Obter registos de auditoria do Windows 365
Os logs de auditoria do Windows 365 incluem um registro de atividades que geram uma alteração em um computador na nuvem. Ações de criar, atualizar (editar), excluir, atribuir e ações remotas criam eventos de auditoria que os administradores podem examinar para a maioria das ações de PC na nuvem que passam pelo Graph. Por padrão, a auditoria está habilitada para todos os clientes. Ele não pode ser desabilitado.
Quem pode acessar os dados?
Os usuários com as seguintes permissões podem examinar os logs de auditoria:
- Administrador de Serviços do Intune
- Administrador Global
- Os administradores atribuídos a uma função do Intune com permissões de Dados de auditoria – Leitura
Importante
A Microsoft recomenda que você use funções com o menor número de permissões. Isto ajuda a melhorar a segurança da sua organização. O Administrador Global é uma função altamente privilegiada que deve ser limitada a cenários de emergência quando não for possível usar uma função existente.
Enviar registos de auditoria do Windows 365 para as definições de diagnóstico no Azure Monitor
As definições de diagnóstico do Azure Monitor permitem-lhe exportar registos e métricas da plataforma para o destino da sua preferência. Pode criar até cinco definições de diagnóstico diferentes para enviar registos e métricas diferentes para destinos independentes. Para obter mais informações, veja Definições de diagnóstico no Azure Monitor.
Para criar uma definição de diagnóstico para enviar registos
- Certifique-se de que tem uma conta do Azure.
- Inicie sessão no centro de administração do Microsoft Intune, selecioneDefinições de diagnóstico de Relatórios> (em Monitor do Azure)>Adicionar Definições de diagnóstico.
- Em Registos, selecione Windows365AuditLogs.
- Em Detalhes do destino, selecione o destino e forneça os detalhes.
- Selecione Salvar.
Usar a API do Graph e o PowerShell para recuperar eventos de auditoria
Para obter eventos de registo de auditoria para o seu inquilino do Windows 365, siga estes passos:
Instalar o SDK
- No PowerShell, execute este comando:
Install-Module Microsoft.Graph.Beta -Scope CurrentUser -AllowClobber - Verifique a instalação executando este comando:
Get-InstalledModule Microsoft.Graph.Beta - Para obter todos os pontos de extremidade do Graph para o PC na nuvem, execute este comando:
Get-Command -Module Microsoft.Graph* *virtualEndpoint*
Entrar
- Execute um destes dois comandos:
Connect-MgGraph -Scopes "CloudPC.ReadWrite.All"Connect-MgGraph -Scopes "CloudPC.Read.All"
- Na página da Web resultante, entre no locatário com uma conta de usuário que tenha as permissões de leitura e/ou gravação apropriadas.
- Mude para o ambiente beta do Graph usando este comando:
Select-MgProfile -Name "beta"
Obter dados de auditoria
Você pode exibir dados de auditoria de várias maneiras.
Obter toda a lista de eventos de auditoria, incluindo o ator da auditoria
Para obter toda a lista de eventos de auditoria, incluindo o ator (pessoa que executou a ação), use o seguinte comando:
Get-MgBetaDeviceManagementVirtualEndpointAuditEvent | Select-Object -Property Actor,ActivityDateTime,ActivityType,ActivityResult -ExpandProperty Actor | Format-Table UserId, UserPrincipalName, ActivityType, ActivityDateTime, ActivityResult
Obter uma lista de eventos de auditoria
Para obter uma lista de eventos de auditoria sem o ator da auditoria, use o seguinte comando:
Get-MgBetaDeviceManagementVirtualEndpointAuditEvent
Para obter todos os eventos, use o parâmetro -All: Get-MgBetaDeviceManagementVirtualEndpointAuditEvent -All
Para obter apenas os N primeiros eventos, use os seguintes parâmetros: Get-MgBetaDeviceManagementVirtualEndpointAuditEvent -All -Top {TopNumber}
Obter apenas um evento por ID de evento
Você pode usar o seguinte comando para obter um único evento de auditoria, onde você precisará fornecer a {event ID}: Get-MgBetaDeviceManagementVirtualEndpointAuditEvent -CloudPcAuditEventId {event ID}