什麼是 Microsoft Entra 稽核記錄?
Microsoft Entra 活動記錄包含稽核記錄,這是 Microsoft Entra 識別碼中每個記錄事件的完整報告。 應用程式、群組、用戶和授權的變更全都會在 Microsoft Entra 稽核記錄中擷取。
另外兩個活動記錄也可用來協助監視租使用者的健康情況:
- 登入 – 登入的相關信息,以及使用者如何使用您的資源。
- 佈建 – 佈建服務執行的活動,例如在 ServiceNow 中建立群組,或從 Workday 匯入的使用者。
本文提供稽核記錄的概觀,包括存取記錄所需的專案,以及它們提供的資訊。
授權和角色需求
所需的角色和授權會根據報表而有所不同。 需要個別許可權,才能存取 Microsoft Graph 中的監視和健康情況數據。 我們建議使用具有最低許可權存取權的角色,以配合 零信任 指導方針。
| 記錄/ 報告 | 角色 | 授權 |
|---|---|---|
| Audit | 報表讀取者 安全性讀取者 安全性系統管理員 全域讀取器 |
Microsoft Entra ID 的所有版本 |
| 登入 | 報表讀取者 安全性讀取者 安全性系統管理員 全域讀取器 |
Microsoft Entra ID 的所有版本 |
| 佈建 | 報表讀取者 安全性讀取者 安全性系統管理員 全域讀取器 安全性操作員 應用程式系統管理員 Cloud App 管理員 istrator |
Microsoft Entra ID P1 或 P2 |
| 自訂安全性屬性稽核記錄* | 屬性記錄檔 管理員 istrator 屬性記錄讀取器 |
Microsoft Entra ID 的所有版本 |
| 使用方式和深入解析 | 報表讀取者 安全性讀取者 安全性系統管理員 |
Microsoft Entra ID P1 或 P2 |
| Identity Protection** | 安全性系統管理員 安全性操作員 安全性讀取者 全域讀取器 |
Microsoft Entra ID Free Microsoft 365 Apps Microsoft Entra ID P1 或 P2 |
| Microsoft Graph 活動記錄 | 安全性系統管理員 存取對應記錄目的地中數據的許可權 |
Microsoft Entra ID P1 或 P2 |
*在稽核記錄中檢視自定義安全性屬性,或建立自定義安全性屬性的診斷設定需要其中一個屬性記錄角色。 您也需要適當的角色來檢視標準稽核記錄。
**Identity Protection 的存取和功能層級會隨著角色和授權而有所不同。 如需詳細資訊,請參閱 Identity Protection 的授權需求。
您可以使用稽核記錄做什麼?
Microsoft Entra 識別碼中的稽核記錄提供系統活動記錄的存取權,通常需要符合規範。 您可以取得使用者、群組和應用程式相關問題的解答。
使用者:
- 最近對使用者套用了哪些類型的變更?
- 已變更多少個使用者?
- 已變更多少個密碼?
群組:
- 最近新增了哪些群組?
- 是否已變更群組擁有者?
- 群組或使用者有哪些授權?
應用:
- 哪些應用程式已更新或移除?
- 應用程式的服務主體變更了嗎?
- 應用程式的名稱變更了嗎?
自訂安全性屬性:
- 自訂安全性屬性定義或指派有哪些變更?
- 對屬性集進行了哪些更新?
- 哪些自訂屬性值已指派給使用者?
注意
稽核記錄中的項目是系統產生的,而且無法變更或刪除。
記錄內容為何?
稽核記錄預設為 [ 目錄] 索引標籤 ,其中顯示下列資訊:
- 發生的日期和時間
- 記錄發生的服務
- 活動分類和名稱 ([事件])
- 活動狀態 (成功或失敗)
[自訂安全性] 的第二個索引標籤會顯示自訂安全性屬性的稽核記錄。 若要檢視此索引標籤上的資料,您必須具有屬性記錄檔 管理員 istrator 或屬性記錄讀取器角色。 此稽核記錄會顯示與自定義安全性屬性相關的所有活動。 如需詳細資訊,請參閱 什麼是自定義安全性屬性。
Microsoft 365 活動記錄
您可以從 Microsoft 365 系統管理中心中檢視 Microsoft 365 的活動記錄。 雖然 Microsoft 365 活動和 Microsoft Entra 活動記錄共用許多目錄資源,但只有 Microsoft 365 系統管理中心 提供 Microsoft 365 活動記錄的完整檢視。
您也可以使用 Office 365 管理 API,以程式設計方式存取 Microsoft 365 活動記錄。
大部分的獨立或配套的 Microsoft 365 訂閱在 Microsoft 365 資料中心界限內的某些子系統上都有後端相依性。 相依性需要一些資訊回寫,以讓目錄保持同步,基本上有助於在 Exchange Online 的訂用帳戶中啟用無麻煩的上線功能。 針對這些回寫,稽核記錄項目會顯示「Microsoft 基底管理」所採取的動作。 這些稽核記錄專案是指 Exchange Online 對 Microsoft Entra 識別碼所執行的建立/更新/刪除作業。 這些項目是參考性的,不需要任何動作。