Co to są dzienniki inspekcji firmy Microsoft Entra?

  • Artykuł

Dzienniki aktywności firmy Microsoft Entra obejmują dzienniki inspekcji, które są kompleksowym raportem na temat każdego zarejestrowanego zdarzenia w identyfikatorze Entra firmy Microsoft. Zmiany w aplikacjach, grupach, użytkownikach i licencjach są przechwytywane w dziennikach inspekcji firmy Microsoft Entra.

Dostępne są również dwa inne dzienniki aktywności, które ułatwiają monitorowanie kondycji dzierżawy:

  • Logowania — informacje o logowaniu i sposobie użycia zasobów przez użytkowników.
  • Aprowizowanie — działania wykonywane przez usługę aprowizacji, takie jak tworzenie grupy w usłudze ServiceNow lub użytkownik zaimportowany z produktu Workday.

Ten artykuł zawiera omówienie dzienników inspekcji, w tym informacje wymagane do uzyskania dostępu do nich i informacje, które udostępniają.

Wymagania dotyczące licencji i roli

Wymagane role i licencje różnią się w zależności od raportu. Do uzyskiwania dostępu do danych monitorowania i kondycji w programie Microsoft Graph są wymagane oddzielne uprawnienia. Zalecamy używanie roli z dostępem do najniższych uprawnień, aby dopasować je do wskazówek dotyczących relacji Zero Trust. Aby uzyskać pełną listę ról, zobacz Najmniej uprzywilejowane role według zadania.

Dziennik/raport Ról Licencje
Dzienniki inspekcji Czytelnik raportów
Czytelnik zabezpieczeń
Administrator zabezpieczeń		 Wszystkie wersje identyfikatora Entra firmy Microsoft
Dzienniki logowania Czytelnik raportów
Czytelnik zabezpieczeń
Administrator zabezpieczeń		 Wszystkie wersje identyfikatora Entra firmy Microsoft
Dzienniki aprowizacji Czytelnik raportów
Czytelnik zabezpieczeń
Administrator aplikacji
Administrator aplikacji w chmurze		 Microsoft Entra ID P1 lub P2
Niestandardowe dzienniki inspekcji atrybutów zabezpieczeń* Administrator dziennika atrybutów
Czytelnik dziennika atrybutów		 Wszystkie wersje identyfikatora Entra firmy Microsoft
Zdrowie Czytelnik raportów
Czytelnik zabezpieczeń
Administrator pomocy technicznej		 Microsoft Entra ID P1 lub P2
Ochrona tożsamości Microsoft Entra** Administrator zabezpieczeń
Operator zabezpieczeń
Czytelnik zabezpieczeń
Czytelnik globalny
 Microsoft Entra ID Free
Aplikacje Microsoft 365
Microsoft Entra ID P1 lub P2
Dzienniki aktywności programu Microsoft Graph Administrator zabezpieczeń
Uprawnienia dostępu do danych w odpowiednim miejscu docelowym dziennika		 Microsoft Entra ID P1 lub P2
Użycie i szczegółowe informacje Czytelnik raportów
Czytelnik zabezpieczeń
Administrator zabezpieczeń		 Microsoft Entra ID P1 lub P2

*Wyświetlanie niestandardowych atrybutów zabezpieczeń w dziennikach inspekcji lub tworzenie ustawień diagnostycznych niestandardowych atrybutów zabezpieczeń wymaga jednej z ról dziennika atrybutów. Potrzebna jest również odpowiednia rola, aby wyświetlić standardowe dzienniki inspekcji.

**Poziom dostępu i możliwości dla Ochrona tożsamości Microsoft Entra różni się w zależności od roli i licencji. Aby uzyskać więcej informacji, zobacz wymagania licencyjne dotyczące ochrony identyfikatorów.

Co można zrobić z dziennikami inspekcji?

Dzienniki inspekcji w identyfikatorze Entra firmy Microsoft zapewniają dostęp do rekordów aktywności systemu, często potrzebnych do zapewnienia zgodności. Możesz uzyskać odpowiedzi na pytania związane z użytkownikami, grupami i aplikacjami.

Użytkowników:

  • Jakie typy zmian zostały ostatnio zastosowane do użytkowników?
  • Ilu użytkowników zostało zmienionych?
  • Ile haseł zostało zmienionych?

Grupy:

  • Jakie grupy zostały niedawno dodane?
  • Czy właściciele grupy zostali zmienieni?
  • Jakie licencje dotyczą grupy lub użytkownika?

Aplikacji:

  • Jakie aplikacje zostały, zaktualizowane lub usunięte?
  • Czy jednostka usługi dla aplikacji została zmieniona?
  • Czy nazwy aplikacji zostały zmienione?

Niestandardowe atrybuty zabezpieczeń:

Nuta

Wpisy w dziennikach inspekcji są generowane przez system i nie można ich zmienić ani usunąć.

Co pokazują dzienniki?

Dzienniki inspekcji są domyślne na karcie Katalog , która wyświetla następujące informacje:

  • Data i godzina wystąpienia
  • Usługa, która zarejestrowała wystąpienie
  • Kategoria i nazwa działania (co)
  • Stan działania (powodzenie lub niepowodzenie)

Druga karta zabezpieczeń niestandardowych zawiera dzienniki inspekcji niestandardowych atrybutów zabezpieczeń. Aby wyświetlić dane na tej karcie, musisz mieć rolę Administrator dziennika atrybutów lub Czytelnik dziennika atrybutów. Ten dziennik inspekcji zawiera wszystkie działania związane z niestandardowymi atrybutami zabezpieczeń. Aby uzyskać więcej informacji, zobacz Co to są niestandardowe atrybuty zabezpieczeń.

Zrzut ekranu przedstawiający dzienniki inspekcji z wyróżnionymi kartami Katalog i Zabezpieczenia niestandardowe.

Dzienniki aktywności platformy Microsoft 365

Dzienniki aktywności platformy Microsoft 365 można wyświetlić w Centrum administracyjne platformy Microsoft 365. Mimo że działania platformy Microsoft 365 i dzienniki aktywności firmy Microsoft Entra współdzielą wiele zasobów katalogu, tylko Centrum administracyjne platformy Microsoft 365 zapewnia pełny widok dzienników aktywności platformy Microsoft 365.

Dostęp do dzienników aktywności platformy Microsoft 365 można również uzyskać programowo przy użyciu interfejsów API zarządzania usługi Office 365.

Większość autonomicznych lub dołączonych subskrypcji platformy Microsoft 365 ma zależności zaplecza w niektórych podsystemach w granicach centrum danych platformy Microsoft 365. Zależności wymagają pewnych informacji zapisywania zwrotnego, aby zachować synchronizację katalogów i w istocie ułatwić bezproblemowe dołączanie w ramach subskrypcji w celu uzyskania zgody na korzystanie z usługi Exchange Online. W przypadku tych zapisów wpisy dziennika inspekcji pokazują akcje wykonywane przez "Zarządzanie podłożem firmy Microsoft". Te wpisy dziennika inspekcji odnoszą się do operacji tworzenia/aktualizowania/usuwania wykonywanych przez usługę Exchange Online do identyfikatora Entra firmy Microsoft. Wpisy są informacyjne i nie wymagają żadnej akcji.