什么是 Microsoft Entra 审核日志?
Microsoft Entra 活动日志包括审核日志,这是有关 Microsoft Entra ID 中每个记录事件的综合报告。 对应用程序、组、用户和许可证的更改都会在 Microsoft Entra 审核日志中捕获。
还可以使用另外两种活动日志来帮助监视租户的运行状况:
本文概述了审核日志,包括访问审核日志所需的权限和审核日志中提供的信息。
许可证和角色要求
所需的角色和许可因报表而异。 需要单独的权限才能访问 Microsoft Graph 中的监视和运行状况数据。 我们建议使用具有最低访问权限的角色,以符合零信任指南。
| 日志/报表 | 角色 | 许可证 |
|---|---|---|
| 审核 | 报告读取者 安全读取者 安全管理员 全局读取者 |
在所有版本的 Microsoft Entra ID |
| 登录 | 报告读取者 安全读取者 安全管理员 全局读取者 |
在所有版本的 Microsoft Entra ID |
| 预配 | 报告读取者 安全读取者 安全管理员 全局读取者 安全操作员 应用程序管理员 云应用管理员 |
Microsoft Entra ID P1 或 P2 |
| 自定义安全属性审核日志* | 属性日志管理员 属性日志读取器 |
在所有版本的 Microsoft Entra ID |
| 使用情况和见解 | 报告读取者 安全读取者 安全管理员 |
Microsoft Entra ID P1 或 P2 |
| 标识保护** | 安全管理员 安全操作员 安全读取者 全局读取者 |
Microsoft Entra ID Free Microsoft 365 应用 Microsoft Entra ID P1 或 P2 |
| Microsoft Graph 活动日志 | 安全管理员 访问相应日志目标中数据的权限 |
Microsoft Entra ID P1 或 P2 |
*查看审核日志中的自定义安全属性或为自定义安全属性创建诊断设置需要“属性日志”角色之一。 你还需要适当的角色才能查看标准审核日志。
**标识保护的访问级别和功能因角色和许可证而异。 有关详细信息,请参阅标识保护许可证要求。
审核日志有哪些作用?
Microsoft Entra ID 中的审核日志提供对系统活动记录的访问,这通常是实现合规性所需的。 你可以获取与用户、组和应用程序相关的问题的答案。
用户:
- 最近对用户应用了哪些类型的更改?
- 更改了多少用户?
- 更改了多少密码?
组:
- 最近添加了哪些组?
- 是否已更改组的所有者?
- 对于组或用户有哪些许可证?
应用程序:
- 更新或删除了哪些应用程序?
- 应用程序的服务主体是否有变化?
- 应用程序的名称是否已更改?
“自定义安全属性”:
- 自定义安全属性的定义或分配有哪些更改?
- 属性集有哪些更新?
- 哪些自定义属性分配给了用户?
注意
审核日志中的条目是系统生成的,无法更改或删除。
日志显示什么?
审核日志默认在“目录”选项卡,显示以下信息:
- 发生日期和时间
- 记录了发生事件的服务
- 活动的类别和名称(内容)
- 活动的状态(成功或失败)
“自定义安全”的第二个选项卡显示自定义安全属性的审核日志。 若要查看此选项卡上的数据,必须为属性日志管理员或属性日志读取者角色。 此审核日志显示与自定义安全属性相关的所有活动。 有关详细信息,请参阅什么是自定义安全属性。
Microsoft 365 活动日志
可以从 Microsoft 365 管理中心查看 Microsoft 365 活动日志。 尽管 Microsoft 365 活动日志和 Microsoft Entra 活动日志共享大量的目录资源,但只有 Microsoft 365 管理中心提供 Microsoft 365 活动日志的完整视图。
还可以使用 Office 365 管理 API 以编程方式访问 Microsoft 365 活动日志。
大多数独立或捆绑 Microsoft 365 订阅都对 Microsoft 365 数据中心边界内的某些子系统具有后端依赖关系。 这些依赖关系需要一些信息写回以使目录保持同步,实质上有助于在 Exchange Online 的订阅选择加入中实现轻而易举的加入。 对于这些写回,审核日志条目显示由 Microsoft Substrate Management 采取的操作。 这些审核日志条目指由 Exchange Online 对 Microsoft Entra ID 执行的创建/更新/删除操作。 这些条目是信息性条目,不需要任何操作。