如何在 Microsoft Entra ID 中下載記錄
Microsoft Entra 系統管理中心可讓您存取三種類型的活動記錄:
- 登入:登入及使用者如何使用您資源的相關資訊。
- 稽核:套用至租使用者之變更的相關信息,例如使用者和群組管理,或套用至租用戶資源的更新。
- 布建:布建服務所執行的活動,例如在 ServiceNow 中建立群組,或從 Workday 匯入的使用者。
Microsoft Entra ID 會根據您的授權,儲存特定期間的活動記錄。 如需詳細資訊,請參閱 Microsoft Entra 數據保留。 藉由下載記錄,您可以控制儲存記錄的時間長度。 本文說明如何在 Microsoft Entra ID 中下載活動記錄。
必要條件
- 如需授權和角色需求,請參閱 Microsoft Entra 監視和健康情況授權。
- 下載記錄的選項適用於所有版本的 Microsoft Entra ID。
- 使用 Microsoft Graph 以程式設計方式下載記錄需要 進階授權。
- 報表讀者 是檢視 Microsoft Entra 活動記錄所需的最低特殊許可權角色。
記錄下載考慮
下載記錄之前,請先檢閱下列考慮和秘訣:
- Microsoft Entra ID 支援下列格式的下載:
- CSV
- JSON
- 所下載檔案中的時間戳是以UTC為基礎。
- 您可以下載每個檔案最多 100,000 筆登入或布建記錄。
- 每個檔案最多可以下載 250,000 筆稽核記錄。
- 在您下載記錄以縮小數據集範圍之前,請先設定篩選條件。
注意
如果您嘗試下載大型數據集,Microsoft Entra 系統管理中心下載服務將會逾時。 一般而言,稽核記錄小於 250,000 的數據集,以及 100,000 個用於登入和布建記錄的數據集,適用於瀏覽器下載功能。
注意
下載記錄中的數據行不會變更。 不論您在 Microsoft Entra 系統管理中心自定義的數據行為何,輸出都會包含稽核或登入記錄的所有詳細數據。 不過,如果您設定自定義篩選條件,則下載記錄中的輸出只會包含符合篩選的結果。
如何下載活動記錄
您可以從 Microsoft Entra ID 的 [監視和健康情況] 區段,或從您正在工作的 Microsoft Entra ID 區域存取活動記錄。
例如,如果您位於 Microsoft Entra ID 的 [群組 ] 或 [授權] 區 段中,您可以直接從該區域存取這些特定活動的稽核記錄。 以這種方式存取稽核記錄時,會自動設定篩選類別。 如果您是在群組中,稽核記錄篩選類別會設定為 GroupManagement。
稽核記錄
提示
本文中的步驟可能會根據您從開始的入口網站稍有不同。
以至少報表讀者身分登入 Microsoft Entra 系統管理中心。
流覽至 [身分識別>監視與健康情況>稽核記錄]。
選取 [下載]。
在開啟的面板中,選取 [ 格式]。
選擇性地提供唯一的檔名。
選取下載按鈕。 下載會處理檔案,並將檔案傳送至您的預設下載位置。
登入記錄
本節涵蓋的選項與登入記錄的預覽體驗一致。
以至少報表讀者身分登入 Microsoft Entra 系統管理中心。
流覽至 [身分>識別監視與健康情況>登入記錄]。
選取 [ 下載] 按鈕,然後選取 JSON 或 CSV。
選擇性地為每個您需要下載的檔案提供唯一的檔名。
選取一或多個記錄的 [ 下載 ] 按鈕。 下載會處理檔案,並將檔案傳送至您的預設下載位置。
佈建記錄
以至少報表讀者身分登入 Microsoft Entra 系統管理中心。
流覽至 [身分>識別監視與健康情況>布建記錄]。
選取 [ 下載] 按鈕,然後選取 JSON 或 CSV。
選擇性地為每個您需要下載的檔案提供唯一的檔名。
選取一或多個記錄的 [ 下載 ] 按鈕。 下載會處理檔案,並將檔案傳送至您的預設下載位置。
- 佈建記錄
- 使用布建步驟布建記錄
- 使用修改的屬性布建記錄