Dzienniki inspekcji w usłudze Azure Active Directory

Dzienniki aktywności usługi Azure Active Directory (Azure AD) obejmują dzienniki inspekcji, które są kompleksowym raportem dotyczącym każdego zarejestrowanego zdarzenia w usłudze Azure AD. Zmiany w aplikacjach, grupach, użytkownikach i licencjach są przechwytywane w dziennikach inspekcji usługi Azure AD.

Dostępne są również dwa inne dzienniki aktywności ułatwiające monitorowanie kondycji dzierżawy:

  • Logowania — informacje o logowaniu i sposobie użycia zasobów przez użytkowników.
  • Aprowizowanie — działania wykonywane przez usługę aprowizacji, takie jak tworzenie grupy w usłudze ServiceNow lub użytkownik zaimportowany z produktu Workday.

Ten artykuł zawiera omówienie dzienników inspekcji.

Co to?

Dzienniki inspekcji w usłudze Azure AD zapewniają dostęp do rekordów aktywności systemu, często potrzebnych do zapewnienia zgodności. Ten dziennik jest kategoryzowany przez użytkownika, grupę i zarządzanie aplikacjami.

W widoku skoncentrowanym na użytkowniku możesz uzyskać odpowiedzi na pytania, takie jak:

  • Jakie typy aktualizacji zostały zastosowane do użytkowników?

  • Ilu użytkowników zostało zmienionych?

  • Ile haseł zostało zmienionych?

  • Jakich zmian dokonał administrator w katalogu?

W widoku skoncentrowanym na grupach możesz uzyskać odpowiedzi na pytania, takie jak:

  • Jakie grupy zostały dodane?

  • Czy istnieją grupy, w których dokonano zmiany członkostwa?

  • Czy właściciele grup zostali zmienieni?

  • Jakie licencje zostały przypisane do grupy lub użytkownika?

W widoku skoncentrowanym na aplikacji możesz uzyskać odpowiedzi na pytania, takie jak:

  • Jakie aplikacje zostały dodane lub zaktualizowane?

  • Jakie aplikacje zostały usunięte?

  • Czy jednostka usługi dla aplikacji została zmieniona?

  • Czy nazwy aplikacji zostały zmienione?

  • Kto udzielił zezwolenia dla aplikacji?

Jak uzyskać do niego dostęp?

Raport aktywności związanej z inspekcją jest dostępny we wszystkich wersjach usługi Azure AD. Aby uzyskać dostęp do dzienników inspekcji, musisz mieć jedną z następujących ról:

  • Czytelnik raportów
  • Czytelnik zabezpieczeń
  • Administrator zabezpieczeń
  • Czytelnik globalny
  • Administrator globalny

Zaloguj się do witryny Azure Portal i przejdź do usługi Azure AD i wybierz pozycję Dziennik inspekcji w sekcji Monitorowanie .

Możesz również uzyskać dostęp do dziennika inspekcji za pośrednictwem interfejsu API programu Microsoft Graph.

Co zawierają dzienniki?

Dzienniki inspekcji zawierają domyślny widok listy, który obejmuje następujące informacje:

  • Data i godzina wystąpienia
  • Usługa, która zarejestrowała wystąpienie
  • Kategoria i nazwa działania (co)
  • Stan działania (powodzenie lub niepowodzenie)
  • Cel
  • Inicjator / aktor działania (kto)

Widok listy można dostosować i filtrować, klikając przycisk Kolumny na pasku narzędzi. Edytowanie kolumn umożliwia dodawanie lub usuwanie pól z widoku.

Zrzut ekranu przedstawiający dostępne pola.

Dzienniki inspekcji filtrowania

Dane inspekcji można filtrować przy użyciu opcji widocznych na liście, takich jak zakres dat, usługa, kategoria i działanie.

Zrzut ekranu przedstawiający filtr usługi.

  • Usługa: domyślnie wszystkie dostępne usługi, ale można filtrować listę do co najmniej jednej, wybierając opcję z listy rozwijanej.

  • Kategoria: Domyślnie wszystkie kategorie, ale można je filtrować, aby wyświetlić kategorię działań, taką jak zmiana zasad lub aktywowanie kwalifikującej się roli usługi Azure AD.

  • Działanie: na podstawie wybranego typu zasobu kategorii i działania. Możesz wybrać konkretne działanie, które chcesz zobaczyć, lub wybrać wszystkie działania.

    Listę wszystkich działań inspekcji można uzyskać przy użyciu interfejsu API programu Graph: https://graph.windows.net/<tenantdomain>/activities/auditActivityTypesV2?api-version=beta

  • Stan: umożliwia przyjrzenie się wynikowi na podstawie tego, czy działanie było powodzeniem lub niepowodzeniem.

  • Element docelowy: umożliwia wyszukiwanie elementu docelowego lub adresata działania. Wyszukaj kilka pierwszych liter nazwy lub głównej nazwy użytkownika (UPN). Nazwa docelowa i nazwa UPN są uwzględniane w wielkości liter.

  • Zainicjowane przez: umożliwia wyszukiwanie przez osoby, które zainicjowały działanie przy użyciu kilku pierwszych liter ich nazwy lub nazwy UPN. Nazwa i nazwa UPN są uwzględniane w wielkości liter.

  • Zakres dat: umożliwia zdefiniowanie przedziału czasu dla zwracanych danych. Możesz wyszukać ostatnie 7 dni, 24 godziny lub zakres niestandardowy. Po wybraniu niestandardowego przedziału czasu możesz skonfigurować godzinę rozpoczęcia i zakończenia.

    Możesz również pobrać odfiltrowane dane, maksymalnie 250 000 rekordów, wybierając przycisk Pobierz . Dzienniki można pobrać w formacie CSV lub JSON. Liczba rekordów, które można pobrać, jest ograniczona przez zasady przechowywania raportów usługi Azure Active Directory.

    Zrzut ekranu przedstawiający opcję pobierania danych.

Dzienniki aktywności platformy Microsoft 365

Dzienniki aktywności platformy Microsoft 365 można wyświetlić w centrum administracyjnym platformy Microsoft 365. Mimo że aktywność platformy Microsoft 365 i dzienniki aktywności usługi Azure AD współdzielą wiele zasobów katalogu, tylko centrum administracyjne platformy Microsoft 365 zapewnia pełny widok dzienników aktywności platformy Microsoft 365.

Dostęp do dzienników aktywności platformy Microsoft 365 można również uzyskać programowo przy użyciu interfejsów API zarządzania usługi Office 365.

Uwaga

Większość autonomicznych lub dołączonych subskrypcji platformy Microsoft 365 ma zależności zaplecza w niektórych podsystemach w granicach centrum danych platformy Microsoft 365. Zależności wymagają zapisu informacji, aby zachować synchronizację katalogów i zasadniczo ułatwić bezproblemowe dołączanie w ramach subskrypcji w usłudze Exchange Online. W przypadku tych zapisów wpisy dziennika inspekcji pokazują akcje wykonywane przez "Zarządzanie substratami firmy Microsoft". Te wpisy dziennika inspekcji odnoszą się do operacji tworzenia/aktualizowania/usuwania wykonywanych przez usługę Exchange Online w usłudze Azure AD. Wpisy są informacyjne i nie wymagają żadnej akcji.

Następne kroki