Microsoft Entra 审核日志类别和活动
Microsoft Entra 审核日志收集 Microsoft Entra 租户中的所有可跟踪活动。 审核日志可用于确定谁对服务、用户、组或其他项进行了更改。
本文提供了审核类别及其相关活动的完整列表。 要跳转到特定的审核类型,请使用“本文内容”部分。
审核日志活动和类别会定期更改。 这些表会定期更新,但可能与 Microsoft Entra ID 中提供的内容不同步。 如果认为缺少某种审核类别或活动,请向我们提供反馈。
- 至少以报告读取者身份登录到 Microsoft Entra 管理中心。
- 浏览到“标识”>“监视和运行状况”>“审核日志”。
- 相应地调整筛选器。
- 要查看详细信息,请在生成的表中选择一行。
Microsoft Entra 管理 UX
| 审核类别 | 活动 |
|---|---|
| AdministrativeUnit | 将成员批量添加到管理单元 - 已完成(批量) |
| AdministrativeUnit | 批量移除管理单元中的成员 - 已完成(批量) |
| AdministrativeUnit | 已启动(批量) |
| DeviceManagement | 批量添加身份验证设备 - 已完成(批量) |
| DeviceManagement | 下载设备 - 已完成(批量) |
| DeviceManagement | 已启动(批量) |
| DirectoryManagement | 批量下载硬件令牌 - 已完成(批量) |
| DirectoryManagement | 下载注册并重置事件 - 已完成(批量) |
| DirectoryManagement | 下载角色分配 - 已完成(批量) |
| DirectoryManagement | 下载服务主体 - 已完成(批量) |
| DirectoryManagement | 下载用户注册详细信息 - 已完成(批量) |
| DirectoryManagement | 下载用户 - 已完成(批量) |
| DirectoryManagement | 导出摘要数据 - 已完成(批量) |
| DirectoryManagement | 导出摘要数据新 - 已完成(批量) |
| DirectoryManagement | 已启动(批量) |
| GroupManagement | 批量导入组成员 - 已完成(批量) |
| GroupManagement | 批量移除组成员 - 已完成(批量) |
| GroupManagement | 下载组成员 - 已完成 |
| GroupManagement | 下载组 - 已完成(批量) |
| GroupManagement | 已启动(批量) |
| 策略 | 添加阻止的用户 |
| 策略 | 添加绕过用户 |
| 策略 | 清除对用户的阻止 |
| 策略 | 移除绕过的用户 |
| 策略 | 更新登录风险策略 |
| 策略 | 更新用户风险和 MFA 注册策略 |
| UserManagement | 批量创建用户 - 已完成(批量) |
| UserManagement | 批量删除用户 - 已完成(批量) |
| UserManagement | 批量邀请用户 - 已完成(批量) |
| UserManagement | 批量还原已删除的用户 - 已完成(批量) |
| UserManagement | 下载用户 - 已完成(批量) |
| UserManagement | 已启动(批量) |
访问评审
通过 Microsoft Entra ID 治理访问评审,可以确保用户具有适当的访问权限。 通过访问评审审核日志可以了解谁发起或结束了访问评审。 借助这些日志还可以了解是否更改了任何访问评审设置。
| 审核类别 | 活动 |
|---|---|
| DirectoryManagement | 创建程序 |
| DirectoryManagement | 链接程序控件 |
| DirectoryManagement | 取消链接程序控件 |
| 策略 | 访问评审结束 |
| 策略 | 应用决策 |
| 策略 | 批准决策 |
| 策略 | 批量批准决策 |
| 策略 | 批量拒绝决策 |
| 策略 | 批量重置决策 |
| 策略 | 将决策批量标记为未知 |
| 策略 | 取消请求 |
| 策略 | 创建访问评审 |
| 策略 | 创建请求 |
| 策略 | 删除访问评审 |
| 策略 | 删除审批 |
| 策略 | 拒绝决策 |
| 策略 | 决策未知 |
| 策略 | 请求已到期 |
| 策略 | 重置决策 |
| 策略 | 更新访问评审 |
| 策略 | 更新合作伙伴目录设置 |
| 策略 | 更新请求 |
| UserManagement | 应用评审 |
| UserManagement | 批准业务流中的所有请求 |
| UserManagement | 自动评审 |
| UserManagement | 自动应用评审 |
| UserManagement | 创建业务流 |
| UserManagement | 创建调控策略模板 |
| UserManagement | 删除访问评审 |
| UserManagement | 删除业务流 |
| UserManagement | 删除调控策略模板 |
| UserManagement | 拒绝所有决策 |
| UserManagement | 批准业务流中的所有请求 |
| UserManagement | 已批准请求 |
| UserManagement | 已拒绝请求 |
| UserManagement | 更新业务流 |
| UserManagement | 更新调控策略模板 |
身份验证方法
身份验证方法的审核日志可用于确保用户已正确注册其移动设备以启用多重身份验证。
此服务中也发现了与 GDPR 和数据保护相关的审核事件,它们位于 DirectoryManagement 类别中。 这些事件包括类似于 MFA.CosmosDB.mfa-prd-cust-rpt-eu.activations 和 DSR Export: MFA.PostgreSQL.bypassed_users_creations 的字符串。
注意
有关查看或删除个人数据的信息,请参阅 GDPR 的 Azure 数据使用者请求。 有关 GDPR 的详细信息,请参阅 Microsoft 信任中心的 GDPR 部分和服务信任门户的 GDPR 部分。
| 审核类别 | 活动 |
|---|---|
| ApplicationManagement | 分配硬件 OATH 令牌 |
| ApplicationManagement | 重置身份验证方法策略 |
| ApplicationManagement | 更新身份验证方法策略 |
| ApplicationManagement | 创建身份验证强度组合配置 |
| ApplicationManagement | 删除身份验证强度组合配置 |
| ApplicationManagement | 更新身份验证强度组合配置 |
| ApplicationManagement | 创建身份验证强度策略 |
| ApplicationManagement | 删除身份验证强度策略 |
| ApplicationManagement | 更新身份验证强度策略 |
| ApplicationManagement | 批量上传硬件 OATH 令牌 |
| ApplicationManagement | 创建硬件 OATH 令牌 |
| ApplicationManagement | DELETE Subscription.DeleteProviders |
| ApplicationManagement | DELETE Tenant.DeleteAgentStatuses |
| ApplicationManagement | DELETE Tenant.DeleteCaches |
| ApplicationManagement | DELETE Tenant.DeleteGreetings |
| ApplicationManagement | 删除硬件 OATH 令牌 |
| ApplicationManagement | PATCH Tenant.Patch |
| ApplicationManagement | PATCH Tenant.PatchCaches |
| ApplicationManagement | PATCH UserAuthMethod.PatchSignInPreferencesAsync |
| ApplicationManagement | POST SoundFile.Post |
| ApplicationManagement | Subscription.CreateProvider |
| ApplicationManagement | Subscription.CreateSubscription |
| ApplicationManagement | POST Tenant.CreateBlockedUser |
| ApplicationManagement | POST Tenant.CreateBypassedUser |
| ApplicationManagement | POST Tenant.CreateCacheConfig |
| ApplicationManagement | POST Tenant.CreateGreeting |
| ApplicationManagement | POST Tenant.CreateOemTenant |
| ApplicationManagement | POST Tenant.CreateTenant |
| ApplicationManagement | POST Tenant.GenerateNewActivationCredentials |
| ApplicationManagement | POST Tenant.RemoveBlockedUser |
| ApplicationManagement | POST Tenant.RemoveBypassedUser |
| ApplicationManagement | 更新硬件 OATH 令牌 |
| DirectoryManagement | DELETE Subscription.DeleteProviders |
| DirectoryManagement | DELETE Tenant.DeleteAgentStatuses |
| DirectoryManagement | DELETE Tenant.DeleteCaches |
| DirectoryManagement | DELETE Tenant.DeleteGreetings |
| DirectoryManagement | DSR 删除:MFA.CosmosDB.mfa-prd-cust-rpt-au.activations |
| DirectoryManagement | DSR 删除:MFA.CosmosDB.mfa-prd-cust-rpt-au.authentications |
| DirectoryManagement | DSR 删除:MFA.CosmosDB.mfa-prd-cust-rpt-cn.activations |
| DirectoryManagement | DSR 删除:MFA.CosmosDB.mfa-prd-cust-rpt-cn.authentications |
| DirectoryManagement | DSR 删除:MFA.CosmosDB.mfa-prd-cust-rpt-eu.activations |
| DirectoryManagement | DSR 删除:MFA.CosmosDB.mfa-prd-cust-rpt-eu.authentications |
| DirectoryManagement | DSR 删除:MFA.CosmosDB.mfa-prd-cust-rpt-ff.activations |
| DirectoryManagement | DSR 删除:MFA.CosmosDB.mfa-prd-cust-rpt-ff.authentications |
| DirectoryManagement | DSR 删除:MFA.CosmosDB.mfa-prd-cust-rpt-ge.activations |
| DirectoryManagement | DSR 删除:MFA.CosmosDB.mfa-prd-cust-rpt-ge.authentications |
| DirectoryManagement | DSR 删除:MFA.CosmosDB.mfa-prd-cust-rpt-gv.activations |
| DirectoryManagement | DSR 删除:MFA.CosmosDB.mfa-prd-cust-rpt-gv.authentications |
| DirectoryManagement | DSR 删除:MFA.CosmosDB.mfa-prd-cust-rpt-ww.activations |
| DirectoryManagement | DSR 删除:MFA.CosmosDB.mfa-prd-cust-rpt-ww.authentications |
| DirectoryManagement | DSR 删除:MFA.PostgreSQL.blocked_users |
| DirectoryManagement | DSR 删除:MFA.PostgreSQL.blocked_users_completions |
| DirectoryManagement | DSR 删除:MFA.PostgreSQL.blocked_creations |
| DirectoryManagement | DSR 删除:MFA.PostgreSQL.bypassed_users_completions |
| DirectoryManagement | DSR 删除:MFA.PostgreSQL.bypassed_users_creations |
| DirectoryManagement | DSR 删除:MFA.PostgreSQL.change_request_statuses |
| DirectoryManagement | DSR 删除:MFA.PostgreSQL.change_request |
| DirectoryManagement | DSR 导出:MFA.CosmosDB.mfa-prd-cust-rpt-au.activations |
| DirectoryManagement | DSR 导出:MFA.CosmosDB.mfa-prd-cust-rpt-au.authentications |
| DirectoryManagement | DSR 导出:MFA.CosmosDB.mfa-prd-cust-rpt-cn.activations |
| DirectoryManagement | DSR 导出:MFA.CosmosDB.mfa-prd-cust-rpt-cn.authentications |
| DirectoryManagement | DSR 导出:MFA.CosmosDB.mfa-prd-cust-rpt-eu.activations |
| DirectoryManagement | DSR 导出:MFA.CosmosDB.mfa-prd-cust-rpt-eu.authentications |
| DirectoryManagement | DSR 导出:MFA.CosmosDB.mfa-prd-cust-rpt-ff.activations |
| DirectoryManagement | DSR 导出:MFA.CosmosDB.mfa-prd-cust-rpt-ff.authentications |
| DirectoryManagement | DSR 导出:MFA.CosmosDB.mfa-prd-cust-rpt-ge.activations |
| DirectoryManagement | DSR 导出:MFA.CosmosDB.mfa-prd-cust-rpt-ge.authentications |
| DirectoryManagement | DSR 导出:MFA.CosmosDB.mfa-prd-cust-rpt-gv.activations |
| DirectoryManagement | DSR 导出:MFA.CosmosDB.mfa-prd-cust-rpt-gv.authentications |
| DirectoryManagement | DSR 导出:MFA.CosmosDB.mfa-prd-cust-rpt-ww.activations |
| DirectoryManagement | DSR 导出:MFA.CosmosDB.mfa-prd-cust-rpt-ww.authentications |
| DirectoryManagement | DSR 导出:MFA.PostgreSQL.blocked_users |
| DirectoryManagement | DSR 导出:MFA.PostgreSQL.blocked_users_completions |
| DirectoryManagement | DSR 导出:MFA.PostgreSQL.blocked_creations |
| DirectoryManagement | DSR 导出:MFA.PostgreSQL.bypassed_users_completions |
| DirectoryManagement | DSR 导出:MFA.PostgreSQL.bypassed_users_creations |
| DirectoryManagement | DSR 导出:MFA.PostgreSQL.change_request_statuses |
| DirectoryManagement | DSR 导出:MFA.PostgreSQL.change_request |
| DirectoryManagement | PATCH Tenant.Patch |
| DirectoryManagement | PATCH Tenant.PatchCaches |
| DirectoryManagement | POST SoundFile.Post |
| DirectoryManagement | POST Subscription.CreateProvider |
| DirectoryManagement | POST Subscription.CreateSubscription |
| DirectoryManagement | POST Tenant.CreateBlockedUser |
| DirectoryManagement | POST Tenant.CreateBypassedUser |
| DirectoryManagement | POST Tenant.CreateCacheConfig |
| DirectoryManagement | POST Tenant.CreateGreeting |
| DirectoryManagement | POST Tenant.CreateTenant |
| DirectoryManagement | POST Tenant.GenerateNewActivationCredentials |
| DirectoryManagement | POST Tenant.RemoveBlockedUser |
| DirectoryManagement | POST TenantRemoveBypassedUser |
| UserManagement | 管理员已删除安全信息 |
| UserManagement | 用户已注册安全信息 |
| UserManagement | 管理员已启动密码重置 |
| UserManagement | 管理员已更新安全信息 |
| UserManagement | 获取支持密钥创建选项 |
| UserManagement | 用户已取消安全信息注册 |
| UserManagement | 用户已更改默认安全信息 |
| UserManagement | 用户已删除安全信息 |
| UserManagement | 用户已注册所有必需的安全信息 |
| UserManagement | 用户已注册安全信息 |
| UserManagement | 用户已审阅安全信息 |
| UserManagement | 用户已启动密码更改 |
| UserManagement | 用户已启动密码重置 |
| UserManagement | 用户已启动安全信息注册 |
| UserManagement | 用户已更新安全信息 |
Microsoft Entra 建议
Microsoft Entra 建议 监视 Microsoft Entra 租户,并提供个性化的见解和可操作指南,以实现 Microsoft Entra 功能的最佳做法并优化租户配置。 这些日志提供建议状态更改的历史记录。
| 审核类别 | 活动 |
|---|---|
| DirectoryManagement | 取消建议 |
| DirectoryManagement | 将建议标记为完成 |
| DirectoryManagement | 推迟建议 |
Microsoft Entra 多重身份验证
Microsoft Entra 多重身份验证审核日志可帮助跟踪可疑活动的趋势或在报告欺诈行为时进行跟踪。 使用 Microsoft Entra 登录日志查看用户每次在需要 MFA 时的登录情况。
| 审核类别 | 活动 |
|---|---|
| UserManagement | 已报告欺诈行为 - 未采取任何操作 |
| UserManagement | 已报告欺诈行为 - 用户因 MFA 被阻止 |
| UserManagement | 已报告可疑活动 |
| UserManagement | 用户已注册安全信息 |
B2B 身份验证
| 审核类别 | 活动 |
|---|---|
| UserManagement | 兑换外部用户邀请 |
B2C
这组审核日志与 B2C 相关。 由于连接的资源和可能存在的外部帐户的数量,此服务具有多种类别和活动。 审核类别包括 ApplicationManagement、Authentication、Authorization、DirectoryManagement、KeyManagement、PolicyManagement 和 ResourceManagement。 可在“其他”类别中找到与一次性密码相关的日志。
| 审核类别 | 活动 |
|---|---|
| ApplicationManagement | 添加 V2 应用程序权限 |
| ApplicationManagement | 创建 V2 应用程序 |
| ApplicationManagement | 删除 V2 应用程序 |
| ApplicationManagement | 删除 V2 应用程序授权 |
| ApplicationManagement | 获取 V1 和 V2 应用程序 |
| ApplicationManagement | 获取 V1 应用程序 |
| ApplicationManagement | 获取 V1 应用程序 |
| ApplicationManagement | 获取 V2 应用程序 |
| ApplicationManagement | 获取 V2 应用程序 |
| ApplicationManagement | 检索 V2 应用程序授权 |
| ApplicationManagement | 检索 V2 应用程序服务主体 |
| ApplicationManagement | 更新 V2 应用程序 |
| ApplicationManagement | 更新 V2 应用程序授权 |
| 身份验证 | 已完成自助注册请求 |
| 身份验证 | 在用户流中调用了 API |
| 身份验证 | 删除所有可用的强身份验证设备 |
| 身份验证 | 评估条件访问策略 |
| 身份验证 | 交换令牌 |
| 身份验证 | 与标识提供者联合 |
| 身份验证 | 获取可用的强身份验证设备 |
| 身份验证 | 向应用程序发出 SAML 断言 |
| 身份验证 | 向应用程序颁发访问令牌 |
| 身份验证 | 向应用程序颁发授权代码 |
| 身份验证 | 向应用程序颁发 id_token |
| 身份验证 | 拨打电话以验证电话号码 |
| 身份验证 | 注册 TOTP 密钥 |
| 身份验证 | 修正用户 |
| 身份验证 | 发送短信以验证电话号码 |
| 身份验证 | 发送验证电子邮件 |
| 身份验证 | 验证客户端凭据 |
| 身份验证 | 验证本地帐户凭据 |
| 身份验证 | 验证用户身份验证 |
| 身份验证 | 验证电子邮件地址 |
| 身份验证 | 验证一次性密码 |
| 身份验证 | 验证电话号码 |
| 授权 | 添加 V2 应用程序权限 |
| 授权 | 检查资源名称是否可用 |
| 授权 | 创建 API 连接器 |
| 授权 | 创建标识提供者 |
| 授权 | 创建 authenticationEventListener |
| 授权 | 创建 authenticationEventsFlow |
| 授权 | 创建自定义标识提供者 |
| 授权 | 创建自定义策略 |
| 授权 | 创建 customAuthenticationExtension |
| 授权 | 创建或更新 B2C 目录资源 |
| 授权 | 创建或更新 B2C 目录租户和资源 |
| 授权 | 创建或更新 CIAM 目录租户和资源 |
| 授权 | 创建或更新来宾使用情况资源 |
| 授权 | 创建或更新本地化资源 |
| 授权 | 创建策略密钥 |
| 授权 | 创建初学者包 |
| 授权 | 创建用户属性 |
| 授权 | 创建用户流 |
| 授权 | 创建 V2 应用程序 |
| 授权 | 删除 API 连接器 |
| 授权 | 删除调用方为管理员的 B2C 租户 |
| 授权 | 删除 B2C 目录资源 |
| 授权 | 删除 CIAM 目录资源 |
| 授权 | 删除来宾使用情况资源 |
| 授权 | 删除标识提供者 |
| 授权 | 删除 authenticationEventlistener |
| 授权 | 删除 authenticationEventsFlow |
| 授权 | 删除自定义策略 |
| 授权 | 删除 customAuthenticationExtension |
| 授权 | 删除本地化资源 |
| 授权 | 删除策略密钥 |
| 授权 | 删除用户属性 |
| 授权 | 删除用户流 |
| 授权 | 删除 V2 应用程序 |
| 授权 | 删除 V2 应用程序授权 |
| 授权 | 生成密钥 |
| 授权 | 获取 API 连接器 |
| 授权 | 获取 API 连接器 |
| 授权 | 获取调用方为管理员的 B2C 租户 |
| 授权 | 获取 B2C 目录资源 |
| 授权 | 获取资源组中的 B2C 目录资源 |
| 授权 | 获取订阅中的 B2C 目录资源 |
| 授权 | 获取 CIAM 目录资源 |
| 授权 | 获取资源组中的 CIAM 目录资源 |
| 授权 | 获取订阅中的 CIAM 目录资源 |
| 授权 | 获取多个来宾使用情况资源 |
| 授权 | 获取订阅中的来宾使用情况资源 |
| 授权 | 获取标识提供者 |
| 授权 | 获取多个标识提供者 |
| 授权 | 获取 OnAttributeCollectionStartCustomExtension |
| 授权 | 获取 OnAttributeCollectionSubmitCustomExtension |
| 授权 | 获取 OnPageRenderStartCustomExtension |
| 授权 | 从策略密钥获取活动密钥元数据 |
| 授权 | 获取年龄限制配置 |
| 授权 | 获取身份验证流策略 |
| 授权 | 获取 authenticationEventListener |
| 授权 | 获取 authenticationEventsFlow |
| 授权 | 获取 authenticationEventsFlows |
| 授权 | 获取可用的输出声明 |
| 授权 | 获取配置的自定义标识提供者 |
| 授权 | 获取配置的标识提供者 |
| 授权 | 获取配置的本地标识提供者 |
| 授权 | 获取自定义域 |
| 授权 | 获取自定义标识提供者 |
| 授权 | 获取多个自定义策略 |
| 授权 | 获取自定义策略 |
| 授权 | 获取自定义策略元数据 |
| 授权 | 获取 customAuthenticationExtension |
| 授权 | 获取 customAuthenticationExtensions |
| 授权 | 获取标识提供者类型 |
| 授权 | 获取租户列表 |
| 授权 | 获取本地化资源 |
| 授权 | 获取异步操作的操作状态 |
| 授权 | 获取 Microsoft.AzureActiveDirectory 资源提供程序的操作 |
| 授权 | 获取策略密钥 |
| 授权 | 获取多个策略密钥 |
| 授权 | 获取租户的资源属性 |
| 授权 | 获取支持的区域性 |
| 授权 | 获取支持的标识提供者 |
| 授权 | 获取支持的页面协定 |
| 授权 | 获取租户详细信息 |
| 授权 | 获取租户域 |
| 授权 | 获取 authenticationEventsPolicy |
| 授权 | 获取用户属性 |
| 授权 | 获取用户属性 |
| 授权 | 获取用户流 |
| 授权 | 获取多个用户流 |
| 授权 | 获取 V1 和 V2 应用程序 |
| 授权 | 获取 V1 应用程序 |
| 授权 | 获取多个 V1 应用程序 |
| 授权 | 获取 V2 应用程序 |
| 授权 | 获取多个 V2 应用程序 |
| 授权 | 初始化租户 |
| 授权 | 移动资源 |
| 授权 | 还原策略密钥 |
| 授权 | 检索 V2 应用程序授权 |
| 授权 | 检索 V2 应用程序服务主体 |
| 授权 | 更新 API 连接器 |
| 授权 | 更新标识提供者 |
| 授权 | 更新 OnAttributeCollectionStartCustomExtension |
| 授权 | 更新 OnAttributeCollectionSubmitCustomExtension |
| 授权 | 更新 OnPageRenderStartCustomExtension |
| 授权 | 更新 B2C 目录资源 |
| 授权 | 更新 CIAM 目录资源 |
| 授权 | 更新来宾使用情况资源 |
| 授权 | 更新年龄限制配置 |
| 授权 | 更新身份验证流策略 |
| 授权 | 更新 authenticationEventListener |
| 授权 | 更新 authenticationEventsFlow |
| 授权 | 更新 authenticationEventsPolicy |
| 授权 | 更新自定义标识提供者 |
| 授权 | 更新自定义策略 |
| 授权 | 更新 customAuthenticationExtension |
| 授权 | 更新标识提供者 |
| 授权 | 更新本地标识提供者 |
| 授权 | 更新策略密钥 |
| 授权 | 更新订阅状态 |
| 授权 | 更新用户属性 |
| 授权 | 更新用户流 |
| 授权 | 更新 V2 应用程序 |
| 授权 | 更新 V2 应用程序授权 |
| 授权 | 将证书上传到策略密钥 |
| 授权 | 将密钥上传到策略密钥 |
| 授权 | 将机密上传到策略密钥 |
| 授权 | 验证 customExtension authenticationConfiguration |
| 授权 | 验证移动资源 |
| 目录管理 | 获取年龄限制配置 |
| 目录管理 | 获取自定义域 |
| 目录管理 | 获取租户列表 |
| 目录管理 | 获取租户的资源属性 |
| 目录管理 | 获取租户详细信息 |
| 目录管理 | 获取租户域 |
| 目录管理 | 初始化租户 |
| 目录管理 | 更新年龄限制配置 |
| KeyManagement | 创建策略密钥 |
| KeyManagement | 删除策略密钥 |
| KeyManagement | 从策略密钥获取活动密钥元数据 |
| KeyManagement | 获取策略密钥 |
| KeyManagement | 获取多个策略密钥 |
| KeyManagement | 还原策略密钥 |
| KeyManagement | 将密钥上传到策略密钥 |
| KeyManagement | 将机密上传到策略密钥 |
| 其他 | 生成一次性密码 |
| 其他 | 验证一次性密码 |
| PolicyManagement | 创建 authenticationEventListener |
| PolicyManagement | 创建 authenticationEventsFlow |
| PolicyManagement | 创建 customAuthenticationExtension |
| PolicyManagement | 删除 authenticationEventListener |
| PolicyManagement | 删除 authenticationEventsFlow |
| PolicyManagement | 删除 customAuthenticationExtension |
| PolicyManagement | 获取 OnAttributeCollectionStartCustomExtension |
| PolicyManagement | 获取 OnAttributeCollectionSubmitCustomExtension |
| PolicyManagement | 获取 OnPageRenderStartCustomExtension |
| PolicyManagement | 获取 authenticationEventListener |
| PolicyManagement | 获取 authenticationEventListeners |
| PolicyManagement | 获取 authenticationEventsFlow |
| PolicyManagement | 获取 authenticationEventsFlows |
| PolicyManagement | 获取 customAuthenticationExtension |
| PolicyManagement | 获取 customAuthenticationExtensions |
| PolicyManagement | 获取 authenticationEventsPolicy |
| PolicyManagement | 更新 OnAttributeCollectionStartCustomExtension |
| PolicyManagement | 更新 OnAttributeCollectionSubmitCustomExtension |
| PolicyManagement | 更新 OnPageRenderStartCustomExtension |
| PolicyManagement | 更新 authenticationEventListener |
| PolicyManagement | 更新 authenticationEventsFlow |
| PolicyManagement | 更新 authenticationEventsPolicy |
| PolicyManagement | 更新 customAuthenticationExtension |
| PolicyManagement | 验证 customExtension authenticationConfiguration |
| ResourceManagement | 检查资源名称是否可用 |
| ResourceManagement | 创建 API 连接器 |
| ResourceManagement | 创建标识提供者 |
| ResourceManagement | 创建自定义标识提供者 |
| ResourceManagement | 创建自定义策略 |
| ResourceManagement | 创建或更新 B2C 目录资源 |
| ResourceManagement | 创建或更新 B2C 目录租户和资源 |
| ResourceManagement | 创建或更新 CIAM 目录租户和资源 |
| ResourceManagement | 创建或更新来宾使用情况资源 |
| ResourceManagement | 创建或更新本地化资源 |
| ResourceManagement | 创建策略密钥 |
| ResourceManagement | 创建用户属性 |
| ResourceManagement | 创建用户流 |
| ResourceManagement | 删除 API 连接器 |
| ResourceManagement | 删除调用方为管理员的 B2C 租户 |
| ResourceManagement | 删除 B2C 目录资源 |
| ResourceManagement | 删除 CIAM 目录资源 |
| ResourceManagement | 删除来宾使用情况资源 |
| ResourceManagement | 删除标识提供者 |
| ResourceManagement | 删除自定义策略 |
| ResourceManagement | 删除本地化资源 |
| ResourceManagement | 删除策略密钥 |
| ResourceManagement | 删除用户属性 |
| ResourceManagement | 删除用户流 |
| ResourceManagement | 生成密钥 |
| ResourceManagement | 获取 API 连接器 |
| ResourceManagement | 获取 API 连接器 |
| ResourceManagement | 获取调用方为管理员的 B2C 租户 |
| ResourceManagement | 获取 B2C 目录资源 |
| ResourceManagement | 获取资源组中的 B2C 目录资源 |
| ResourceManagement | 获取订阅中的 B2C 目录资源 |
| ResourceManagement | 获取 CIAM 目录资源 |
| ResourceManagement | 获取资源组中的 CIAM 目录资源 |
| ResourceManagement | 获取订阅中的 CIAM 目录资源 |
| ResourceManagement | 获取来宾使用情况资源 |
| ResourceManagement | 获取资源组中的来宾使用情况目录资源 |
| ResourceManagement | 获取订阅中的来宾使用情况目录资源 |
| ResourceManagement | 获取标识提供者 |
| ResourceManagement | 获取多个标识提供者 |
| ResourceManagement | 从策略密钥获取活动密钥元数据 |
| ResourceManagement | 获取身份验证流策略 |
| ResourceManagement | 获取可用的输出声明 |
| ResourceManagement | 获取配置的自定义标识提供者 |
| ResourceManagement | 获取配置的标识提供者 |
| ResourceManagement | 获取配置的本地标识提供者 |
| ResourceManagement | 获取自定义标识提供者 |
| ResourceManagement | 获取多个自定义策略 |
| ResourceManagement | 获取自定义策略 |
| ResourceManagement | 获取自定义策略元数据 |
| ResourceManagement | 获取标识提供者 |
| ResourceManagement | 获取标识提供者类型 |
| ResourceManagement | 获取多个标识提供者 |
| ResourceManagement | 获取本地化资源 |
| ResourceManagement | 获取异步操作的操作状态 |
| ResourceManagement | 获取 Microsoft.AzureActiveDirectory 资源提供程序的操作 |
| ResourceManagement | 获取策略密钥 |
| ResourceManagement | 获取多个策略密钥 |
| ResourceManagement | 获取支持的区域性 |
| ResourceManagement | 获取支持的标识提供者 |
| ResourceManagement | 获取支持的页面协定 |
| ResourceManagement | 获取用户属性 |
| ResourceManagement | 获取用户属性 |
| ResourceManagement | 获取用户流 |
| ResourceManagement | 获取多个用户流 |
| ResourceManagement | 移动资源 |
| ResourceManagement | 更新 API 连接器 |
| ResourceManagement | 标识提供程序 |
| ResourceManagement | 更新 B2C 目录资源 |
| ResourceManagement | 更新 CIAM 目录资源 |
| ResourceManagement | 更新来宾使用情况资源 |
| ResourceManagement | 更新身份验证流策略 |
| ResourceManagement | 更新自定义标识提供者 |
| ResourceManagement | 更新自定义策略 |
| ResourceManagement | 更新标识提供者 |
| ResourceManagement | 更新本地标识提供者 |
| ResourceManagement | 更新策略密钥 |
| ResourceManagement | 更新订阅状态 |
| ResourceManagement | 更新用户属性 |
| ResourceManagement | 更新用户流 |
| ResourceManagement | 将证书更新为策略密钥 |
| ResourceManagement | 将机密更新为策略密钥 |
| ResourceManagement | 验证移动资源 |
条件性访问
使用这些日志查看何时对条件访问策略进行了更改。
| 审核类别 | 活动 |
|---|---|
| 策略 | 添加 AuthenticationContextClassReference |
| 策略 | 添加条件访问策略 |
| 策略 | 添加命名位置 |
| 策略 | 删除 AuthenticationContextClassReference |
| 策略 | 删除条件访问策略 |
| 策略 | 删除命名位置 |
| 策略 | 更新 AuthenticationContextClassReference |
| 策略 | 更新条件访问策略 |
| 策略 | 更新命名位置 |
| 策略 | 启用安全默认值 |
核心目录
在核心目录服务中捕获的日志涵盖各种方案。 其中会捕获对服务主体和应用程序的更改、对公司设置的更新以及许多其他目录相关的详细信息。 由于此服务中包含大量日志,因此请利用筛选器选项和日期范围来缩小结果范围。
| 审核类别 | 活动 |
|---|---|
| AdministrativeUnit | 添加管理单元 |
| AdministrativeUnit | 将成员添加到管理单元 |
| AdministrativeUnit | 将成员添加到受限管理单元 |
| AdministrativeUnit | 删除管理单元 |
| AdministrativeUnit | 硬删除管理单元 |
| AdministrativeUnit | 从管理单元中删除成员 |
| AdministrativeUnit | 从受限管理单元中删除成员 |
| AdministrativeUnit | 还原管理单元 |
| AdministrativeUnit | 更新管理单元 |
| 协议 | 添加协议 |
| 协议 | 删除协议 |
| 协议 | 硬删除协议 |
| 协议 | 更新协议 |
| ApplicationManagement | 向服务主体添加应用角色分配 |
| ApplicationManagement | 添加应用程序 |
| ApplicationManagement | 添加委托的权限授予 |
| ApplicationManagement | 将所有者添加到应用程序 |
| ApplicationManagement | 将所有者添加到服务主体 |
| ApplicationManagement | 将策略添加到应用程序 |
| ApplicationManagement | 将策略添加到服务主体 |
| ApplicationManagement | 添加服务主体 |
| ApplicationManagement | 添加服务主体凭据 |
| ApplicationManagement | 通过安全推出取消应用程序更新 |
| ApplicationManagement | 安全推出后完成应用程序更新 |
| ApplicationManagement | 同意使用应用程序 |
| ApplicationManagement | 删除应用程序 |
| ApplicationManagement | 硬删除应用程序 |
| ApplicationManagement | 硬删除服务主体 |
| ApplicationManagement | 从服务主体删除应用角色分配 |
| ApplicationManagement | 删除委托的权限授予 |
| ApplicationManagement | 从应用程序中删除所有者 |
| ApplicationManagement | 从服务主体中删除所有者 |
| ApplicationManagement | 从应用程序中删除策略 |
| ApplicationManagement | 从服务主体中删除策略 |
| ApplicationManagement | 删除服务主体 |
| ApplicationManagement | 删除服务主体凭据 |
| ApplicationManagement | 还原应用程序 |
| ApplicationManagement | 还原服务主体 |
| ApplicationManagement | 还原同意 |
| ApplicationManagement | 设置已验证的发布者 |
| ApplicationManagement | 取消设置已验证的发布者 |
| ApplicationManagement | 更新应用程序 |
| ApplicationManagement | 通过安全推出更新应用程序 |
| ApplicationManagement | 更新应用程序 - 证书和密码管理 |
| ApplicationManagement | 更新外部机密 |
| ApplicationManagement | 更新服务主体 |
| AttributeManagement | 添加属性集 |
| AttributeManagement | 在属性集中添加自定义安全属性定义 |
| AttributeManagement | 更新属性集 |
| AttributeManagement | 更新分配给 servicePrincipal 的属性值 |
| AttributeManagement | 更新分配给用户的属性值 |
| AttributeManagement | 更新属性集中的自定义安全属性定义 |
| 授权策略 | 更新授权策略 |
| CertificateBasedAuthConfiguration | 添加 CertificationBasedAuthConfiguration |
| CertificateBasedAuthConfiguration | 删除 CertificationBasedAuthConfiguration |
| 联系人 | 添加联系人 |
| 联系人 | 删除联系人 |
| 联系人 | 更新联系人 |
| CrossTenantAccessSettings | 添加跨租户访问设置的合作伙伴 |
| CrossTenantAccessSettings | 删除特定于合作伙伴的跨租户访问设置 |
| CrossTenantAccessSettings | 已将合作伙伴跨租户访问设置迁移到可缩放模型 |
| CrossTenantAccessSettings | 重置跨租户访问默认设置 |
| CrossTenantAccessSettings | 更新合作伙伴跨租户访问设置 |
| CrossTenantAccessSettings | 更新公司默认跨租户访问设置 |
| CrossTenantIdentitySyncSettings | 创建合作伙伴跨租户标识同步设置 |
| CrossTenantIdentitySyncSettings | 删除合作伙伴跨租户标识同步设置 |
| CrossTenantIdentitySyncSettings | 更新合作伙伴跨租户标识同步设置 |
| 设备 | 添加设备 |
| 设备 | 将注册的所有者添加到设备 |
| 设备 | 将注册的用户添加到设备 |
| 设备 | 删除设备 |
| 设备 | 设备不再合规 |
| 设备 | 设备不再托管 |
| 设备 | 从设备中删除注册的所有者 |
| 设备 | 从设备中删除注册的用户 |
| 设备 | 更新设备 |
| DeviceConfiguration | 添加设备配置 |
| DeviceConfiguration | 删除设备配置 |
| DeviceConfiguration | 更新设备配置 |
| DeviceTemplate | 从 DeviceTemplate 添加设备 |
| DeviceTemplate | 删除 DeviceTemplate |
| DeviceTemplate | 更新 DeviceTemplate |
| DirectoryManagement | 将合作伙伴添加到公司 |
| DirectoryManagement | 添加 sharedEmailDomainInvitation |
| DirectoryManagement | 添加未验证的域 |
| DirectoryManagement | 添加已验证的域 |
| DirectoryManagement | 创建公司 |
| DirectoryManagement | 创建公司设置 |
| DirectoryManagement | 删除公司允许的数据位置 |
| DirectoryManagement | 删除公司设置 |
| DirectoryManagement | 删除订阅 |
| DirectoryManagement | 降级合作伙伴 |
| DirectoryManagement | 目录已删除 |
| DirectoryManagement | 目录已永久删除 |
| DirectoryManagement | 目录已计划删除(生命周期) |
| DirectoryManagement | 目录已计划删除 (UserRequest) |
| DirectoryManagement | 获取域的跨云验证码 |
| DirectoryManagement | 将公司提升为合作伙伴 |
| DirectoryManagement | 将子域提升为根域 |
| DirectoryManagement | 从公司中删除合作伙伴 |
| DirectoryManagement | 删除未验证的域 |
| DirectoryManagement | 删除已验证的域 |
| DirectoryManagement | 计划添加 sharedEmailDomain |
| DirectoryManagement | 计划删除 sharedEmailDomain |
| DirectoryManagement | 设置公司信息 |
| DirectoryManagement | 设置 DirSync 功能 |
| DirectoryManagement | 设置 DirSyncEnabled 标志 |
| DirectoryManagement | 设置合作关系 |
| DirectoryManagement | 设置意外删除阈值 |
| DirectoryManagement | 设置公司允许的数据位置 |
| DirectoryManagement | 设置公司跨国功能已启用 |
| DirectoryManagement | 在租户上设置目录功能 |
| DirectoryManagement | 设置域身份验证 |
| DirectoryManagement | 在域中设置联合设置 |
| DirectoryManagement | 设置密码策略 |
| DirectoryManagement | 更新公司 |
| DirectoryManagement | 更新公司设置 |
| DirectoryManagement | 更新域 |
| DirectoryManagement | 更新 sharedEmailDomain |
| DirectoryManagement | 更新 sharedEmailDomainInvitation |
| DirectoryManagement | 验证域 |
| DirectoryManagement | 验证电子邮件验证域 |
| ExternalUserProfile | 创建 ExternalUserProfile |
| ExternalUserProfile | 删除 ExternalUserProfile |
| ExternalUserProfile | 硬删除 ExternalUserProfile |
| ExternalUserProfile | 还原 ExternalUserProfile |
| ExternalUserProfile | 更新 ExternalUserProfile |
| GroupManagement | 向组添加应用角色分配 |
| GroupManagement | 添加组 |
| GroupManagement | 将成员添加到组 |
| GroupManagement | 将所有者添加到组 |
| GroupManagement | 为组分配标签 |
| GroupManagement | 创建组设置 |
| GroupManagement | 删除组 |
| GroupManagement | 删除组设置 |
| GroupManagement | 完成向用户应用基于组的许可证 |
| GroupManagement | 向应用程序授予上下文同意 |
| GroupManagement | 硬删除组 |
| GroupManagement | 从组删除应用角色分配 |
| GroupManagement | 从组中删除标签 |
| GroupManagement | 从组中删除成员 |
| GroupManagement | 从组中删除所有者 |
| GroupManagement | 还原组 |
| GroupManagement | 设置组许可证 |
| GroupManagement | 已设置要由用户管理的组 |
| GroupManagement | 开始向用户应用基于组的许可证 |
| GroupManagement | 触发组许可证重新计算 |
| GroupManagement | 更新组 |
| GroupManagement | 更新组设置 |
| KerberosDomain | 添加 Kerberos 域 |
| KerberosDomain | 删除 Kerberos 域 |
| KerberosDomain | 还原 Kerberos 域 |
| KerberosDomain | 更新 Kerberos 域 |
| Label | 添加标签 |
| Label | 删除标签 |
| Label | 更新标签 |
| MicrosoftSupportAccessManagement | 已审批批准 |
| MicrosoftSupportAccessManagement | 已删除批准 |
| MicrosoftSupportAccessManagement | 已批准请求 |
| MicrosoftSupportAccessManagement | 已取消请求 |
| MicrosoftSupportAccessManagement | 已创建请求 |
| MicrosoftSupportAccessManagement | 已创建请求 |
| MicrosoftSupportAccessManagement | 已拒绝请求 |
| MultiTenantOrg | 创建 MultiTenantOrg |
| MultiTenantOrg | 硬删除 MultiTenantOrg |
| MultiTenantOrg | 更新 MultiTenantOrg |
| MultiTenantOrgIdentitySyncPolicyUpdate | 重置多租户组织标识同步策略模板 |
| MultiTenantOrgIdentitySyncPolicyUpdate | 更新多租户组织标识同步策略模板 |
| MultiTenantOrgPartnerConfigurationTemplate | 重置多租户组织合作伙伴配置模板 |
| MultiTenantOrgPartnerConfigurationTemplate | 更新多租户组织合作伙伴配置模板 |
| MultiTenantOrgTenant | 添加 MultiTenantOrg 租户 |
| MultiTenantOrgTenant | 删除 MultiTenantOrg 租户 |
| MultiTenantOrgTenant | 硬删除 MultiTenantOrg 租户 |
| MultiTenantOrgTenant | 加入 MultiTenantOrg 租户的租户 |
| MultiTenantOrgTenant | 更新 MultiTenantOrg 租户 |
| PendingExternalUserProfile | 创建 PendingExternalUserProfile |
| PendingExternalUserProfile | 删除 PendingExternalUserProfile |
| PendingExternalUserProfile | 硬删除 PendingExternalUserProfile |
| PendingExternalUserProfile | 更新 PendingExternalUserProfile |
| PermissionGrantPolicy | 添加权限授予策略 |
| PermissionGrantPolicy | 删除权限授予策略 |
| PermissionGrantPolicy | 更新权限授予策略 |
| 策略 | 将所有者添加到策略 |
| 策略 | 添加策略 |
| 策略 | 删除策略 |
| 策略 | 从策略中删除所有者 |
| 策略 | 删除策略凭据 |
| 策略 | 更新策略 |
| PrivateEndpoint | 添加了 PrivateEndpoint |
| PrivateEndpoint | 删除 PrivateEndpoint |
| PrivateLinkResource | 添加 PrivateLinkResource |
| PrivateLinkResource | 删除 PrivateLinkResource |
| PrivateLinkResource | 更新 PrivateLinkResource |
| RoleManagement | 将 EligibleRoleAssignment 添加到 RoleDefinition |
| RoleManagement | 将符合条件的成员添加到角色 |
| RoleManagement | 将成员添加到角色 |
| RoleManagement | 将成员添加到受限管理单元范围内的角色 |
| RoleManagement | 将角色分配添加到角色定义 |
| RoleManagement | 获取角色定义 |
| RoleManagement | 从模板添加角色 |
| RoleManagement | 将带有范围的成员添加到角色 |
| RoleManagement | 删除角色定义 |
| RoleManagement | 从 RoleDefinition 中删除 EligibleRoleAssignment |
| RoleManagement | 从角色中删除符合条件的成员 |
| RoleManagement | 从角色中删除成员 |
| RoleManagement | 删除受限管理单元范围内角色中的成员 |
| RoleManagement | 从角色定义中删除角色分配 |
| RoleManagement | 从角色中删除带有范围的成员 |
| RoleManagement | 更新角色 |
| RoleManagement | 更新角色定义 |
| SourceOfAuthorityPolicy | 添加 SOA 策略 |
| UserManagement | 向组添加应用角色分配 |
| UserManagement | 添加用户 |
| UserManagement | 添加用户强身份验证手机应用详细信息 |
| UserManagement | 更改用户许可证 |
| UserManagement | 更改用户密码 |
| UserManagement | 将联合用户转换为托管用户 |
| UserManagement | 为用户创建应用程序密码 |
| UserManagement | 为用户删除应用程序密码 |
| UserManagement | 删除用户 |
| UserManagement | 禁用强身份验证 |
| UserManagement | 禁用帐户 |
| UserManagement | 启用强身份验证 |
| UserManagement | 启用帐户 |
| UserManagement | 硬删除用户 |
| UserManagement | 从用户删除应用角色分配 |
| UserManagement | 删除用户强身份验证手机应用详细信息 |
| UserManagement | 重置密码 |
| UserManagement | 还原用户 |
| UserManagement | 设置强制更改用户密码 |
| UserManagement | 设置用户管理器 |
| UserManagement | 已启用设置用户 OATH 令牌元数据功能 |
| UserManagement | 更新 StsRefreshTokenValidFrom 时间戳 |
| UserManagement | 更新外部机密 |
| UserManagement | 更新用户 |
设备注册服务
如果需要管理已加入 Microsoft Entra ID 和 Microsoft Entra 混合的设备,请使用设备注册服务中捕获的日志查看对设备的更改。
| 审核类别 | 活动 |
|---|---|
| 设备 | 删除预创建的设备 |
| 设备 | 预创建设备 |
| 设备 | 注册设备 |
| 设备 | 显示本地管理员密码 |
| 设备 | 取消注册设备 |
| 设备 | 更新本地管理员密码 |
| KeyManagement | 添加 BitLocker 密钥 |
| KeyManagement | 删除 BitLocker 密钥 |
| KeyManagement | 读取 BitLocker 密钥 |
| 策略 | 设置设备注册策略 |
| UserManagement | 添加 FIDO2 安全密钥 |
| UserManagement | 添加 Windows Hello 企业版凭据 |
| UserManagement | 添加无密码手机登录凭据 |
| UserManagement | 添加平台凭据 |
| UserManagement | 删除 FIDO2 安全密钥 |
| UserManagement | 删除 Windows Hello 企业版凭据 |
| UserManagement | 删除无密码手机登录凭据 |
| UserManagement | 删除平台凭据 |
权利管理
使用这些日志监视权利管理设置的更改。 权利管理可用于简化分配 Microsoft Entra 安全组成员、授予 Microsoft 365 许可证或提供对应用程序的访问权限的方式。 访问评审具有单独的日志。
| 审核类别 | 活动 |
|---|---|
| EntitlementManagement | 添加权利管理角色分配 |
| EntitlementManagement | 管理员直接将用户分配到访问包 |
| EntitlementManagement | 管理员直接删除用户访问包分配 |
| EntitlementManagement | 访问包分配请求的审批阶段已完成 |
| EntitlementManagement | 批准访问包分配请求 |
| EntitlementManagement | 分配作为外部发起人的用户 |
| EntitlementManagement | 分配作为内部发起人的用户 |
| EntitlementManagement | 自动批准访问包分配请求 |
| EntitlementManagement | 取消访问包分配请求 |
| EntitlementManagement | 创建访问包 |
| EntitlementManagement | 创建访问包分配策略 |
| EntitlementManagement | 创建访问包分配用户更新请求 |
| EntitlementManagement | 创建访问包目录 |
| EntitlementManagement | 创建连接的组织 |
| EntitlementManagement | 创建自定义扩展 |
| EntitlementManagement | 创建不兼容的访问包 |
| EntitlementManagement | 创建不兼容的组 |
| EntitlementManagement | 创建资源环境 |
| EntitlementManagement | 创建资源删除请求 |
| EntitlementManagement | 创建资源请求 |
| EntitlementManagement | 删除访问包 |
| EntitlementManagement | 删除访问包分配策略 |
| EntitlementManagement | 删除访问包分配请求 |
| EntitlementManagement | 删除已删除用户的访问包分配策略 |
| EntitlementManagement | 删除访问包目录 |
| EntitlementManagement | 删除连接的组织 |
| EntitlementManagement | 删除自定义扩展 |
| EntitlementManagement | 删除不兼容的访问包 |
| EntitlementManagement | 删除不兼容的组 |
| EntitlementManagement | 拒绝访问包分配请求 |
| EntitlementManagement | 权利管理为用户创建访问包分配请求 |
| EntitlementManagement | 权利管理删除用户的访问包分配请求 |
| EntitlementManagement | 执行自定义扩展 |
| EntitlementManagement | 扩展访问包分配 |
| EntitlementManagement | 访问包分配请求失败 |
| EntitlementManagement | 完成访问包分配请求 |
| EntitlementManagement | 完成访问包资源分配 |
| EntitlementManagement | 部分完成访问包分配请求 |
| EntitlementManagement | 准备完成访问包分配请求 |
| EntitlementManagement | 删除权利管理角色分配 |
| EntitlementManagement | 删除访问包资源分配 |
| EntitlementManagement | 删除作为外部发起人的用户 |
| EntitlementManagement | 删除作为内部发起人的用户 |
| EntitlementManagement | 计划将来的访问包分配 |
| EntitlementManagement | 更新访问包 |
| EntitlementManagement | 更新访问包分配策略 |
| EntitlementManagement | 更新访问包分配请求 |
| EntitlementManagement | 更新访问包目录 |
| EntitlementManagement | 更新访问包目录资源 |
| EntitlementManagement | 更新连接的组织 |
| EntitlementManagement | 更新自定义扩展 |
| EntitlementManagement | 更新审批者的请求答复 |
| EntitlementManagement | 更新租户设置 |
| EntitlementManagement | 用户请求访问包分配 |
| EntitlementManagement | 用户代表服务主体请求访问包分配 |
| EntitlementManagement | 扩展请求扩展访问包分配 |
| EntitlementManagement | 扩展请求删除访问包分配 |
全球安全访问(预览版)
如果使用的是 Microsoft Entra Internet 访问或 Microsoft Entra 专用访问来获取和保护流向企业资源的网络流量,这些日志可帮助你发现何时网络策略发生更改。 这些日志捕获对流量转发策略和远程网络(例如分支位置)的更改。
| 审核类别 | 活动 |
|---|---|
| ObjectManagement | 加入进程已启动 |
| ObjectManagement | 更新自适应访问策略 |
| ObjectManagement | 更新扩充的审核日志设置 |
| PolicyManagement | 创建分支 |
| PolicyManagement | 创建筛选策略 |
| PolicyManagement | 创建筛选策略配置文件 |
| PolicyManagement | 删除筛选策略 |
| PolicyManagement | 删除筛选策略配置文件 |
| PolicyManagement | 创建转发策略 |
| PolicyManagement | 更新分支 |
| PolicyManagement | 更新筛选策略 |
| PolicyManagement | 更新筛选策略配置文件 |
| PolicyManagement | 更新筛选配置文件 |
| PolicyManagement | 更新转发选项策略 |
| PolicyManagement | 更新转发策略 |
| PolicyManagement | 更新转发配置文件 |
混合身份验证
| 审核类别 | 活动 |
|---|---|
| 身份验证 | 将用户添加到功能推出 |
| 身份验证 | 从功能推出中删除用户 |
受邀用户
使用受邀用户日志可帮助管理受邀以来宾身份在租户中进行协作的用户的状态。 这些日志有助于排查向外部用户发送邀请时遇到的问题。
| 审核类别 | 活动 |
|---|---|
| UserManagement | 删除外部用户 |
| UserManagement | 电子邮件未发送,用户已取消订阅 |
| UserManagement | 电子邮件已订阅 |
| UserManagement | 电子邮件已取消订阅 |
| UserManagement | 邀请外部用户 |
| UserManagement | 使用重置邀请状态邀请外部用户 |
| UserManagement | 邀请内部用户参与 B2B 协作 |
| UserManagement | 兑换外部用户邀请 |
| UserManagement | 创建病毒性用户 |
Microsoft Identity Manager (MIM) 服务
如果使用 MIM 根据业务策略和工作流自动执行标识和组预配,则这些审核日志可以帮助跟踪何时通过 MIM 服务对组和成员进行更改。
| 审核类别 | 活动 |
|---|---|
| GroupManagement | 添加组 |
| GroupManagement | 将成员添加到组 |
| GroupManagement | 将所有者添加到组 |
| GroupManagement | 删除组 |
| GroupManagement | 从组中删除成员 |
| GroupManagement | 从组中删除所有者 |
| GroupManagement | 更新组 |
| UserManagement | 用户密码注册 |
| UserManagement | 用户密码重置 |
移动性管理
| 审核类别 | 活动 |
|---|---|
| PolicyManagement | 删除策略 |
| PolicyManagement | 更新移动性管理策略 |
MyApps
使用 MyApps 审核日志确定何时将应用程序添加到 MyApp 门户的集合中。
| 审核类别 | 活动 |
|---|---|
| ApplicationManagement | 创建应用程序集合 |
| ApplicationManagement | 删除应用程序集合 |
| ApplicationManagement | 选择应用程序集合 |
| ApplicationManagement | 更新应用程序集合顺序 |
| ApplicationManagement | 更新预览设置 |
Privileged Identity Management (PIM)
PIM 审核日志中捕获的许多活动都是类似的,因此请注意续订、时间限制和永久等详细信息。 PIM 活动可以在 24 小时内生成许多日志,因此请利用筛选器缩小范围。 有关 PIM 服务中审核功能的详细信息,请参阅在 PIM 中查看 Microsoft Entra 角色的审核历史记录。
| 审核类别 | 活动 |
|---|---|
| ApplicationManagement | 向角色添加成员已请求审批(PIM 激活) |
| ApplicationManagement | 已将成员添加到 PIM 中的角色(时间限制) |
| ApplicationManagement | 已请求向 PIM 中的角色添加成员(时间限制) |
| ApplicationManagement | 批准请求 - 直接角色分配 |
| ApplicationManagement | PIM 激活请求已过期 |
| ApplicationManagement | 已删除 PIM 策略 |
| ApplicationManagement | 已从 PIM 的角色中删除成员(时间限制) |
| ApplicationManagement | 删除请求 |
| ApplicationManagement | 已创建角色定义 |
| ApplicationManagement | 更新 PIM 中的角色设置 |
| GroupManagement | 已取消向 PIM 中的角色添加符合条件的成员(续订) |
| GroupManagement | 已取消向 PIM 中的角色添加符合条件的成员(时间限制) |
| GroupManagement | 已将符合条件的成员添加到 PIM 中的角色(永久) |
| GroupManagement | 已将符合条件的成员添加到 PIM 中的角色(时间限制) |
| GroupManagement | 已请求向 PIM 中的角色添加符合条件的成员(永久) |
| GroupManagement | 已请求向 PIM 中的角色符合条件的成员(续订) |
| GroupManagement | 将符合条件的成员添加到 PIM 请求的角色中(时间限制) |
| GroupManagement | 向角色添加成员已请求审批(PIM 激活) |
| GroupManagement | 已取消向角色添加成员(PIM 激活) |
| GroupManagement | 已将成员添加到角色(PIM 激活) |
| GroupManagement | 已取消向 PIM 中的角色添加成员(永久) |
| GroupManagement | 已取消向 PIM 中的角色添加成员(续订) |
| GroupManagement | 已取消向 PIM 中的角色添加成员(时间限制) |
| GroupManagement | 已将成员添加到 PIM 中的角色(永久) |
| GroupManagement | 已将成员添加到 PIM 中的角色(时间限制) |
| GroupManagement | 已请求向 PIM 中的角色添加成员(永久) |
| GroupManagement | 已请求向 PIM 中的角色添加成员(续订) |
| GroupManagement | 已请求向 PIM 中的角色添加成员(时间限制) |
| GroupManagement | 已批准将成员添加到角色请求(PIM 激活) |
| GroupManagement | 已拒绝向角色添加成员的请求(PIM 激活) |
| GroupManagement | 已请求向角色添加成员(PIM 激活) |
| GroupManagement | 取消请求 |
| GroupManagement | 取消角色删除请求 |
| GroupManagement | 取消角色更新请求 |
| GroupManagement | 已登出 PIM 中的资源 |
| GroupManagement | 已将资源载入到 PIM |
| GroupManagement | PIM 激活请求已过期 |
| GroupManagement | 已删除 PIM 策略 |
| GroupManagement | 处理请求 |
| GroupManagement | 处理角色删除请求 |
| GroupManagement | 已从 PIM 的角色中删除符合条件的成员(永久) |
| GroupManagement | 已从 PIM 的角色中删除符合条件的成员(时间限制) |
| GroupManagement | 已请求从 PIM 的角色中删除符合条件的成员(永久) |
| GroupManagement | 已请求从 PIM 的角色中删除符合条件的成员(时间限制) |
| GroupManagement | 从角色中删除成员(PIM 激活已过期) |
| GroupManagement | 已从角色中删除成员(PIM 停用) |
| GroupManagement | 已从 PIM 的角色中删除成员(永久) |
| GroupManagement | 已从 PIM 的角色中删除成员(时间限制) |
| GroupManagement | 已请求从 PIM 的角色中删除成员(永久) |
| GroupManagement | 已请求从 PIM 的角色中删除成员(时间限制) |
| GroupManagement | 已请求从角色中删除成员(PIM 停用) |
| GroupManagement | 删除永久直接角色分配 |
| GroupManagement | 删除永久符合条件的角色分配 |
| GroupManagement | 删除请求 |
| GroupManagement | 已更新资源 |
| GroupManagement | 从已完成的 PIM 中的角色中还原符合条件的成员 |
| GroupManagement | 从角色中还原成员 |
| GroupManagement | 从已完成的 PIM 中的角色中还原成员 |
| GroupManagement | 还原永久直接角色分配 |
| GroupManagement | 已取消更新 PIM 中符合条件的成员(扩展) |
| GroupManagement | 已请求更新 PIM 中符合条件的成员(扩展) |
| GroupManagement | 管理员已批准更新 PIM 中的成员(扩展/续订) |
| GroupManagement | 已取消更新 PIM 中的成员(扩展) |
| GroupManagement | 管理员已拒绝更新 PIM 中的成员(扩展/续订) |
| GroupManagement | 已请求更新 PIM 中的成员(扩展) |
| GroupManagement | 更新 PIM 中的角色设置 |
| ResourceManagement | 已取消向 PIM 中的角色添加符合条件的成员(永久) |
| ResourceManagement | 已取消向 PIM 中的角色添加符合条件的成员(续订) |
| ResourceManagement | 已取消向 PIM 中的角色添加符合条件的成员(时间限制) |
| ResourceManagement | 已将符合条件的成员添加到 PIM 中的角色(永久) |
| ResourceManagement | 已将符合条件的成员添加到 PIM 中的角色(时间限制) |
| ResourceManagement | 已请求向 PIM 中的角色添加符合条件的成员(永久) |
| ResourceManagement | 已请求向 PIM 中的角色符合条件的成员(续订) |
| ResourceManagement | 将符合条件的成员添加到 PIM 请求的角色中(时间限制) |
| ResourceManagement | 向角色添加成员已请求审批(PIM 激活) |
| ResourceManagement | 已取消向角色添加成员(PIM 激活) |
| ResourceManagement | 已将成员添加到角色(PIM 激活) |
| ResourceManagement | 已取消向 PIM 中的角色添加成员(续订) |
| ResourceManagement | 已取消向 PIM 中的角色添加成员(时间限制) |
| ResourceManagement | 已将成员添加到 PIM 中的角色(永久) |
| ResourceManagement | 已将成员添加到 PIM 中的角色(时间限制) |
| ResourceManagement | 已请求向 PIM 中的角色添加成员(永久) |
| ResourceManagement | 已请求向 PIM 中的角色添加成员(续订) |
| ResourceManagement | 已请求向 PIM 中的角色添加成员(时间限制) |
| ResourceManagement | 向 PIM 外部角色添加成员(永久) |
| ResourceManagement | 已批准将成员添加到角色请求(PIM 激活) |
| ResourceManagement | 已拒绝向角色添加成员的请求(PIM 激活) |
| ResourceManagement | 已请求向角色添加成员(PIM 激活) |
| ResourceManagement | 取消请求 |
| ResourceManagement | 取消角色删除请求 |
| ResourceManagement | 取消角色更新请求 |
| ResourceManagement | 停用 PIM 警报 |
| ResourceManagement | 禁用 PIM 警报 |
| ResourceManagement | 启用 PIM 警报 |
| ResourceManagement | 已登出 PIM 中的资源 |
| ResourceManagement | 已载入 PIM 中的资源 |
| ResourceManagement | PIM 激活请求已过期 |
| ResourceManagement | 已删除 PIM 策略 |
| ResourceManagement | 处理请求 |
| ResourceManagement | 处理角色删除请求 |
| ResourceManagement | 处理角色更新请求 |
| ResourceManagement | 已从 PIM 的角色中删除符合条件的成员(永久) |
| ResourceManagement | 已从 PIM 的角色中删除符合条件的成员(时间限制) |
| ResourceManagement | 已请求从 PIM 的角色中删除符合条件的成员(永久) |
| ResourceManagement | 已请求从 PIM 的角色中删除符合条件的成员(时间限制) |
| ResourceManagement | 从角色中删除成员(PIM 激活已过期) |
| ResourceManagement | 已从角色中删除成员(PIM 停用) |
| ResourceManagement | 已从 PIM 的角色中删除成员(永久) |
| ResourceManagement | 已从 PIM 的角色中删除成员(时间限制) |
| ResourceManagement | 已请求从 PIM 的角色中删除成员(永久) |
| ResourceManagement | 已请求从 PIM 的角色中删除成员(时间限制) |
| ResourceManagement | 已请求从角色中删除成员(PIM 停用) |
| ResourceManagement | 删除永久直接角色分配 |
| ResourceManagement | 删除永久符合条件的角色分配 |
| ResourceManagement | 删除请求 |
| ResourceManagement | 解决 PIM 警报 |
| ResourceManagement | 已更新资源 |
| ResourceManagement | 从已完成的 PIM 中的角色中还原符合条件的成员 |
| ResourceManagement | 从角色中还原成员 |
| ResourceManagement | 从已完成的 PIM 中的角色中还原成员 |
| ResourceManagement | 还原永久直接角色分配 |
| ResourceManagement | 还原永久符合条件的角色分配 |
| ResourceManagement | 已从 PIM 登出租户 |
| ResourceManagement | 已触发 PIM 警报 |
| ResourceManagement | 已取消更新 PIM 中符合条件的成员(扩展) |
| ResourceManagement | 已请求更新 PIM 中符合条件的成员(扩展) |
| ResourceManagement | 管理员已批准更新 PIM 中的成员(扩展/续订) |
| ResourceManagement | 已取消更新 PIM 中的成员(扩展) |
| ResourceManagement | 管理员已拒绝更新 PIM 中的成员(扩展/续订) |
| ResourceManagement | 已请求更新 PIM 中的成员(扩展) |
| ResourceManagement | 更新 PIM 中的角色设置 |
| RoleManagement | 已取消向 PIM 中的角色添加符合条件的成员(永久) |
| RoleManagement | 已取消向 PIM 中的角色添加符合条件的成员(续订) |
| RoleManagement | 已取消向 PIM 中的角色添加符合条件的成员(时间限制) |
| RoleManagement | 已将符合条件的成员添加到 PIM 中的角色(永久) |
| RoleManagement | 已将符合条件的成员添加到 PIM 中的角色(时间限制) |
| RoleManagement | 已请求向 PIM 中的角色添加符合条件的成员(永久) |
| RoleManagement | 已请求向 PIM 中的角色符合条件的成员(续订) |
| RoleManagement | 将符合条件的成员添加到 PIM 请求的角色中(时间限制) |
| RoleManagement | 向角色添加成员已请求审批(PIM 激活) |
| RoleManagement | 已取消向角色添加成员(PIM 激活) |
| RoleManagement | 已将成员添加到角色(PIM 激活) |
| RoleManagement | 已取消向 PIM 中的角色添加成员(续订) |
| RoleManagement | 已取消向 PIM 中的角色添加成员(时间限制) |
| RoleManagement | 已将成员添加到 PIM 中的角色(永久) |
| RoleManagement | 已将成员添加到 PIM 中的角色(时间限制) |
| RoleManagement | 已请求向 PIM 中的角色添加成员(永久) |
| RoleManagement | 已请求向 PIM 中的角色添加成员(续订) |
| RoleManagement | 已请求向 PIM 中的角色添加成员(时间限制) |
| RoleManagement | 向 PIM 外部角色添加成员(永久) |
| RoleManagement | 已批准将成员添加到角色请求(PIM 激活) |
| RoleManagement | 已拒绝向角色添加成员的请求(PIM 激活) |
| RoleManagement | 已请求向角色添加成员(PIM 激活) |
| RoleManagement | 取消角色删除请求 |
| RoleManagement | 取消角色更新请求 |
| RoleManagement | 停用 PIM 警报 |
| RoleManagement | 禁用 PIM 警报 |
| RoleManagement | 启用 PIM 警报 |
| RoleManagement | 已登出 PIM 中的资源 |
| RoleManagement | 已载入 PIM 中的资源 |
| RoleManagement | PIM 激活请求已过期 |
| RoleManagement | 已删除 PIM 策略 |
| RoleManagement | 处理请求 |
| RoleManagement | 处理角色删除请求 |
| RoleManagement | 处理角色更新请求 |
| RoleManagement | 刷新 PIM 警报 |
| RoleManagement | 已从 PIM 的角色中删除符合条件的成员(永久) |
| RoleManagement | 已从 PIM 的角色中删除符合条件的成员(时间限制) |
| RoleManagement | 已请求从 PIM 的角色中删除符合条件的成员(永久) |
| RoleManagement | 已请求从 PIM 的角色中删除符合条件的成员(时间限制) |
| RoleManagement | 从角色中删除成员(PIM 激活已过期) |
| RoleManagement | 已从角色中删除成员(PIM 停用) |
| RoleManagement | 已从 PIM 的角色中删除成员(永久) |
| RoleManagement | 已从 PIM 的角色中删除成员(时间限制) |
| RoleManagement | 已请求从 PIM 的角色中删除成员(永久) |
| RoleManagement | 已请求从 PIM 的角色中删除成员(时间限制) |
| RoleManagement | 已请求从角色中删除成员(PIM 停用) |
| RoleManagement | 删除永久直接角色分配 |
| RoleManagement | 删除永久符合条件的角色分配 |
| RoleManagement | 删除请求 |
| RoleManagement | 解决 PIM 警报 |
| RoleManagement | 从已完成的 PIM 中的角色中还原符合条件的成员 |
| RoleManagement | 从角色中还原成员 |
| RoleManagement | 从已完成的 PIM 中的角色中还原成员 |
| RoleManagement | 还原永久直接角色分配 |
| RoleManagement | 还原永久符合条件的角色分配 |
| RoleManagement | 已从 PIM 登出租户 |
| RoleManagement | 已触发 PIM 警报 |
| RoleManagement | 更新 PIM 警报设置 |
| RoleManagement | 已取消更新 PIM 中符合条件的成员(扩展) |
| RoleManagement | 已请求更新 PIM 中符合条件的成员(扩展) |
| RoleManagement | 管理员已批准更新 PIM 中的成员(扩展/续订) |
| RoleManagement | 已取消更新 PIM 中的成员(扩展) |
| RoleManagement | 管理员已拒绝更新 PIM 中的成员(扩展/续订) |
| RoleManagement | 已请求更新 PIM 中的成员(扩展) |
| RoleManagement | 更新 PIM 中的角色设置 |
自助组管理
租户中的用户可以自行多方面管理其组成员身份。 使用自助服务组管理日志来帮助排查这些方案的问题。
此组中的许多活动都与用户活动相关的后台进程相关联。 例如,当用户访问 MyApps 或 MyGroups 门户时,可能会在日志中看到多个 Features_GetFeaturesAsync 实例。 此活动不指示用户是否已进行任何更改。 对于类似的用户操作,其他活动(例如 GroupsODataV4_Get)经常发生在组中。
| 审核类别 | 活动 |
|---|---|
| GroupManagement | ApprovalNotification_Create |
| GroupManagement | 自动续订组 |
| GroupManagement | Approval_Act |
| GroupManagement | Approval_Get |
| GroupManagement | Approval_GetAll |
| GroupManagement | Approvals_ActOnApproval |
| GroupManagement | Approvals_Post |
| GroupManagement | 批准要求加入组的挂起请求 |
| GroupManagement | 取消要求加入组的挂起请求 |
| GroupManagement | 创建生命周期管理策略 |
| GroupManagement | 删除要求加入组的挂起请求 |
| GroupManagement | 删除生命周期管理策略 |
| GroupManagement | Device_Create |
| GroupManagement | Device_Delete |
| GroupManagement | Device_Get |
| GroupManagement | Device_GetAll |
| GroupManagement | Features_GetFeaturesAsync |
| GroupManagement | Features_IsFeatureEnabledAsync |
| GroupManagement | Features_UpdateFeaturesAsync |
| GroupManagement | GroupLifecyclePolicies_Get |
| GroupManagement | GroupLifecyclePolicies_addGroup |
| GroupManagement | GroupLifecyclePolicies_removeGroup |
| GroupManagement | Group_AddMember |
| GroupManagement | Group_AddOwner |
| GroupManagement | Group_BatchValidateDynamicMembership |
| GroupManagement | Group_Create |
| GroupManagement | Group_Delete |
| GroupManagement | Group_Get |
| GroupManagement | Group_GetAll |
| GroupManagement | Group_GetDynamicGroupProperties |
| GroupManagement | Group_GetDynamicMembershipDeviceAttributes |
| GroupManagement | Group_GetDynamicMembershipOperators |
| GroupManagement | Group_GetDynamicMembershipUserBaseAttributes |
| GroupManagement | Group_GetExpiryNotificationDate |
| GroupManagement | Group_GetMembers |
| GroupManagement | Group_GetOwners |
| GroupManagement | Group_RemoveMember |
| GroupManagement | Group_RemoveOwner |
| GroupManagement | Group_Restore |
| GroupManagement | Group_Update |
| GroupManagement | Group_ValidateDynamicMembership |
| GroupManagement | GroupsODataV4_Get |
| GroupManagement | GroupsODataV4_GetgroupLifecyclePolicies |
| GroupManagement | GroupsODataV4_evaluateDynamicMembership |
| GroupManagement | Groups_CreateLink |
| GroupManagement | Groups_Get |
| GroupManagement | LcmPolicy_Get |
| GroupManagement | LcmPolicy_RenewGroup |
| GroupManagement | 拒绝要求加入组的挂起请求 |
| GroupManagement | 续订组 |
| GroupManagement | 请求加入组 |
| GroupManagement | Settings_GetSettingsAsync |
| GroupManagement | 更新生命周期管理策略 |
| GroupManagement | User_Create |
| GroupManagement | User_Delete |
| GroupManagement | User_Get |
| GroupManagement | User_GetAll |
| GroupManagement | User_GetMemberOf |
| GroupManagement | User_GetOwnedObjects |
| 其他 | ApprovalNotification_Create |
| UserManagement | 已更新 ConvergedUXV2 功能值 |
| UserManagement | 已更新 MyApps 功能值 |
| UserManagement | 更新 MyStaff 功能值 |
| UserManagement | 已更新 SSPRConvergence 功能值 |
| UserManagement | 已更新 SignInReports 功能值 |
自助服务密码管理
自助服务密码管理日志提供对用户和管理员对密码所做的更改或用户注册自助式密码重置的见解。
| 审核类别 | 活动 |
|---|---|
| DirectoryManagement | 对目录禁用密码写回 |
| DirectoryManagement | 对目录启用密码写回 |
| UserManagement | 被阻止进行自助密码重置 |
| UserManagement | 更改密码(自助服务) |
| UserManagement | 重置密码(由管理员) |
| UserManagement | 重置密码(自助服务) |
| UserManagement | 已保存自助式密码重置的安全信息 |
| UserManagement | 自助密码重置流活动进度 |
| UserManagement | 解锁用户帐户(自助服务) |
使用条款
| 审核类别 | 活动 |
|---|---|
| 策略 | 接受使用条款 |
| 策略 | 创建使用条款 |
| 策略 | 拒绝使用条款 |
| 策略 | 删除许可 |
| 策略 | 删除使用条款 |
| 策略 | 编辑使用条款 |
| 策略 | 发布使用条款 |