Microsoft Entra 是一个平台,可用于为组织创建和管理应用程序。 可以向应用程序授予不同的权限,例如访问数据或执行作。 请务必定期查看这些权限,以确保这些权限保持适当且安全。
查看授予应用的权限的一种方法是使用活动日志来记录Microsoft Entra 应用程序中发生的活动和事件。 活动日志可帮助你监视应用程序的使用情况和性能,并确定任何潜在问题或风险。 通过查看活动日志,可以查看应用程序拥有哪些权限以及它们是否符合策略和期望。
本文内容:
- 查看活动日志以查看特定应用程序的 API 权限授予和删除活动。
- 查看活动日志以查看所有应用程序的 API 权限授予和删除活动。
- 了解哪些审核日志用于跟踪向应用授予和删除 API 权限。
先决条件
若要查看应用程序的活动日志,需要:
- 用户帐户。 如果还没有帐户,可以 免费创建帐户。
- 以下角色之一:报表读取者、安全读取者、安全管理员、全局读取者
如何查看目录中所有应用程序的权限审核日志
只有活动日志中记录的某些事件才能查看应用程序权限活动。 若要使用 Microsoft Entra 管理中心查看所有事件,请执行以下步骤:
至少使用报表读取者角色登录Microsoft Entra 管理中心
浏览到 Entra ID>企业应用程序。
在 活动下方的左侧导航中,浏览到 审核日志。
使用 “审核日志 ”部分包含的信息筛选审核日志,以仅选择所需的日志来查看应用程序的权限活动。
使用顶部命令栏上的 “管理”视图 编辑显示的列。 选择 “日期 ”列以查看每个审核日志的更多详细信息。
如何查看特定资源应用程序的权限审核日志
深入了解资源应用程序的活动以查看哪些应用程序已通过 API 权限具有访问权限,这很有帮助。 例如,你可能想要监视 Microsoft Graph 应用程序的活动日志,以便查看为其保护的资源授予权限的时间。
若要查看资源应用程序的活动日志,请执行以下作:
至少使用报表读取者角色登录Microsoft Entra 管理中心
浏览到 Entra ID>企业应用程序。
搜索拥有该权限的资源应用。 例如,如果要查看在过去 30 天内授予Microsoft Graph
Mail.Read权限的应用程序,请搜索 Microsoft Graph。在 活动下方的左侧导航中,浏览到 审核日志。
使用 “审核日志 ”部分包含的信息筛选审核日志,以仅选择所需的日志来查看应用程序的权限活动。
使用顶部命令栏上的 “管理”视图 编辑显示的列。 选择 “日期 ”列以查看每个审核日志的更多详细信息。
审核日志
下表概述了可用于授予和撤消授予应用权限的方案和审核值。
| 情景 | 审核服务 | 审核类别 | 审核活动 | 审核参与者 | 审核日志限制 |
|---|---|---|---|---|---|
| 授予应用程序仅限应用的访问权限 | 核心目录 | 应用程序管理 | 将应用角色分配添加到服务主体 | 用户上下文 | |
| 撤消仅限应用访问权限 | 核心目录 | 应用程序管理 | 从服务主体中删除应用角色分配 | 用户上下文 | |
| 授予对应用的委派访问权限 | 核心目录 | 应用程序管理 | 添加委托的权限授予 | 用户上下文 | |
| 用户向应用程序授予许可 | 核心目录 | 应用程序管理 | 同意使用应用程序 | 用户上下文 |