Azure Active Directory 中的稽核記錄
Azure Active Directory (Azure AD) 活動記錄包括稽核記錄,這是 Azure AD 中每個記錄事件的完整報告。 應用程式、群組、使用者和授權的變更全都會在 Azure AD 稽核記錄中擷取。
另外還有兩個活動記錄可用來協助監視租用戶的健康情況:
本文提供稽核記錄的概觀。
這是什麼?
Azure AD 中的稽核記錄可提供系統活動記錄的存取權,通常需要遵守合規性。 此記錄會依使用者、群組和應用程式管理進行分類。
透過以使用者為中心的觀點,您可以取得問題的解答,例如:
哪些類型的更新已套用至使用者?
有多少使用者已變更?
有多少密碼已變更?
系統管理員已在目錄中執行哪些作業?
透過以群組為中心的觀點,您可以取得問題的解答,例如:
已新增的群組為何?
群組有成員資格變更嗎?
群組的擁有者已變更嗎?
指派給群組或使用者的授權為何?
透過以應用程式為中心的觀點,您可以取得問題的解答,例如:
已新增或更新的應用程式為何?
已移除的應用程式為何?
應用程式的服務原則已變更嗎?
應用程式的名稱已變更嗎?
誰已同意應用程式?
如何存取該記錄?
稽核活動報告適用於所有版本的 Azure AD。 若要存取稽核記錄,您必須具備下列其中一個角色:
- 報告讀者
- 安全性讀取者
- 安全性系統管理員
- 全域讀者
- 全域管理員
登入 Azure 入口網站,並前往 [Azure AD],然後從 [監視] 區段選取 [稽核記錄]。
您也可以透過 Microsoft Graph API 來存取稽核記錄。
記錄內容為何?
稽核記錄的預設清單檢視顯示:
- 發生的日期和時間
- 記錄發生的服務
- 活動分類和名稱 ([事件])
- 活動狀態 (成功或失敗)
- 目標
- 活動的啟動者/執行者 (對象)
您可以按一下工具列中的 [資料行] 按鈕,以自訂並篩選清單檢視。 編輯資料行可讓您從檢視新增或移除欄位。
篩選稽核記錄
您可以使用清單中可見的選項來篩選稽核資料,例如日期範圍、服務、類別和活動。
服務:預設為所有可用的服務,但您可以從下拉式清單中選取選項,將清單篩選為一或多個。
類別:預設為所有類別,但可以篩選以檢視活動的類別,例如變更原則或啟用合格的 Azure AD 角色。
活動:根據您的類別和選擇的活動資源類型而定。 您可以選取您想要查看的特定活動或選擇全部。
您可以利用圖形 API 取得稽核活動清單:
https://graph.windows.net/<tenantdomain>/activities/auditActivityTypesV2?api-version=beta狀態:可讓您查看活動是否成功或失敗的結果。
目標:可讓您搜尋活動的目標或收件者。 依名稱或使用者主體名稱 (UPN) 的前幾個字母搜尋。 目標名稱和 UPN 會區分大小寫。
起始者:可讓您根據起始活動者,使用其名稱或 UPN 的前幾個字母來進行搜尋。 執行者名稱和 UPN 會區分大小寫。
日期範圍:可讓您定義傳回資料的時間範圍。 您可以搜尋過去 7 天、24 小時或自訂範圍。 當您選取自訂時間範圍時,可以設定開始時間和結束時間。
您也可以選取 [下載] 按鈕,選擇下載篩選過的資料,最多可達 250,000 筆記錄。 您可以下載 CSV 或 JSON 格式的記錄檔。 您可以下載的記錄數目會受限於 Azure Active Directory 報告保留原則。
Microsoft 365 活動記錄
您可以從 Microsoft 365 系統管理中心中檢視 Microsoft 365 的活動記錄。 雖然 Microsoft 365 活動和 Azure AD 活動記錄共用許多目錄資源,但只有 Microsoft 365 系統管理中心提供 Microsoft 365 活動記錄的完整檢視。
您也可以使用 Office 365 管理 API,以程式設計的方式存取 Microsoft 365 活動記錄。
注意
大部分獨立或搭售的 Microsoft 365 訂用帳戶對 Microsoft 365 資料中心界限內的某些子系統具有後端相依性。 這些相依性需要一些資訊回寫才能保持目錄同步,而且本質上有助於在選擇加入 Exchange Online 的訂用帳戶的上線方面更不費力。 針對這些寫入備份,稽核記錄項目會顯示 Microsoft Substrate Management 所採取的動作。 這些稽核記錄項目是指 Exchange Online 對 Azure AD 執行的建立/更新/刪除作業。 這些項目是參考資訊,不需要任何動作。