Obter logs de auditoria Windows 365

  • Artigo

Os logs de auditoria do Windows 365 incluem um registro de atividades que geram uma alteração em um computador na nuvem. Ações de criar, atualizar (editar), excluir, atribuir e ações remotas criam eventos de auditoria que os administradores podem examinar para a maioria das ações de PC na nuvem que passam pelo Graph. Por padrão, a auditoria está habilitada para todos os clientes. Ele não pode ser desabilitado.

Quem pode acessar os dados?

Os usuários com as seguintes permissões podem examinar os logs de auditoria:

  • Administrador Global
  • Administrador de Serviços do Intune
  • Os administradores atribuídos a uma função do Intune com permissões de Dados de auditoria – Leitura

Enviar logs de auditoria Windows 365 para configurações de diagnóstico no Azure Monitor

As configurações de diagnóstico do Azure Monitor permitem exportar logs e métricas de plataforma para o destino de sua escolha. Você pode criar até cinco configurações de diagnóstico diferentes para enviar logs e métricas diferentes para destinos independentes. Para obter mais informações, confira Configurações de diagnóstico no Azure Monitor.

Para criar uma configuração de diagnóstico para enviar logs

  1. Verifique se você tem uma conta do Azure.
  2. Entre no centro de administração Microsoft Intune, selecioneConfigurações de diagnóstico de relatórios> (em monitor do Azure)>Adicionar configurações de diagnóstico.
  3. Em Logs, selecione Windows365AuditLogs.
  4. Em Detalhes de destino, selecione o destino e forneça detalhes.
  5. Selecione Salvar.

Usar a API do Graph e o PowerShell para recuperar eventos de auditoria

Para obter eventos de log de auditoria por até sete dias para o locatário do Windows 365, siga estas etapas:

Instalar o SDK

  1. No PowerShell, execute este comando: Install-Module Microsoft.Graph.Beta -Scope CurrentUser -AllowClobber
  2. Verifique a instalação executando este comando: Get-InstalledModule Microsoft.Graph.Beta
  3. Para obter todos os pontos de extremidade do Graph para o PC na nuvem, execute este comando: Get-Command -Module Microsoft.Graph* *virtualEndpoint*

Entrar

  1. Execute um destes dois comandos:
    • Connect-MgGraph -Scopes "CloudPC.ReadWrite.All"
    • Connect-MgGraph -Scopes "CloudPC.Read.All"
  2. Na página da Web resultante, entre no locatário com uma conta de usuário que tenha as permissões de leitura e/ou gravação apropriadas.
  3. Mude para o ambiente beta do Graph usando este comando: Select-MgProfile -Name "beta"

Obter dados de auditoria

Você pode exibir dados de auditoria de várias maneiras.

Obter toda a lista de eventos de auditoria, incluindo o ator da auditoria

Para obter toda a lista de eventos de auditoria, incluindo o ator (pessoa que executou a ação), use o seguinte comando:

Get-MgBetaDeviceManagementVirtualEndpointAuditEvent | Select-Object -Property Actor,ActivityDateTime,ActivityType,ActivityResult -ExpandProperty Actor | Format-Table UserId, UserPrincipalName, ActivityType, ActivityDateTime, ActivityResult

Obter uma lista de eventos de auditoria

Para obter uma lista de eventos de auditoria sem o ator da auditoria, use o seguinte comando:

Get-MgBetaDeviceManagementVirtualEndpointAuditEvent

Para obter todos os eventos, use o parâmetro -All: Get-MgBetaDeviceManagementVirtualEndpointAuditEvent -All

Para obter apenas os N primeiros eventos, use os seguintes parâmetros: Get-MgBetaDeviceManagementVirtualEndpointAuditEvent -All -Top {TopNumber}

Obter apenas um evento por ID de evento

Você pode usar o seguinte comando para obter um único evento de auditoria, onde você precisará fornecer a {event ID}: Get-MgBetaDeviceManagementVirtualEndpointAuditEvent -CloudPcAuditEventId {event ID}

Próximas etapas

Continuidade dos negócios e recuperação de desastres.