从 Microsoft Entra Connect Sync 版本 (2.4.129.0) 开始,默认提供新的管理员审核日志记录功能并启用。 此功能允许组织监视全局管理员、混合管理员和本地服务器管理员对 Microsoft Entra Connect Sync 配置所做的更改。
通过 Microsoft Entra Connect 同步向导、PowerShell 或同步规则编辑器(例如同步规则、身份验证设置和联合设置的更新)执行的管理员作在名为 Entra Connect Admin Actions 的专用事件源下捕获并记录在 Windows 事件查看器应用程序的事件日志中。 这将改进对身份基础结构更改的可见性,并支持故障排除、操作责任归属以及法规合规性。
本文概述了此功能记录的事件列表,并介绍了如何根据需要禁用它。
记录的事件列表
下表是使用新的审核功能记录的事件列表。 若要查看事件,请使用事件查看器并查看应用程序日志。
注释
建议增加应用程序事件日志的大小,因为 Windows 默认大小为 20MB 相对较小,且很容易被快速覆盖。 建议最小大小为 250MB-500MB。
| 事件编号 | 事件名称 | 描述 |
|---|---|---|
| 2503 | 添加/更新/删除目录。 | 提供受影响目录的名称。 |
| 2504 | 启用快速设置模式。 | 管理员选择 快速安装后,将记录此事件。 |
| 2505 | 启用或禁用域和组织单位(OU)的同步功能。 | 显示连接到 Microsoft Entra Connect Sync 的所有域的列表。 |
| 2506 | 启用/禁用密码哈希同步(PHS)。 | 显示 PHS 已启用或禁用。 |
| 2507 | 安装后启用/禁用同步启动。 | 安装完成后启用或禁用同步时,将记录事件。 |
| 2508 | 创建 Active Directory 域服务(AD DS)帐户。 | 显示连接到已添加的新目录所需的已创建帐户。 |
| 2509 | 使用现有的 AD DS 帐户。 | 显示用于连接到目录的帐户的名称。 |
| 2510 | 创建/更新/删除同步规则。 | 显示已更改的同步规则的名称以及所更改内容的信息。 |
| 2511 | 启用/禁用基于域的筛选。 | 显示已选择域筛选并列出所选域。 |
| 2512 | 启用/禁用基于 OU 的筛选。 | 显示已选择基于 OU 的筛选,并列出选定的 OU。 |
| 2513 | 用户登录方法已更改。 | 显示旧的登录方法和新登录方法。 |
| 2514 | 配置新的 Active Directory 联合身份验证服务 (AD FS) 场。 | 显示联合身份验证服务名称。 |
| 2515 | 启用/禁用单一登录。 | 显示单一登录更改。 |
| 2516 | 安装 Web 应用程序代理服务器。 | 显示选定的 AD FS 服务器和域管理员用户名。 |
| 2517 | 设置权限。 | 显示已更改的特定 ADSync 权限。 |
| 2518 | 更改 AD DS 连接器凭据。 | 显示已更改的 AD DS 连接器凭据。 |
| 2519 | 重新初始化Microsoft Entra ID 连接器帐户密码。 | 显示 ADSync 帐户密码已重置。 |
| 2520 | 安装 AD FS 服务器。 | 显示所选服务器。 |
| 2521 | 设置 AD FS 服务帐户。 | 指定是否为组托管帐户或域用户。 包括管理员用户名。 |
| 2522 | ConfigureEntraApplicationAuthentication |
指定尝试将应用程序身份验证配置为Microsoft Entra ID。 它提供操作的状态以及应用程序客户端ID等相关详细信息。 |
| 2523 | RotateEntraApplicationCertificate |
指定已尝试对用于向 Microsoft Entra ID 进行身份验证的应用程序证书进行轮换,并提供操作的状态。 |
| 2524 | DeleteEntraConnectorAccount |
说明曾尝试删除 Microsoft Entra ID 同步帐户。 它提供运行状态以及帐户名称。 |
| 2525 | DeleteEntraApplication |
指定已尝试删除用于与 Microsoft Entra ID 同步的 Microsoft Entra Connect Sync 应用程序。 它提供应用程序(客户端)ID以及操作的状态。 |
| 2526 | DeleteApplicationCertificate |
指定已尝试删除 Microsoft Entra Connect Sync 应用程序证书。 它提供应用程序(客户端)ID、证书 ID 以及操作的状态。 |
禁用管理员事件审核
使用注册表编辑器
若要禁用管理员事件的审核,请执行以下步骤:
- 打开注册表编辑器。 选择 Win+R 以打开 运行 对话框。
- 输入 regedit ,然后选择 Enter 以打开注册表编辑器。 确认所有安全提示以继续。
- 转到 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Azure AD Connect。
- 右键单击 Azure AD Connect 密钥以修改或创建 AuditEventLogging 值。 如果 AuditEventLogging 值尚不存在,请选择“新建”并选择 DWORD (32 位) 值。
- 将新的 DWORD 命名为 AuditEventLogging。
- 双击 AuditEventLogging 条目并输入 0 以禁用审核事件日志记录。 输入 1 以重新允许它。
使用 PowerShell
还可以使用 PowerShell 禁用管理员事件的审核日志记录。 使用以下脚本:
#Declare variables
$registryPath = 'HKLM:\SOFTWARE\Microsoft\Azure AD Connect'
$valueName = 'AuditEventLogging'
$newValue = '0'
#Create the AuditEventLogging key if it doesn't exist
if (!(Test-Path $registryPath)) {New-Item -Path $registryPath -Force}
#Set the value of the new AuditEventLogging key
Set-ItemProperty -Path $registryPath -Name $valueName -Value $newValue