Microsoft Entra 是一个可用于为组织创建和管理应用程序的平台。 你可以向应用程序授予各种权限,例如访问数据或执行操作。 但是,你可能需要不时地查看授予应用程序的权限,以确保这些权限合适且安全。
查看授予给应用的权限的一种方法是使用活动日志,活动日志记录 Microsoft Entra 应用程序中发生的活动和事件。 活动日志可帮助你监视应用程序的使用情况和性能,并确定任何潜在问题或风险。 通过查看活动日志,你可以查看应用程序拥有哪些权限以及它们是否符合你的策略和预期。
本文内容:
- 查看活动日志以了解针对特定应用程序的 API 权限授予和移除活动。
- 查看活动日志以了解针对所有应用程序的 API 权限授予和移除活动。
- 了解哪些审核日志用来跟踪在应用之间授予和移除 API 权限。
若要查看应用程序的活动日志,需要:
- 用户帐户。 如果还没有帐户,可创建一个帐户。
- 下列角色之一:报告读取者、安全性读取者、安全管理员或全局读取者。
要查看应用程序权限活动,只需要使用活动日志中记录的某些事件。 若要使用 Microsoft Entra 管理中心查看所有事件,请执行以下步骤:
至少以报告读取者角色登录到 Microsoft Entra 管理中心。
浏览到“标识”>“应用程序”>“企业应用程序”。
在左侧的导航栏中,在“活动”下浏览到“审核日志”。
使用顶部命令栏上的“管理视图”编辑显示的列。 选择“日期”列以查看每个审核日志的更多详细信息。
这有助于深入了解资源应用程序的活动,以明确哪些应用程序已通过 API 权限获得了访问权限。 例如,你可能想要监视 Microsoft Graph 应用程序的活动日志,以便了解何时为其保护的资源授予了权限。
若要查看资源应用程序的活动日志,请执行以下操作:
至少以报告读取者角色登录到 Microsoft Entra 管理中心。
浏览到“标识”>“应用程序”>“企业应用程序”。
搜索拥有该权限的资源应用程序。 例如,如果要了解在过去 30 天内向哪些应用程序授予了 Microsoft Graph
Mail.Read权限,请搜索“Microsoft Graph”。在左侧的导航栏中,在“活动”下浏览到“审核日志”。
使用顶部命令栏上的“管理视图”编辑显示的列。 选择“日期”列以查看每个审核日志的更多详细信息。
下表概述了在为应用授予和撤销权限时适用的方案和审核值。
| 场景 | 审核服务 | 审核类别 | 审核活动 | 审核参与者 | 审核日志限制 |
|---|---|---|---|---|---|
| 授予对应用的纯应用访问权限 | 核心目录 | ApplicationManagement | 向服务主体添加应用角色分配 | 用户上下文 | |
| 撤销对应用的纯应用访问权限 | 核心目录 | ApplicationManagement | 从服务主体删除应用角色分配 | 用户上下文 | |
| 授予对应用的委托访问权限 | 核心目录 | ApplicationManagement | 添加委托的权限授予 | 用户上下文 | |
| 用户授予对应用程序的许可 | 核心目录 | ApplicationManagement | 同意使用应用程序 | 用户上下文 |