分享方式:

Microsoft Entra 稽核記錄是什麼?

  • 文章

Microsoft Entra 活動記錄包括稽核記錄,這是 Microsoft Entra ID 中每個記錄事件的完整報告。 應用程式、群組、使用者和授權的變更全都會在 Microsoft Entra 稽核記錄中擷取。

另外還有兩個活動記錄可用來協助監視租用戶的健康情況:

  • 登入:登入及使用者如何使用您資源的相關資訊。
  • 佈建 – 佈建服務執行的活動,例如在 ServiceNow 中建立群組,或從 Workday 匯入的使用者。

本文提供稽核記錄的概觀,包括存取記錄所需的項目,以及其提供的資訊。

授權和角色需求

所需的角色和授權因報告而有所不同。 需要個別權限,才能存取 Microsoft Graph 中的監視和健康情況資料。 我們建議使用具有最低權限存取權的角色,以符合零信任指導

記錄 / 報告 角色 授權
Audit 報告讀取者
安全性讀取者
安全性系統管理員
全域讀取者
 所有版本的 Microsoft Entra ID
登入 報告讀取者
安全性讀取者
安全性系統管理員
全域讀取者
 所有版本的 Microsoft Entra ID
佈建 報告讀取者
安全性讀取者
安全性系統管理員
全域讀取者
安全性操作員
應用程式系統管理員
雲端應用程式管理員
 Microsoft Entra ID P1 或 P2
自訂安全性屬性稽核記錄* 屬性記錄管理員
屬性記錄讀取者		 所有版本的 Microsoft Entra ID
使用量和深入解析 報告讀取者
安全性讀取者
安全性系統管理員		 Microsoft Entra ID P1 或 P2
身分識別保護** 安全性系統管理員
安全性操作員
安全性讀取者
全域讀取者
 Microsoft Entra ID Free
Microsoft 365 Apps
Microsoft Entra ID P1 或 P2
Microsoft Graph 活動記錄 安全性系統管理員
存取對應記錄目的地中的資料的權限		 Microsoft Entra ID P1 或 P2

*檢視稽核記錄中的自訂安全性屬性或為自訂安全性屬性建立診斷設定需要其中一個「屬性記錄」角色。 您也需要適當的角色才能檢視標準稽核記錄。

**「身分識別保護」的存取和功能層級會隨著角色和授權而有所不同。 如需詳細資訊,請參閱身分識別保護的授權需求

稽核記錄能讓您做什麼?

Microsoft Entra ID 中的稽核記錄可提供系統活動記錄的存取權,通常需要遵守合規性。 您可以取得使用者、群組和應用程式相關問題的解答。

使用者

  • 最近對使用者套用了哪些類型的變更?
  • 已變更多少個使用者?
  • 已變更多少個密碼?

群組:

  • 最近新增了哪些群組?
  • 是否已變更群組擁有者?
  • 群組或使用者有哪些授權?

應用程式︰

  • 已更新或移除哪些應用程式?
  • 應用程式的服務主體變更了嗎?
  • 應用程式的名稱變更了嗎?

自訂安全性屬性:

  • 自訂安全性屬性定義或指派進行了哪些變更?
  • 對屬性集進行了哪些更新?
  • 已將哪些自訂屬性值指派給使用者?

注意

稽核記錄中的項目由系統產生,無法進行變更或刪除。

記錄內容為何?

稽核記錄預設為 [目錄] 索引標籤,其中顯示下列資訊:

  • 發生的日期和時間
  • 記錄發生的服務
  • 活動分類和名稱 ([事件])
  • 活動狀態 (成功或失敗)

[自訂安全性] 的第二個索引標籤會顯示自訂安全性屬性的稽核記錄。 若要檢視此索引標籤上的資料,您必須具有 [屬性記錄管理員] 或 [屬性記錄讀取器] 角色。 此稽核記錄會顯示與自訂安全性屬性相關的所有活動。 如需詳細資訊,請參閱什麼是自訂安全性屬性

稽核記錄的螢幕擷取畫面,其中已醒目提示 [目錄] 和 [自訂安全性] 索引標籤。

Microsoft 365 活動記錄

您可以從 Microsoft 365 系統管理中心中檢視 Microsoft 365 的活動記錄。 雖然 Microsoft 365 活動和 Microsoft Entra 活動記錄共用許多目錄資源,但只有 Microsoft 365 系統管理中心提供 Microsoft 365 活動記錄的完整檢視。

您也可以使用 Office 365 管理 API,以程式設計的方式存取 Microsoft 365 活動記錄。

大部分獨立或搭售的 Microsoft 365 訂用帳戶對 Microsoft 365 資料中心界限內的某些子系統具有後端相依性。 這些相依性需要一些資訊回寫才能保持目錄同步,而且本質上有助於在選擇加入 Exchange Online 的訂用帳戶的上線方面更不費力。 針對這些寫入備份,稽核記錄項目會顯示 Microsoft Substrate Management 所採取的動作。 這些稽核記錄項目是指 Exchange Online 對 Microsoft Entra ID 執行的建立/更新/刪除作業。 這些項目是參考資訊,不需要任何動作。