Azure Active Directory 中的审核日志

作为 IT 管理员,你想知道你的 IT 环境的运行状况。 你可通过有关系统运行状况的信息来评估是否需要响应潜在问题以及响应方式。

为了帮助你实现此目标,Azure Active Directory 门户为你提供了访问三个活动日志的权限:

  • 登录 - 有关登录以及用户如何使用资源的信息。
  • 审核 - 有关应用于租户的更改(如用户和组管理)或应用于租户资源的更新的信息。

本文概述了审核日志。

它是什么?

使用 Azure AD 中的审核日志,可以访问系统活动的记录以确保合规性。 此日志最常见的视图基于以下类别:

  • 用户管理

  • 组管理

  • 应用程序管理

使用以用户为中心的视图,可以获得如下问题的答案:

  • 已对用户应用了哪些类型的更新?

  • 更改了多少用户?

  • 更改了多少密码?

  • 管理员在目录中做了什么?

使用以组为中心的视图,可以获得如下问题的答案:

  • 添加了哪些组?

  • 是否存在成员身份已更改的组?

  • 是否已更改组的所有者?

  • 向组或用户分配了哪些许可证?

使用以应用程序为中心的视图,可以获得如下问题的答案:

  • 添加或更新了哪些应用程序?

  • 删除了哪些应用程序?

  • 应用程序的服务主体是否有变化?

  • 应用程序的名称是否已更改?

  • 哪些用户同意使用应用程序?

需要哪个许可证?

所有版本的 Azure AD 中都提供了审核活动报告。

谁可以访问它们?

若要访问审核日志,需要是以下角色之一:

  • 安全管理员
  • 安全读取者
  • 报表读取者
  • 全局读取者
  • 全局管理员

在哪里可以找到这样的脚本?

Azure 门户提供了几种用于访问日志的选项。 例如,在 Azure Active Directory 菜单上,可以在“监视”部分打开日志。

打开审核日志

此外,可以使用此链接直接访问审核日志。

还可以通过 Microsoft Graph API 访问审核日志。

什么是默认视图?

审核日志有一个默认列表视图,用于显示:

  • 匹配项的日期和时间
  • 记录了匹配项的服务
  • 活动的类别和名称(内容)
  • 活动的状态(成功或失败)
  • 目标
  • 活动的发起者/参与者(人员)

审核日志

单击工具栏中的“列”即可自定义列表视图。

审核列

用于显示其他字段,或者删除已显示的字段。

删除字段

选择列表视图中的某个项可获得更详细的信息。

选择项

筛选审核日志

可以根据以下字段筛选审核数据:

  • 服务
  • Category
  • 活动
  • 状态
  • 目标
  • 发起者(参与者/执行组件)
  • 日期范围

筛选器对象

使用“服务”筛选器可以从以下服务的下拉列表中进行选择:

  • 全部
  • 访问评审
  • B2C
  • 核心目录
  • 受邀用户
  • 自助服务密码管理
  • 使用条款

“类别”筛选器用于选择下述筛选器之一:

  • 全部
  • AdministrativeUnit
  • ApplicationManagement
  • 身份验证
  • 授权
  • 联系人
  • 设备
  • DeviceConfiguration
  • DirectoryManagement
  • EntitlementManagement
  • GroupManagement
  • KerberosDomain
  • KeyManagement
  • 标签
  • 其他
  • PermissionGrantPolicy
  • 策略
  • ResourceManagement
  • RoleManagement
  • UserManagement

“活动”筛选器基于类别以及所做的活动资源类型选择。 可以选择要查看的特定活动,也可以全选。

可以使用图形 API 获取所有审核活动的列表:https://graph.chinacloudapi.cn/<tenantdomain>/activities/auditActivityTypesV2?api-version=beta

可以使用“状态”筛选器根据审核操作的状态进行筛选。 状态可以是下列其中一项:

  • 全部
  • Success
  • 失败

“目标”筛选器允许你按名称或用户主体名称 (UPN) 的开头来搜索特定目标。 目标名称和 UPN 区分大小写。

“发起者”筛选器允许你定义参与者名称或通用主体名称 (UPN) 的开头。 名称和 UPN 区分大小写。

“日期范围”筛选器用于定义已返回数据的时间范围。
可能的值包括:

  • 7 天
  • 24 小时
  • 自定义

选择自定义时间范围时,可以配置开始时间和结束时间。

也可选择下载筛选的数据(多达 250,000 条记录),只需选择“下载”按钮即可。 可以下载 CSV 或 JSON 格式的日志。 可以下载的记录数受 Azure Active Directory 报告保留策略的限制。

下载数据

Microsoft 365 活动日志

可以从 Microsoft 365 管理中心查看 Microsoft 365 活动日志。 尽管 Microsoft 365 活动日志和 Azure AD 活动日志共享大量的目录资源,但只有 Microsoft 365 管理中心提供 Microsoft 365 活动日志的完整视图。

还可以使用 Office 365 管理 API 以编程方式访问 Microsoft 365 活动日志。

后续步骤