Получение журналов аудита Windows 365
Журналы аудита для Windows 365 содержат записи действий, приводящих к изменениям на облачном компьютере. Действия создания, обновления (редактирования), удаления, назначения и удаленные действия приводят к созданию событий аудита, которые администраторы могут просматривать для большинства действий облачных компьютеров, выполняющихся через Graph. По умолчанию аудит включен для всех клиентов. Отключить его невозможно.
У кого есть доступ к данным?
Пользователи со следующими разрешениями могут просматривать журналы аудита:
- Администратор службы Intune
- Глобальный администратор
- администраторы, которым назначена роль Intune с разрешениями Данные аудита — чтение.
Важно!
Microsoft рекомендует использовать роли с наименьшим количеством разрешений. Это помогает повысить безопасность вашей организации. Глобальный администратор — это роль с высокими привилегиями, которую следует ограничивать экстренными сценариями, когда вы не можете использовать существующую роль.
Отправка журналов аудита Windows 365 в параметры диагностики в Azure Monitor
Параметры диагностики Azure Monitor позволяют экспортировать журналы платформы и метрики в выбранное место назначения. Вы можете создать до пяти различных параметров диагностики для отправки различных журналов и метрик в независимые назначения. Дополнительные сведения см. в статье Параметры диагностики в Azure Monitor.
Создание параметра диагностики для отправки журналов
- Убедитесь, что у вас есть учетная запись Azure.
- Войдите в Центр администрирования Microsoft Intune, выберите Отчеты>Параметры диагностики (в разделе Azure Monitor)>Добавить параметры диагностики.
- В разделе Журналы выберите Windows365AuditLogs.
- В разделе Сведения о назначении выберите назначение и укажите сведения.
- Выберите Сохранить.
Использование API Graph и PowerShell для получения событий аудита
Чтобы получить события журнала аудита для клиента Windows 365, выполните следующие действия.
Установка пакета SDK
- В PowerShell выполните команду
Install-Module Microsoft.Graph.Beta -Scope CurrentUser -AllowClobber. - Проверьте установку, выполнив команду
Get-InstalledModule Microsoft.Graph.Beta. - Чтобы получить все конечные точки Graph для облачного компьютера, выполните команду
Get-Command -Module Microsoft.Graph* *virtualEndpoint*.
Вход
- Выполните одну из следующих команд.
Connect-MgGraph -Scopes "CloudPC.ReadWrite.All"Connect-MgGraph -Scopes "CloudPC.Read.All"
- На открывшейся веб-странице войдите в свой клиент с помощью учетной записи пользователя, имеющей соответствующие разрешения на чтение и (или) запись.
- Переключитесь на среду Graph (бета-версия) с помощью команды
Select-MgProfile -Name "beta".
Получение данных аудита
Просмотреть данные аудита можно несколькими способами.
Получение всего списка событий аудита, включая субъект аудита
Чтобы получить полный список событий аудита, включая субъект (пользователя, выполнившего действие), используйте следующую команду.
Get-MgBetaDeviceManagementVirtualEndpointAuditEvent | Select-Object -Property Actor,ActivityDateTime,ActivityType,ActivityResult -ExpandProperty Actor | Format-Table UserId, UserPrincipalName, ActivityType, ActivityDateTime, ActivityResult
Получение списка событий аудита
Чтобы получить список событий аудита без субъекта аудита, используйте следующую команду.
Get-MgBetaDeviceManagementVirtualEndpointAuditEvent
Чтобы получить все события, используйте параметр -All: Get-MgBetaDeviceManagementVirtualEndpointAuditEvent -All.
Чтобы получить только N первых событий, используйте следующие параметры: Get-MgBetaDeviceManagementVirtualEndpointAuditEvent -All -Top {TopNumber}.
Получение отдельного события по идентификатору события
Для получения одного события аудита вы можете использовать следующую команду, в которой необходимо указать {event ID}: Get-MgBetaDeviceManagementVirtualEndpointAuditEvent -CloudPcAuditEventId {event ID}