Что такое журналы аудита Microsoft Entra?

Журналы действий Microsoft Entra включают журналы аудита, которые являются исчерпывающим отчетом о каждом зарегистрированном событии в идентификаторе Microsoft Entra. Изменения приложений, групп, пользователей и лицензий фиксируются в журналах аудита Microsoft Entra.

Также доступны два других журнала действий, которые помогут отслеживать работоспособность клиента:

• Операции входа — сведения об операциях входа и использовании ресурсов пользователями.
• Подготовка — действия, выполняемые службой подготовки к работе, например создание группы в ServiceNow или импорт пользователей из Workday.

В этой статье представлен обзор журналов аудита, включая необходимые для доступа к ним сведения и сведения, которые они предоставляют.

Требования к лицензии и роли

Требуемые роли и лицензии зависят от отчета. Для доступа к данным мониторинга и работоспособности в Microsoft Graph требуются отдельные разрешения. Мы рекомендуем использовать роль с минимальными привилегиями для согласования с руководством по нулю доверия.

Журнал или отчет	Роли	Лицензии
Audit	Читатель отчетов читатель сведений о безопасности; администратор безопасности; Глобальный читатель	Все выпуски идентификатора Microsoft Entra
Вход в систему	Читатель отчетов читатель сведений о безопасности; администратор безопасности; Глобальный читатель	Все выпуски идентификатора Microsoft Entra
Подготовка	Читатель отчетов читатель сведений о безопасности; администратор безопасности; Глобальный читатель Оператор безопасности Администратор приложений Cloud App Администратор istrator	Microsoft Entra ID P1 или P2
Журналы аудита настраиваемых атрибутов безопасности*	Журнал атрибутов Администратор istrator Читатель журналов атрибутов	Все выпуски идентификатора Microsoft Entra
Потребление и аналитические сведения	Читатель отчетов читатель сведений о безопасности; администратор безопасности;	Microsoft Entra ID P1 или P2
Защита идентификации**	администратор безопасности; Оператор безопасности читатель сведений о безопасности; Глобальный читатель	Microsoft Entra ID, уровень «Бесплатный» Приложения Microsoft 365 Microsoft Entra ID P1 или P2
Журналы действий Microsoft Graph	администратор безопасности; Разрешения на доступ к данным в соответствующем назначении журнала	Microsoft Entra ID P1 или P2

*Просмотр настраиваемых атрибутов безопасности в журналах аудита или создание параметров диагностики для настраиваемых атрибутов безопасности требует одной из ролей журнала атрибутов. Вам также нужна соответствующая роль для просмотра стандартных журналов аудита.

**Уровень доступа и возможностей защиты идентификации зависит от роли и лицензии. Дополнительные сведения см. в требованиях к лицензии для защиты идентификации.

Что можно сделать с журналами аудита?

Журналы аудита в идентификаторе Microsoft Entra предоставляют доступ к записям системных действий, часто необходимым для соответствия требованиям. Вы можете получить ответы на вопросы, связанные с пользователями, группами и приложениями.

Пользователи.

• Какие типы изменений были недавно применены к пользователям?
• Сколько пользователей было изменено?
• Сколько паролей было изменено?

Группы.

• Какие группы были добавлены недавно?
• Изменены ли владельцы групп?
• Какие лицензии относятся к группе или пользователю?

Приложения.

• Какие приложения были обновлены или удалены?
• Изменилcя ли субъект-служба для приложения?
• Изменены ли имена приложений?

Настраиваемые атрибуты безопасности:

• Какие изменения были внесены в определения или назначения настраиваемых атрибутов безопасности?
• Какие обновления были сделаны для наборов атрибутов?
• Какие пользовательские значения атрибутов были назначены пользователю?

Примечание.

Записи в журналах аудита создаются системой и не могут быть изменены или удалены.

Что отображается в журналах?

Журналы аудита по умолчанию отображаются на вкладке "Каталог ", где отображаются следующие сведения:

• дата и время события;
• служба, которая зарегистрировала событие;
• категория и имя действия (что?);
• состояние действия (успех или сбой);

На второй вкладке настраиваемой безопасности отображаются журналы аудита для пользовательских атрибутов безопасности. Чтобы просмотреть данные на этой вкладке, необходимо иметь роль "Журнал атрибутов" Администратор istrator или "Читатель журналов атрибутов". В этом журнале аудита показаны все действия, связанные с пользовательскими атрибутами безопасности. Дополнительные сведения см. в разделе "Что такое настраиваемые атрибуты безопасности".

Журналы действий Microsoft 365

Журналы действий Microsoft 365 можно просматривать в центре администрирования Microsoft 365. Несмотря на то что журналы действий Microsoft 365 и журналы действий Microsoft Entra используют множество ресурсов каталога, только Центр администрирования Microsoft 365 предоставляет полное представление журналов действий Microsoft 365.

Вы также можете получить программный доступ к журналам действий Microsoft 365 с помощью API управления Office 365.

Большинство автономных или пакетных подписок Microsoft 365 имеют внутренние зависимости от некоторых подсистем в границах центра обработки данных Microsoft 365. Для этих зависимостей требуется обратная запись данных, чтобы обеспечить синхронизацию каталогов и, по сути, обеспечить беспроблемное подключение в подписке для Exchange Online. Для этих операций обратной записи в журнал аудита отображаются действия, выполняемые службой Microsoft Substrate Management. Эти записи журнала аудита ссылаются на операции создания, обновления и удаления, выполняемых Exchange Online в идентификатор Microsoft Entra. Записи являются информационными и не требуют никаких действий.