Dela via

Hämta Windows 365-granskningsloggar

  • Artikel

Granskningsloggar för Windows 365 innehåller en post med aktiviteter som genererar en ändring i en molndator. Skapa, uppdatera (redigera), ta bort, tilldela och fjärråtgärder skapar alla granskningshändelser som administratörer kan granska för de flesta Cloud PC-åtgärder som går igenom Graph. Som standard är granskning aktiverat för alla kunder. Det kan inte inaktiveras.

Vem kan komma åt data?

Användare med följande behörigheter kan granska granskningsloggar:

  • Intune-tjänstadministratör
  • Global administratör
  • Administratörer som tilldelats en Intune-roll med granskningsdata – Läsbehörigheter

Viktigt

Microsoft rekommenderar att du använder roller med minst behörighet. Detta bidrar till att förbättra säkerheten för din organisation. Global administratör är en mycket privilegierad roll som bör begränsas till nödsituationsscenarier när du inte kan använda en befintlig roll.

Skicka Windows 365-granskningsloggar till diagnostikinställningar i Azure Monitor

Med diagnostikinställningarna för Azure Monitor kan du exportera plattformsloggar och mått till önskat mål. Du kan skapa upp till fem olika diagnostikinställningar för att skicka olika loggar och mått till oberoende mål. Mer information finns i Diagnostikinställningar i Azure Monitor.

Så här skapar du en diagnostikinställning för att skicka loggar

  1. Kontrollera att du har ett Azure-konto.
  2. Logga in på administrationscentret för Microsoft Intune och välj Rapporter>Diagnostikinställningar (under Azure Monitor)>Lägg till diagnostikinställningar.
  3. Under Loggar väljer du Windows365AuditLogs.
  4. Under Målinformation väljer du målet och anger information.
  5. Välj Spara.

Använda Graph API och PowerShell för att hämta granskningshändelser

Följ dessa steg för att hämta granskningslogghändelser för din Windows 365-klientorganisation:

Installera SDK

  1. Kör följande kommando i PowerShell: Install-Module Microsoft.Graph.Beta -Scope CurrentUser -AllowClobber
  2. Kontrollera installationen genom att köra det här kommandot:Get-InstalledModule Microsoft.Graph.Beta
  3. Kör det här kommandot för att hämta alla Cloud PC Graph-slutpunkter: Get-Command -Module Microsoft.Graph* *virtualEndpoint*

Logga in

  1. Kör något av följande två kommandon:
    • Connect-MgGraph -Scopes "CloudPC.ReadWrite.All"
    • Connect-MgGraph -Scopes "CloudPC.Read.All"
  2. På den resulterande webbsidan loggar du in på din klientorganisation med ett användarkonto som har lämpliga läs- och/eller skrivbehörigheter.
  3. Växla till Graph Beta-miljön med hjälp av det här kommandot: Select-MgProfile -Name "beta"

Hämta granskningsdata

Du kan visa granskningsdata på flera olika sätt.

Hämta hela listan över granskningshändelser, inklusive granskningsaktören

Om du vill hämta hela listan över granskningshändelser, inklusive aktören (person som utförde åtgärden), använder du följande kommando:

Get-MgBetaDeviceManagementVirtualEndpointAuditEvent | Select-Object -Property Actor,ActivityDateTime,ActivityType,ActivityResult -ExpandProperty Actor | Format-Table UserId, UserPrincipalName, ActivityType, ActivityDateTime, ActivityResult

Hämta en lista över granskningshändelser

Om du vill hämta en lista över granskningshändelser utan granskningsskådespelaren använder du följande kommando:

Get-MgBetaDeviceManagementVirtualEndpointAuditEvent

Om du vill hämta alla händelser använder du parametern -All : Get-MgBetaDeviceManagementVirtualEndpointAuditEvent -All

Om du bara vill hämta de N främsta händelserna använder du följande parametrar: Get-MgBetaDeviceManagementVirtualEndpointAuditEvent -All -Top {TopNumber}

Hämta en enskild händelse efter händelse-ID

Du kan använda följande kommando för att hämta en enskild granskningshändelse, där du måste ange {händelse-ID}: Get-MgBetaDeviceManagementVirtualEndpointAuditEvent -CloudPcAuditEventId {event ID}

Nästa steg

Affärskontinuitet och haveriberedskap.