Compartilhar via


Obter registos de auditoria do Windows 365

Os logs de auditoria do Windows 365 incluem um registro de atividades que geram uma alteração em um computador na nuvem. Ações de criar, atualizar (editar), excluir, atribuir e ações remotas criam eventos de auditoria que os administradores podem examinar para a maioria das ações de PC na nuvem que passam pelo Graph. Por padrão, a auditoria está habilitada para todos os clientes. Ele não pode ser desabilitado.

Quem pode acessar os dados?

Os usuários com as seguintes permissões podem examinar os logs de auditoria:

  • Administrador de Serviços do Intune
  • Administrador Global
  • Os administradores atribuídos a uma função do Intune com permissões de Dados de auditoria – Leitura

Importante

A Microsoft recomenda que você use funções com o menor número de permissões. Isto ajuda a melhorar a segurança da sua organização. O Administrador Global é uma função altamente privilegiada que deve ser limitada a cenários de emergência quando não for possível usar uma função existente.

Enviar registos de auditoria do Windows 365 para as definições de diagnóstico no Azure Monitor

As definições de diagnóstico do Azure Monitor permitem-lhe exportar registos e métricas da plataforma para o destino da sua preferência. Pode criar até cinco definições de diagnóstico diferentes para enviar registos e métricas diferentes para destinos independentes. Para obter mais informações, veja Definições de diagnóstico no Azure Monitor.

Para criar uma definição de diagnóstico para enviar registos

  1. Certifique-se de que tem uma conta do Azure.
  2. Inicie sessão no centro de administração do Microsoft Intune, selecioneDefinições de diagnóstico de Relatórios> (em Monitor do Azure)>Adicionar Definições de diagnóstico.
  3. Em Registos, selecione Windows365AuditLogs.
  4. Em Detalhes do destino, selecione o destino e forneça os detalhes.
  5. Selecione Salvar.

Usar a API do Graph e o PowerShell para recuperar eventos de auditoria

Para obter eventos de registo de auditoria para o seu inquilino do Windows 365, siga estes passos:

Instalar o SDK

  1. No PowerShell, execute este comando: Install-Module Microsoft.Graph.Beta -Scope CurrentUser -AllowClobber
  2. Verifique a instalação executando este comando: Get-InstalledModule Microsoft.Graph.Beta
  3. Para obter todos os pontos de extremidade do Graph para o PC na nuvem, execute este comando: Get-Command -Module Microsoft.Graph* *virtualEndpoint*

Entrar

  1. Execute um destes dois comandos:
    • Connect-MgGraph -Scopes "CloudPC.ReadWrite.All"
    • Connect-MgGraph -Scopes "CloudPC.Read.All"
  2. Na página da Web resultante, entre no locatário com uma conta de usuário que tenha as permissões de leitura e/ou gravação apropriadas.
  3. Mude para o ambiente beta do Graph usando este comando: Select-MgProfile -Name "beta"

Obter dados de auditoria

Você pode exibir dados de auditoria de várias maneiras.

Obter toda a lista de eventos de auditoria, incluindo o ator da auditoria

Para obter toda a lista de eventos de auditoria, incluindo o ator (pessoa que executou a ação), use o seguinte comando:

Get-MgBetaDeviceManagementVirtualEndpointAuditEvent | Select-Object -Property Actor,ActivityDateTime,ActivityType,ActivityResult -ExpandProperty Actor | Format-Table UserId, UserPrincipalName, ActivityType, ActivityDateTime, ActivityResult

Obter uma lista de eventos de auditoria

Para obter uma lista de eventos de auditoria sem o ator da auditoria, use o seguinte comando:

Get-MgBetaDeviceManagementVirtualEndpointAuditEvent

Para obter todos os eventos, use o parâmetro -All: Get-MgBetaDeviceManagementVirtualEndpointAuditEvent -All

Para obter apenas os N primeiros eventos, use os seguintes parâmetros: Get-MgBetaDeviceManagementVirtualEndpointAuditEvent -All -Top {TopNumber}

Obter apenas um evento por ID de evento

Você pode usar o seguinte comando para obter um único evento de auditoria, onde você precisará fornecer a {event ID}: Get-MgBetaDeviceManagementVirtualEndpointAuditEvent -CloudPcAuditEventId {event ID}

Próximas etapas

Continuidade dos negócios e recuperação de desastres.