使用审核日志跟踪和监视Microsoft Intune中的事件

审核日志包括生成Microsoft Intune更改的活动记录。 创建、更新 (编辑) 、删除、分配和远程操作都会创建审核事件，管理员可以针对大多数 Intune 工作负载查看这些事件。 默认为所有客户启用审核功能。 该功能无法禁用。

谁可以访问数据？

拥有以下权限的用户可以查看审核日志：

• 全局管理员
• Intune 服务管理员
• 分配给具有 审核数据 - 读取 权限的 Intune 角色的管理员

Intune 工作负载的审核日志

可以在监视组中查看每个 Intune 工作负载的审核日志：

1. 登录到Microsoft Intune管理中心。
2. 选择 “租户管理>审核日志”。
3. 若要筛选结果，请选择“ 筛选 ”，并使用以下选项优化结果。
   • 类别：例如符合性、设备和角色。
   • 活动：此处列出的选项受 “类别”下选择的选项的限制。
   • 日期范围：可以选择前一个月、一周或一天的日志。
4. 选择“应用”。
5. 选择列表中的项以查看活动详细信息。

有关审核日志的相关信息，请参阅 其他信息。

将日志路由到 Azure Monitor

审核日志和操作日志也可以路由到 Azure Monitor。 在 “租户管理>审核日志”中，选择“ 导出”：

注意

• 有关此功能的详细信息以及查看使用它的先决条件，请参阅 将日志数据发送到存储、事件中心或日志分析。

• 由 (执行组件启动) 包括有关任务运行者及其运行位置的信息。

  例如，如果在 Azure 门户 Intune 中运行活动，则 Application 始终列出Microsoft Intune门户扩展，并且应用程序 ID 始终使用相同的 GUID。

• “ 目标 () ”部分列出了多个目标和已更改的属性。

使用图形 API检索审核事件

有关使用图形 API 获取长达一年的审核事件的详细信息，请参阅 列出 auditEvents。

后续步骤

• 将日志数据发送到存储、事件中心或日志分析
• 查看客户端应用保护日志

其他信息

• Intune 中的数据存储和处理
• 在整个 Intune 中使用审核日志
• 在 Intune 中审核、导出或删除个人数据