Что такое журналы аудита Microsoft Entra?

Журналы действий Microsoft Entra включают журналы аудита, которые являются исчерпывающим отчетом о каждом зарегистрированном событии в идентификаторе Microsoft Entra. Изменения приложений, групп, пользователей и лицензий фиксируются в журналах аудита Microsoft Entra.

Также доступны два других журнала действий, которые помогут отслеживать работоспособность клиента:

  • Входы — сведения о входах и способах использования ресурсов пользователями.
  • Подготовка — действия, выполняемые службой подготовки, например создание группы в ServiceNow или пользователь, импортированный из Workday.

В этой статье представлен обзор журналов аудита, включая необходимые для доступа к ним сведения и сведения, которые они предоставляют.

Требования к лицензии и роли

Требуемые роли и лицензии зависят от отчета. Для доступа к данным мониторинга и работоспособности в Microsoft Graph требуются отдельные разрешения. Мы рекомендуем использовать роль с минимальными привилегиями для согласования с руководством по нулю доверия. Полный список ролей см. в разделе "Наименее привилегированные роли по задачам".

Журнал или отчет Роли Лицензии
Журналы аудита Средство чтения отчетов
Средство чтения безопасности
Администратор безопасности
Все выпуски идентификатора Microsoft Entra
Журналы входа Средство чтения отчетов
Средство чтения безопасности
Администратор безопасности
Все выпуски идентификатора Microsoft Entra
Журналы подготовки Средство чтения отчетов
Средство чтения безопасности
Администратор приложений
Администратор облачных приложений
Идентификатор Microsoft Entra P1 или P2
Журналы аудита настраиваемых атрибутов безопасности* Администратор журнала атрибутов
Читатель журналов атрибутов
Все выпуски идентификатора Microsoft Entra
Здоровье Средство чтения отчетов
Средство чтения безопасности
Администратор службы технической поддержки
Идентификатор Microsoft Entra P1 или P2
Защита идентификации Microsoft Entra** Администратор безопасности
Оператор безопасности
Средство чтения безопасности
Глобальный читатель
Бесплатный идентификатор Microsoft Entra
Приложения Microsoft 365
Идентификатор Microsoft Entra P1 или P2
Журналы действий Microsoft Graph Администратор безопасности
Разрешения на доступ к данным в соответствующем назначении журнала
Идентификатор Microsoft Entra P1 или P2
Использование и аналитические сведения Средство чтения отчетов
Средство чтения безопасности
Администратор безопасности
Идентификатор Microsoft Entra P1 или P2

*Просмотр настраиваемых атрибутов безопасности в журналах аудита или создание параметров диагностики для настраиваемых атрибутов безопасности требует одной из ролей журнала атрибутов. Вам также нужна соответствующая роль для просмотра стандартных журналов аудита.

**Уровень доступа и возможностей для Защита идентификации Microsoft Entra зависит от роли и лицензии. Дополнительные сведения см. в требованиях к лицензии для защиты идентификаторов.

Что можно сделать с журналами аудита?

Журналы аудита в идентификаторе Microsoft Entra предоставляют доступ к записям системных действий, часто необходимым для соответствия требованиям. Вы можете получить ответы на вопросы, связанные с пользователями, группами и приложениями.

Пользователей:

  • Какие типы изменений были недавно применены к пользователям?
  • Сколько пользователей было изменено?
  • Сколько паролей было изменено?

Группы:

  • Какие группы были добавлены недавно?
  • Изменились ли владельцы группы?
  • Какие лицензии относятся к группе или пользователю?

Приложений:

  • Какие приложения были обновлены или удалены?
  • Изменился ли субъект-служба для приложения?
  • Изменились ли имена приложений?

Настраиваемые атрибуты безопасности:

Заметка

Записи в журналах аудита создаются системой и не могут быть изменены или удалены.

Что показывают журналы?

Журналы аудита по умолчанию отображаются на вкладке "Каталог ", где отображаются следующие сведения:

  • Дата и время возникновения
  • Служба, занесающая в журнал вхождение
  • Категория и имя действия (что)
  • Состояние действия (успех или сбой)

На второй вкладке настраиваемой безопасности отображаются журналы аудита для пользовательских атрибутов безопасности. Чтобы просмотреть данные на этой вкладке, необходимо иметь роль администратора журнала атрибутов или средства чтения журналов атрибутов. В этом журнале аудита показаны все действия, связанные с пользовательскими атрибутами безопасности. Дополнительные сведения см. в разделе "Что такое настраиваемые атрибуты безопасности".

Снимок экрана: журналы аудита с выделенными вкладками

Журналы действий Microsoft 365

Журналы действий Microsoft 365 можно просмотреть из Центр администрирования Microsoft 365. Несмотря на то что журналы действий Microsoft 365 и журналы действий Microsoft Entra используют множество ресурсов каталога, только Центр администрирования Microsoft 365 предоставляет полное представление журналов действий Microsoft 365.

Вы также можете получить доступ к журналам действий Microsoft 365 программным способом с помощью API управления Office 365.

Большинство автономных или упакованных подписок Microsoft 365 имеют внутренние зависимости от некоторых подсистем в пределах границ центра обработки данных Microsoft 365. Зависимости требуют обратной записи некоторых сведений, чтобы сохранить каталоги в синхронизации и, по сути, помочь включить подключение без изменений в подписке для Exchange Online. Для этих записей в журналах аудита отображаются действия, выполняемые корпорацией "Управление субстратами Майкрософт". Эти записи журнала аудита ссылаются на операции создания, обновления и удаления, выполняемых Exchange Online в идентификатор Microsoft Entra. Записи являются информационными и не требуют каких-либо действий.