共用方式為


為活動記錄設定 Microsoft Entra 診斷設定

您可以使用 Microsoft Entra ID 中的診斷設定,將記錄與 Azure 監視器整合、將記錄串流至事件中樞,或將記錄封存至儲存體帳戶。 您可以建立多個診斷設定,將活動記錄傳送至不同的目的地。

本文提供為活動記錄設定 Microsoft Entra 診斷設定的步驟。

必要條件

若要設定診斷設定,您需要:

  • Azure 訂用帳戶。 如果您沒有 Azure 訂用帳戶,則可以註冊申請一個免費的試用帳戶
  • Microsoft Entra ID P1 或 P2 租用戶。
  • 安全性系統管理員存取權,以建立 Microsoft Entra 租用戶的一般診斷設定。
  • 屬性記錄管理員存取權,以建立自訂安全性屬性記錄的診斷設定。
  • 已經設定的目的地。 例如,若您想要將記錄串流至事件中樞,您必須先建立事件中樞,才能設定診斷設定。

如何存取診斷設定

本文提供存取 Microsoft Entra 記錄診斷設定的步驟。 若要為 Microsoft Entra ID 以外的 Azure 監視器或 Azure 資源設定診斷設定,請參閱 Azure 監視器中的診斷設定

  1. 至少以安全性系統管理員 (部分機器翻譯) 的身分登入 Microsoft Entra 系統管理中心

  2. 瀏覽至 [身分識別]> [監視和健康情況]> [診斷設定]。 系統會預設顯示 [一般] 設定。

  3. 任何現有的診斷設定都會出現在資料表中。 選取 [編輯設定] 來變更現有的設定,或選取 [新增診斷設定] 來建立新的設定。

    [Microsoft Entra 診斷設定] 頁面的螢幕擷取畫面。

自訂安全性屬性

自訂安全性屬性記錄是標準稽核記錄的子集。 您必須具有作用中的屬性記錄管理員角色,才能設定自訂安全性屬性的診斷設定。 如需詳細資訊,請參閱自訂安全性屬性概觀

若要設定自訂安全性屬性稽核記錄的診斷設定,請選取 [自訂安全性屬性]。 這兩種記錄類別的設定診斷設定流程是一樣的。

診斷設定的自訂安全性屬性頁面螢幕擷取畫面。

提示

Microsoft 建議您將自訂安全性屬性稽核記錄與目錄稽核記錄分開,以免不小心洩漏屬性指派。

選取記錄和目的地

建立或編輯診斷設定時,您可以選擇要包含的記錄,以及記錄傳送目的地。

記錄類別

您可以選取一個、部分或所有可用的記錄。 某些記錄可能是預覽功能的一部分。 即使您選取記錄類別,在功能正式推出之前,您可能看不到任何資料。 如需可用記錄的描述,請參閱串流至端點的記錄選項

診斷設定中記錄類別的螢幕擷取畫面。

目的地詳細資料

您可以將記錄傳送至 Log Analytics 工作區、將記錄串流至事件中樞,或將記錄封存至儲存體帳戶。 目前,唯一支援的合作夥伴解決方案是 Azure 原生 ISV 服務。 如需詳細資訊,請參閱 Azure 原生 ISV 服務概觀

若要將記錄傳送至其中一個目的地,您必須已設定該目的地。

選取目的地時,畫面會出現更多欄位。 從出現的欄位選取適當的訂用帳戶和目的地。

診斷設定中目的地選項的螢幕擷取畫面。

如需設定特定目的地診斷設定的詳細資訊,請參閱下列文章:

基本流程圖

設定診斷設定的基本步驟如下:

  1. 若要建立新的診斷設定,請選取 [新增診斷設定]

  2. 提供名稱。

  3. 選取您想要包含的記錄。

  4. 選取記錄的傳送目的地。

  5. 從顯示的下拉功能表中選取訂用帳戶和目的地。

  6. 選取儲存按鈕。

    [建立診斷設定] 頁面的螢幕擷取畫面,其中已選取數個要移至 Log Analytics 工作區的記錄。

注意

最多可能需要三天的時間,記錄才會開始出現在目的地中。