Журналы аудита в Azure Active Directory

ИТ-администратору важно иметь представление о том, что происходит в его ИТ-среде. Сведения о работоспособности системы позволяют определить, когда и как нужно реагировать на потенциальные проблемы.

Для достижения этой цели портал Azure Active Directory предоставляет три журнала действий:

  • Операции входа — сведения об операциях входа и использовании ресурсов пользователями.
  • Аудит — сведения об изменениях, примененных к вашему клиенту, например об операциях управления пользователями и группами или обновлении ресурсов клиента.
  • Подготовка — действия, выполняемые службой подготовки к работе, например создание группы в ServiceNow или импорт пользователей из Workday.

В этом разделе содержатся общие сведения о журналах аудита.

Что это такое?

Журналы аудита в Azure AD позволяют получить доступ к записям системных действий для контроля соответствия. Наиболее распространенные представления этого журнала основаны на следующих категориях:

  • управление пользователями;

  • Управление группами

  • Управление приложениями

С помощью ориентированного на пользователей представления можно получить ответы на такие вопросы:

  • Обновления каких типов были применены к пользователям?

  • Сколько пользователей было изменено?

  • Сколько паролей было изменено?

  • Что делал администратор в каталоге?

С помощью ориентированного на группы представления можно получить ответы на такие вопросы:

  • Какие группы были добавлены?

  • В каких группах произошли изменения членства?

  • Изменены ли владельцы групп?

  • Какие лицензии были назначены пользователю или группе?

С помощью ориентированного на приложение представления можно получить ответы на такие вопросы:

  • Какие приложения были добавлены или обновлены?

  • Какие приложения были удалены?

  • Изменилcя ли субъект-служба для приложения?

  • Изменены ли имена приложений?

  • Кто дал согласие на использование приложения?

Какие лицензии нужны?

Отчет о действиях аудита доступен во всех выпусках Azure AD.

Кто может получить к ним доступ?

Для доступа к журналам аудита необходимо иметь одну из следующих ролей:

  • Администратор безопасности
  • Читатель сведений о безопасности
  • Читатель отчетов
  • Глобальный читатель
  • глобальный администратор

Где можно его найти?

Портал Azure предоставляет несколько вариантов для доступа к журналу. Например, в меню Azure Active Directory можно открыть журнал в разделе Мониторинг.

Open audit logs

Кроме того, вы можете перейти непосредственно к журналам аудита, используя эту ссылку.

Вы также можете получить доступ к журналу аудита с помощью API Microsoft Graph.

Что содержит представление по умолчанию?

Журнал аудита содержит представление списка по умолчанию, в котором отображаются:

  • дата и время выполнения действия;
  • служба, которая зарегистрировала событие
  • категория и имя действия (что? );
  • состояние действия (успех или неудачная попытка)
  • целевой объект.
  • инициатор или субъект (кто?) действия;

Audit logs

Можно настроить представление списка, нажав на Столбцы на панели инструментов.

Audit columns

Здесь вы можете добавить или удалить отображаемые поля.

Remove fields

Чтобы получить более подробную информацию, выберите элемент в списке.

select item

Фильтрация журналов аудита

Данные аудита можно отфильтровать в следующих полях:

  • Служба
  • Category
  • Действие
  • Состояние
  • Целевой объект
  • инициатор (субъект);
  • Диапазон даты

Filter object

Фильтр Служба позволяет выбрать из раскрывающегося списка следующие службы.

  • Все
  • Пользовательский интерфейс управления AAD
  • Проверки доступа
  • "Account Provisioning" (Подготовка учетных записей).
  • Прокси приложения
  • Способы проверки подлинности
  • B2C
  • Условный доступ
  • "Core Directory" (Основной каталог);
  • Управление правами
  • Гибридная проверка подлинности
  • Защита идентификации
  • Invited Users (Приглашаемые пользователи)
  • Служба MIM
  • MyApps
  • PIM
  • "Self-service Group Management" (Самостоятельное управление группами);
  • "Self-service Password Management" (Самостоятельное управление паролями);
  • Условия использования

С помощью фильтра Категория можно выбрать один из следующих фильтров.

  • Все
  • AdministrativeUnit
  • ApplicationManagement
  • Аутентификация
  • Авторизация
  • Contact
  • Устройство
  • DeviceConfiguration
  • DirectoryManagement
  • EntitlementManagement
  • GroupManagement
  • KerberosDomain
  • KeyManagement
  • Метка
  • Другие
  • PermissionGrantPolicy
  • Политика
  • ResourceManagement
  • RoleManagement
  • UserManagement

Фильтр Действие зависит от выбранной категории и типа ресурса действия. Вы можете выбрать определенное действие или просмотреть все.

С помощью API Graph можно получить список всех действий аудита: https://graph.windows.net/<tenantdomain>/activities/auditActivityTypesV2?api-version=beta.

С помощью фильтра Состояние можно выполнять фильтрацию на основе состояния операции аудита. Состояние может принимать следующие значения.

  • Все
  • Успешно
  • Failure

С помощью фильтра Целевой объект можно выполнять поиск определенного целевого объекта по началу имени или имени участника-пользователя (UPN). Имя целевого объекта и имя участника-пользователя чувствительны к регистру.

С помощью фильтра Инициатор можно определить, как начинается имя субъекта или имя участника-пользователя (UPN). Имя и имя участника-пользователя чувствительны к регистру.

Фильтр Диапазон дат позволяет определить интервал времени для возвращаемых данных.
Возможны следующие значения:

  • 7 дней
  • 24 часа
  • Особые настройки

При выборе пользовательского интервала времени можно настроить время начала и окончания.

Можно также скачать отфильтрованные данные (не более 250 000 записей). Для этого нажмите кнопку Скачать. Скачать журналы можно в формате CSV или JSON. На число записей, которые можно скачать, влияют особенности политики хранения отчетов Azure Active Directory.

Download data

Журналы действий Microsoft 365

Журналы действий Microsoft 365 можно просматривать в центре администрирования Microsoft 365. Несмотря на то что журналы активности Microsoft 365 и AAD совместно используют множество ресурсов каталога, только Центр администрирования Microsoft 365 предоставляет возможность полностью просмотреть журналы действий Microsoft 365.

Вы также можете получить программный доступ к журналам действий Microsoft 365 с помощью API управления Office 365.

Примечание

Большинство автономных или пакетных подписок Microsoft 365 имеют внутренние зависимости от некоторых подсистем в границах центра обработки данных Microsoft 365. Для этих зависимостей требуется обратная запись данных, чтобы обеспечить синхронизацию каталогов и, по сути, обеспечить беспроблемное подключение в подписке для Exchange Online. Для этих операций обратной записи в журнал аудита отображаются действия, выполняемые службой Microsoft Substrate Management. Эти записи журнала аудита относятся к операциям создания, обновления и удаления, выполняемым Exchange Online в Azure AD. Записи являются информационными и не требуют никаких действий.

Дальнейшие действия