Vad är Microsoft Entra-granskningsloggar?

Microsoft Entra-aktivitetsloggar innehåller granskningsloggar, vilket är en omfattande rapport om varje loggad händelse i Microsoft Entra-ID. Ändringar av program, grupper, användare och licenser registreras alla i Microsoft Entra-granskningsloggarna.

Två andra aktivitetsloggar är också tillgängliga för att övervaka hälsotillståndet för din klientorganisation:

  • Inloggningar – Information om inloggningar och hur dina resurser används av dina användare.
  • Etablering – aktiviteter som utförs av etableringstjänsten, till exempel skapandet av en grupp i ServiceNow eller en användare som importerats från Workday.

Den här artikeln ger dig en översikt över granskningsloggarna, inklusive vad som krävs för att få åtkomst till dem och vilken information de tillhandahåller.

Licens- och rollkrav

De roller och licenser som krävs varierar beroende på rapporten. Separata behörigheter krävs för åtkomst till övervaknings- och hälsodata i Microsoft Graph. Vi rekommenderar att du använder en roll med minst behörighet för att anpassa till Nolltillit vägledning. En fullständig lista över roller finns i Minst privilegierade roller efter uppgift.

Logg/rapport Roller Licenser
Granskningsloggar Rapportläsare
Säkerhetsläsare
Säkerhetsadministratör
Alla utgåvor av Microsoft Entra ID
Inloggningsloggar Rapportläsare
Säkerhetsläsare
Säkerhetsadministratör
Alla utgåvor av Microsoft Entra ID
Etableringsloggar Rapportläsare
Säkerhetsläsare
Programadministratör
Molnappadministratör
Microsoft Entra ID P1 eller P2
Granskningsloggar för anpassade säkerhetsattribut* Administratör för attributlogg
Attributloggläsare
Alla utgåvor av Microsoft Entra ID
Hälsa Rapportläsare
Säkerhetsläsare
Supportadministratör
Microsoft Entra ID P1 eller P2
Microsoft Entra ID Protection** Säkerhetsadministratör
Säkerhetsoperator
Säkerhetsläsare
Global läsare
Microsoft Entra-ID kostnadsfritt
Microsoft 365-applikationer
Microsoft Entra ID P1 eller P2
Microsoft Graph-aktivitetsloggar Säkerhetsadministratör
Behörigheter för åtkomst till data i motsvarande loggmål
Microsoft Entra ID P1 eller P2
Användning och insikter Rapportläsare
Säkerhetsläsare
Säkerhetsadministratör
Microsoft Entra ID P1 eller P2

*Om du vill visa anpassade säkerhetsattribut i granskningsloggarna eller skapa diagnostikinställningar för anpassade säkerhetsattribut krävs en av rollerna i attributloggen. Du behöver också rätt roll för att visa standardgranskningsloggarna.

**Åtkomstnivån och funktionerna för Microsoft Entra ID Protection varierar beroende på roll och licens. Mer information finns i licenskraven för ID Protection.

Vad kan du göra med granskningsloggar?

Granskningsloggar i Microsoft Entra-ID ger åtkomst till systemaktivitetsposter som ofta behövs för efterlevnad. Du kan få svar på frågor som rör användare, grupper och program.

Användare:

  • Vilka typer av ändringar har nyligen tillämpats på användare?
  • Hur många användare har ändrats?
  • Hur många lösenord har ändrats?

Grupper:

  • Vilka grupper har nyligen lagts till?
  • Har ägarna till gruppen ändrats?
  • Vilka licenser gäller för en grupp eller en användare?

Program:

  • Vilka program har uppdaterats eller tagits bort?
  • Har tjänstens huvudnamn för ett program ändrats?
  • Har namnen på programmen ändrats?

Anpassade säkerhetsattribut:

  • Vilka ändringar har gjorts i definitioner eller tilldelningar av anpassade säkerhetsattribut ?
  • Vilka uppdateringar har gjorts för attributuppsättningar?
  • Vilka anpassade attributvärden har tilldelats en användare?

Not

Poster i granskningsloggarna genereras av systemet och kan inte ändras eller tas bort.

Vad visar loggarna?

Granskningsloggar är standard på fliken Katalog , som visar följande information:

  • Datum och tid för förekomsten
  • Tjänst som loggade förekomsten
  • Kategori och namn på aktiviteten (vad)
  • Status för aktiviteten (lyckad eller misslyckad)

En andra flik för Anpassad säkerhet visar granskningsloggar för anpassade säkerhetsattribut. Om du vill visa data på den här fliken måste du ha rollen Administratör för attributlogg eller Attributloggläsare . Den här granskningsloggen visar alla aktiviteter som är relaterade till anpassade säkerhetsattribut. Mer information finns i Vad är anpassade säkerhetsattribut.

Skärmbild av granskningsloggarna med flikarna Katalog och Anpassad säkerhet markerade.

Microsoft 365-aktivitetsloggar

Du kan visa Microsoft 365-aktivitetsloggar från Administrationscenter för Microsoft 365. Även om Microsoft 365-aktivitets- och Microsoft Entra-aktivitetsloggar delar många katalogresurser, ger endast Administrationscenter för Microsoft 365 en fullständig vy över Microsoft 365-aktivitetsloggarna.

Du kan också komma åt Microsoft 365-aktivitetsloggarna programmatiskt med hjälp av OFFICE 365 Management-API:erna.

De flesta fristående eller paketerade Microsoft 365-prenumerationer har serverdelsberoenden på vissa undersystem inom Microsoft 365-datacentergränsen. Beroendena kräver viss tillbakaskrivning av information för att hålla katalogerna synkroniserade och i huvudsak för att möjliggöra problemfri registrering i en prenumerationsregistrering för Exchange Online. För dessa tillbakaskrivningar visar granskningsloggposter åtgärder som vidtas av "Microsoft Substrate Management". Dessa granskningsloggposter refererar till åtgärder för att skapa/uppdatera/ta bort som körs av Exchange Online till Microsoft Entra-ID. Posterna är informationsbaserade och kräver ingen åtgärd.