如何在 Microsoft Entra ID 中下載記錄

Microsoft Entra 系統管理中心可讓您存取三種類型的活動記錄：

• 登入：登入及使用者如何使用您資源的相關資訊。
• 稽核：與套用至您的租用戶的變更相關的資訊，例如套用至您的租用戶資源的使用者與群組管理或更新。
• 佈建：佈建服務所執行的活動，例如在 ServiceNow 中建立群組，或從 Workday 中匯入使用者。

Microsoft Entra ID 會根據您的授權來儲存特定期間的活動記錄。 如需詳細資訊，請參閱 Microsoft Entra 資料保留。 下載日誌後，您可以控制記錄要儲存多久的時間。 本文說明如何在 Microsoft Entra ID 中下載活動記錄。

必要條件

• 如需授權和角色需求，請參閱 Microsoft Entra 監視和健康情況授權。
• 所有版本的 Microsoft Entra ID 均提供下載記錄的選項。
• 使用 Microsoft Graph 以程式設計方式下載記錄需要進階授權。
• 報表讀取者是檢視 Microsoft Entra 活動記錄所需權限最低的角色。

記錄下載注意事項

下載記錄之前，請先檢閱以下注意事項和提示：

• Microsoft Entra ID 針對您的下載支援以下的格式：
  • CSV
  • JSON
• 下載檔案的時間戳記是基於 UTC。
• 每個檔案最多可下載 100,000 筆登入或佈建記錄。
• 每個檔案最多可以下載 250,000 筆稽核記錄。
• 在下載記錄之前請先設定篩選條件以縮小資料集範圍。

注意

如果您嘗試下載大型的資料集，Microsoft Entra 系統管理中心下載服務將會逾時。 一般而言，小於 250,000 (針對稽核記錄) 和 100,000 (針對登入和佈建記錄) 的資料集適用於瀏覽器下載功能。

如果您在瀏覽器中完成大型下載時遇到問題，則請使用報告 API 來下載資料，或透過診斷設定將記錄傳送至端點。

注意

所下載記錄中的資料行不會變更。 「不論您在 Microsoft Entra 系統管理中心內自訂哪些資料行」，輸出都會包含稽核或登入記錄的所有詳細資料。 不過，如果您設定自訂篩選條件，則下載記錄中的輸出只會包含符合該篩選條件的結果。

如何下載活動記錄

您可以從 Microsoft Entra ID 的監視和健康情況區段，或從您正在工作的 Microsoft Entra ID 區域中存取活動記錄。

例如，若您位於 Microsoft Entra ID 的 [群組] 或 [授權] 區段中，即可直接從該區域存取這些特定活動的稽核記錄。 以這種方式存取稽核記錄時，會自動設定篩選類別。 若在 [群組] 中，稽核記錄篩選類別會設定為 GroupManagement。

稽核記錄

提示

本文中的步驟可能會隨著您開始使用的入口網站而稍有不同。

1. 以至少報表讀者身分登入 Microsoft Entra 系統管理中心。

2. 瀏覽至 [身分識別] > [監視和健康情況] > [稽核記錄]。

3. 選取 [下載]。

4. 在開啟的面板中，選取 [格式]。

5. 選擇性地提供唯一的檔名。

6. 選取下載按鈕。 下載會處理該檔案並將它傳送至您的預設下載位置。

   

登入記錄

本節中所涵蓋的選項與登入記錄的預覽體驗一致。

1. 以至少報表讀者身分登入 Microsoft Entra 系統管理中心。

2. 瀏覽至 [身分識別]>[監視和健康情況]>[登入記錄]。

3. 選取 [下載] 按鈕，然後選取 [JSON] 或 [CSV]。

   

4. 選擇性地為每個您需要下載的檔案提供唯一的檔名。

5. 針對一或多個記錄選取 [下載] 按鈕。 下載會處理該檔案並將它傳送至您的預設下載位置。

   • 互動式登入
   • 僅包含驗證詳細資料的互動式登入
   • 非互動式登入
   • 僅包含驗證詳細資料的非互動式登入
   • 應用程式登入次數
   • 受控識別

   

佈建記錄

1. 以至少報表讀者身分登入 Microsoft Entra 系統管理中心。

2. 瀏覽至 [身分識別] > [監視和健康情況] > [佈建記錄]。

3. 選取 [下載] 按鈕，然後選取 [JSON] 或 [CSV]。

4. 選擇性地為每個您需要下載的檔案提供唯一的檔名。

5. 針對一或多個記錄選取 [下載] 按鈕。 下載會處理該檔案並將它傳送至您的預設下載位置。

   • 佈建記錄
   • 使用佈建步驟佈建記錄
   • 使用修改後的屬性佈建記錄