji lub tworzenie ustawień diagnostycznych niestandardowych atrybutów zabezpieczeń wymaga jednej z ról dziennika atrybutów. Potrzebna jest również odpowiednia rola, aby wyświetlić standardowe dzienniki inspekcji.
**Poziom dostępu i możliwości usługi Identity Protection różni się w zależności od roli i licencji. Aby uzyskać więcej informacji, zobacz wymagania licencyjne dotyczące usługi Identity Protection.
Co można zrobić z dziennikami inspekcji?
Dzienniki inspekcji w identyfikatorze Entra firmy Microsoft zapewniają dostęp do rekordów aktywności systemu, często potrzebnych do zapewnienia zgodności. Możesz uzyskać odpowiedzi na pytania związane z użytkownikami, grupami i aplikacjami.
Użytkownicy:
- Jakie typy zmian zostały ostatnio zastosowane do użytkowników?
- Ilu użytkowników zostało zmienionych?
- Ile haseł zostało zmienionych?
Grupy:
- Jakie grupy zostały niedawno dodane?
- Czy właściciele grup zostali zmienieni?
- Jakie licencje dotyczą grupy lub użytkownika?
Aplikacji:
- Jakie aplikacje zostały, zaktualizowane lub usunięte?
- Czy jednostka usługi dla aplikacji została zmieniona?
- Czy nazwy aplikacji zostały zmienione?
Niestandardowe atrybuty zabezpieczeń:
- Jakie zmiany zostały wprowadzone w niestandardowych definicjach lub przypisaniach atrybutów zabezpieczeń?
- Jakie aktualizacje zostały wprowadzone do zestawów atrybutów?
- Jakie niestandardowe wartości atrybutów zostały przypisane do użytkownika?
Uwaga
Wpisy w dziennikach inspekcji są generowane przez system i nie można ich zmienić ani usunąć.
Co zawierają dzienniki?
Dzienniki inspekcji są domyślne na karcie Katalog , która wyświetla następujące informacje:
- Data i godzina wystąpienia
- Usługa, która zarejestrowała wystąpienie
- Kategoria i nazwa działania (co)
- Stan działania (powodzenie lub niepowodzenie)
Druga karta zabezpieczeń niestandardowych zawiera dzienniki inspekcji niestandardowych atrybutów zabezpieczeń. Aby wyświetlić dane na tej karcie, musisz mieć rolę Dziennik atrybutów Administracja istrator lub Czytelnik dziennika atrybutów. Ten dziennik inspekcji zawiera wszystkie działania związane z niestandardowymi atrybutami zabezpieczeń. Aby uzyskać więcej informacji, zobacz Co to są niestandardowe atrybuty zabezpieczeń.
Dzienniki aktywności platformy Microsoft 365
Dzienniki aktywności platformy Microsoft 365 można wyświetlić w Centrum administracyjne platformy Microsoft 365. Mimo że działania platformy Microsoft 365 i dzienniki aktywności firmy Microsoft Entra współdzielą wiele zasobów katalogu, tylko Centrum administracyjne platformy Microsoft 365 zapewnia pełny widok dzienników aktywności platformy Microsoft 365.
Dostęp do dzienników aktywności platformy Microsoft 365 można również uzyskać programowo przy użyciu interfejsów API zarządzania usługi Office 365.
Większość autonomicznych lub dołączonych subskrypcji platformy Microsoft 365 ma zależności zaplecza w niektórych podsystemach w granicach centrum danych platformy Microsoft 365. Zależności wymagają pewnych informacji zapisywania zwrotnego, aby zachować synchronizację katalogów i w istocie ułatwić bezproblemowe dołączanie w ramach subskrypcji w celu uzyskania zgody na korzystanie z usługi Exchange Online. W przypadku tych zapisów wpisy dziennika inspekcji pokazują akcje wykonywane przez "Zarządzanie podłożem firmy Microsoft". Te wpisy dziennika inspekcji odnoszą się do operacji tworzenia/aktualizowania/usuwania wykonywanych przez usługę Exchange Online do identyfikatora Entra firmy Microsoft. Wpisy są informacyjne i nie wymagają żadnej akcji.