Granskningsloggar i Azure Active Directory

Som IT-administratör behöver du känna till IT-miljöns status. Informationen om systemets hälsa gör att du kan utvärdera om och hur du behöver svara på potentiella problem.

För att stödja dig med det här målet ger Azure Active Directory-portalen dig åtkomst till tre aktivitetsloggar:

  • Inloggningar – Information om inloggningar och hur dina resurser används av dina användare.
  • Granskning – Information om ändringar som tillämpas på din klientorganisation, till exempel användare och grupphantering eller uppdateringar som tillämpas på klientorganisationens resurser.
  • Etablering – aktiviteter som utförs av etableringstjänsten, till exempel skapandet av en grupp i ServiceNow eller en användare som importerats från Workday.

Den här artikeln ger dig en översikt över granskningsloggarna.

Vad är det?

Med granskningsloggarna i Azure AD får du åtkomst till poster för systemaktiviteter för efterlevnad. De vanligaste vyerna i den här loggen baseras på följande kategorier:

  • Användarhantering

  • Grupphantering

  • Programhantering

Med en användarcentrerad vy kan du få svar på frågor som:

  • Vilka typer av uppdateringar har tillämpats på användare?

  • Hur många användare ändrades?

  • Hur många lösenord ändrades?

  • Vad har en administratör gjort i en katalog?

Med en gruppcentrerad vy kan du få svar på frågor som:

  • Vilka grupper har lagts till?

  • Finns det grupper med ändringar i medlemskap?

  • Har ägare av en grupp ändrats?

  • Vilka licenser har tilldelats en grupp eller en användare?

Med en programcentrerad vy kan du få svar på frågor som:

  • Vilka program har lagts till eller uppdaterats?

  • Vilka program har tagits bort?

  • Har tjänstens huvudnamn för ett program ändrats?

  • Har namnen på program ändrats?

  • Vem gav tillstånd till ett program?

Vilken licens behöver jag?

Granskningsaktivitetsrapporten är tillgänglig i alla utgåvor av Azure AD.

Vem kan komma åt den?

För att få åtkomst till granskningsloggarna måste du ha någon av följande roller:

  • Säkerhetsadministratör
  • Säkerhetsläsare
  • Rapportläsare
  • Global läsare
  • Global administratör

Var kan jag hitta det?

Azure-portalen ger dig flera alternativ för att komma åt loggen. På menyn Azure Active Directory kan du till exempel öppna loggen i avsnittet Övervakning .

Open audit logs

Dessutom kan du gå direkt till granskningsloggarna med hjälp av den här länken.

Du kan också komma åt granskningsloggen via Microsoft Graph API.

Vad är standardvyn?

En granskningslogg har en standardlistvy som visar:

  • datum och tid för förekomsten
  • tjänsten som loggade händelsen
  • kategorin och namnet på aktiviteten (vad)
  • status för aktiviteten (lyckade eller misslyckade)
  • målet
  • initieraren/aktören (vem) för en aktivitet

Audit logs

Du kan anpassa listvyn genom att klicka på Kolumner i verktygsfältet.

Audit columns

På så sätt kan du visa ytterligare fält eller ta bort fält som redan visas.

Remove fields

Välj ett objekt i listvyn för att få mer detaljerad information.

select item

Filtrera granskningsloggar

Du kan filtrera granskningsdata på följande fält:

  • Tjänst
  • Kategori
  • Aktivitet
  • Status
  • Mål
  • Initierad av (aktör)
  • Datumintervall

Filter object

Med filtret Tjänst kan du välja från en listruta med följande tjänster:

  • Alla
  • AAD Management UX
  • Åtkomstgranskningar
  • Kontoetablering
  • Programproxy
  • Autentiseringsmetoder
  • B2C
  • Villkorlig åtkomst
  • Kärnkatalog
  • Berättigandehantering
  • Hybridautentisering
  • Identity Protection
  • Inbjudna användare
  • MIM-tjänst
  • MyApps
  • PIM
  • Självbetjäning, grupphantering
  • Hantering av lösenord för självbetjäning
  • Användningsvillkor

Med filtret Kategori kan du välja något av följande filter:

  • Alla
  • AdministrativeUnit
  • ApplicationManagement
  • Autentisering
  • Auktorisering
  • Kontakt
  • Enhet
  • DeviceConfiguration
  • DirectoryManagement
  • EntitlementManagement
  • GroupManagement
  • KerberosDomain
  • KeyManagement
  • Etikett
  • Övrigt
  • PermissionGrantPolicy
  • Policy
  • ResourceManagement
  • RoleManagement
  • UserManagement

Filtret Aktivitet baseras på vilken kategori och aktivitetsresurstyp du väljer. Du kan välja en specifik aktivitet som du vill visa eller välja alla.

Du kan hämta listan över alla granskningsaktiviteter med graph-API:et: https://graph.windows.net/<tenantdomain>/activities/auditActivityTypesV2?api-version=beta

Med statusfiltret kan du filtrera baserat på status för en granskningsåtgärd. Statusen kan vara något av följande:

  • Alla
  • Klart
  • Fel

Med filtret Mål kan du söka efter ett visst mål genom att starta namnet eller användarens huvudnamn (UPN). Målnamnet och UPN är skiftlägeskänsliga.

Med filtret Initierad av kan du definiera vad en aktörs namn eller ett UPN (Universal Principal Name) börjar med. Namnet och UPN är skiftlägeskänsliga.

Med filtret Datumintervall kan du definiera en tidsram för returnerade data.
Möjliga värden:

  • 7 dagar
  • 24 timmar
  • Anpassat

När du väljer en anpassad tidsram kan du konfigurera en starttid och en sluttid.

Du kan också välja att ladda ned filtrerade data, upp till 250 000 poster, genom att välja knappen Ladda ned . Du kan ladda ned loggarna i CSV- eller JSON-format. Antalet poster som du kan ladda ned begränsas av kvarhållningsprinciperna för Azure Active Directory-rapporter.

Download data

Microsoft 365-aktivitetsloggar

Du kan visa Microsoft 365-aktivitetsloggar från administrationscentret för Microsoft 365. Även om Microsoft 365-aktivitets- och Azure AD-aktivitetsloggar delar många katalogresurser, ger endast Administrationscenter för Microsoft 365 en fullständig vy över Microsoft 365-aktivitetsloggarna.

Du kan också komma åt Microsoft 365-aktivitetsloggarna programmatiskt med hjälp av Office 365 Management-API:er.

Anteckning

De flesta fristående eller paketerade Microsoft 365-prenumerationer har serverdelsberoenden på vissa undersystem inom microsoft 365-datacentergränsen. Beroendena kräver viss tillbakaskrivning av information för att hålla katalogerna synkroniserade och i huvudsak för att möjliggöra problemfri registrering i en prenumerationsregistrering för Exchange Online. För dessa tillbakaskrivningar visar granskningsloggposter åtgärder som vidtagits av "Microsoft Substrate Management". Dessa granskningsloggposter refererar till åtgärder för att skapa/uppdatera/ta bort som körs av Exchange Online till Azure AD. Posterna är informationsbaserade och kräver ingen åtgärd.

Nästa steg