如何使用 Microsoft Graph 分析活动日志
Microsoft Entra 报告 API 通过一组 REST API,让你以编程方式访问数据。 可从许多编程语言和工具中调用这些 API。 Microsoft Graph API 不是为拉取大量活动数据而设计的。 使用 API 拉取大量活动数据可能会导致分页和性能问题。
本文介绍如何使用 Microsoft Graph PowerShell 分析 Microsoft Entra 活动日志。
先决条件
- 有关许可证和角色要求,请参阅 Microsoft Entra 监视和运行状况许可。
- 要同意所需权限,需要全局管理员角色。
若要向 Microsoft Graph API 发出请求,必须首先:
- 注册应用
- 为用户获取身份验证令牌或为服务获取
使用 Microsoft Graph PowerShell 访问报表
可以使用 PowerShell 访问 Microsoft Entra 报告 API。 有关详细信息,请参阅 Microsoft Graph PowerShell 概述。
Microsoft Graph PowerShell cmdlet:
- 审核日志:
Get-MgAuditLogDirectoryAudit - 登录日志:
Get-MgAuditLogSignIn - 浏览与报告相关的 Microsoft Graph PowerShell cmdlet 的完整列表。
常见错误
错误:两个租户都不是 B2C 或租户没有高级许可证:访问登录报告需要 Microsoft Entra ID P1 或 P2 许可证。 如果访问登录时看到此错误消息,请确保你的租户已获得 Microsoft Entra ID P1 许可证。
错误:用户没有允许的角色:如果在尝试使用 API 访问审核日志或登录时看到此错误消息,请确保你的帐户属于 Microsoft Entra 租户中的“安全读取者”或“报告读取者”角色。
错误:应用程序缺少 Microsoft Entra ID“读取目录数据”或“读取所有审核日志数据”权限:应用程序必须具有 AuditLog.Read.All 或 Directory.Read.All 权限才能使用 Microsoft Graph 访问活动日志。