取得 Windows 365 稽核記錄
Windows 365 的稽核記錄包含在雲端計算機中產生變更的活動記錄。 建立、更新 (編輯) 、刪除、指派和遠端動作,全都會建立稽核事件,讓系統管理員可以檢閱大部分通過 Graph 的雲端電腦動作。 根據預設,會針對所有客戶啟用稽核。 無法將其停用。
誰可以存取數據?
具有下列許可權的使用者可以檢閱稽核記錄:
- Intune 服務系統管理員
- 全域管理員
- 指派給具有稽核數據之 Intune 角色的系統管理員 - 讀 取許可權
重要事項
Microsoft建議您使用許可權最少的角色。 這有助於改善貴組織的安全性。 全域管理員是高度特殊許可權的角色,當您無法使用現有角色時,應該僅限於緊急案例。
將 Windows 365 稽核記錄傳送至 Azure 監視器中的診斷設定
Azure 監視器的診斷設定可讓您將平台記錄和計量匯出至您選擇的目的地。 您最多可以建立五個不同的診斷設定,將不同的記錄和計量傳送至獨立目的地。 如需詳細資訊,請參閱 Azure 監視器中的診斷設定。
建立用於傳送記錄的診斷設定
- 請確定您有 Azure 帳戶。
- 登入 Microsoft Intune 系統管理中心,>選取 [Azure 監視器] 下方的 [報告診斷設定 () >[新增診斷設定]。
- 在 [ 記錄] 下,選取 [Windows365AuditLogs]。
- 在 [ 目的地詳細數據] 底下,選取目的地並提供詳細數據。
- 選取 [儲存]。
使用圖形 API 和 PowerShell 擷取稽核事件
若要取得 Windows 365 租使用者的稽核記錄事件,請遵循下列步驟:
安裝 SDK
- 在 PowerShell 中,執行下列命令:
Install-Module Microsoft.Graph.Beta -Scope CurrentUser -AllowClobber
- 執行下列命令來確認安裝:
Get-InstalledModule Microsoft.Graph.Beta
- 若要取得所有 Cloud PC Graph 端點,請執行下列命令:
Get-Command -Module Microsoft.Graph* *virtualEndpoint*
登入
- 執行下列兩個命令之一:
Connect-MgGraph -Scopes "CloudPC.ReadWrite.All"
Connect-MgGraph -Scopes "CloudPC.Read.All"
- 在產生的網頁上,使用具有適當讀取和/或寫入許可權的用戶帳戶登入您的租使用者。
- 使用下列命令切換至 Graph Beta 環境:
Select-MgProfile -Name "beta"
取得稽核數據
您可以透過多種方式檢視稽核數據。
取得整個稽核事件清單,包括稽核執行者
若要取得整個稽核事件清單,包括執行者 (執行動作) 人員,請使用下列命令:
Get-MgBetaDeviceManagementVirtualEndpointAuditEvent | Select-Object -Property Actor,ActivityDateTime,ActivityType,ActivityResult -ExpandProperty Actor | Format-Table UserId, UserPrincipalName, ActivityType, ActivityDateTime, ActivityResult
取得稽核事件的清單
若要取得沒有稽核執行者的稽核事件清單,請使用下列命令:
Get-MgBetaDeviceManagementVirtualEndpointAuditEvent
若要取得所有事件,請使用 -All 參數: Get-MgBetaDeviceManagementVirtualEndpointAuditEvent -All
若只要取得前 N 個事件,請使用下列參數: Get-MgBetaDeviceManagementVirtualEndpointAuditEvent -All -Top {TopNumber}
依事件標識碼取得單一事件
您可以使用下列命令來取得單一稽核事件,其中您必須提供 {event ID}: Get-MgBetaDeviceManagementVirtualEndpointAuditEvent -CloudPcAuditEventId {event ID}