Protokoly auditu v Azure Active Directory

Jako správce IT chcete vědět, jak si vaše IT prostředí vede. Informace o stavu vašeho systému umožňují posoudit, jestli a jak potřebujete reagovat na potenciální problémy.

Pro podporu tohoto cíle vám portál Azure Active Directory přístup ke třem protokolům aktivit:

• Přihlášení – informace o přihlášeních a způsobu, jakým uživatelé používají vaše prostředky.
• Audit – informace o změnách použitých ve vašem tenantovi, jako jsou uživatelé a správa skupin nebo aktualizace použité u prostředků vašeho tenanta.
• Zřizování – aktivity prováděné službou zřizování, jako je například vytvoření skupiny v ServiceNow nebo uživatel importovaný z Workday.

Tento článek poskytuje přehled protokolů auditu.

Co to je?

S protokoly auditu ve službě Azure AD získáte přístup k záznamům systémových aktivit kvůli dodržování předpisů. Nejběžnější zobrazení tohoto protokolu jsou založená na následujících kategoriích:

• Správa uživatelů

• Správa skupin

• Správa aplikací

Pomocí zobrazení zaměřeného na uživatele můžete získat odpovědi na otázky, jako jsou:

• Jaké typy aktualizací se použily na uživatele?

• Kolik uživatelů bylo změněno?

• Kolik hesel bylo změněno?

• Co provedl správce v adresáři?

Pomocí zobrazení zaměřeného na skupiny můžete získat odpovědi na otázky, jako jsou:

• Které skupiny byly přidány?

• Došlo u některých skupin ke změnám členství?

• Došlo ke změnám vlastníků skupiny?

• Jaké licence byly přiřazeny skupině nebo uživateli?

Pomocí zobrazení zaměřeného na aplikace můžete získat odpovědi na otázky, jako jsou:

• Jaké aplikace byly přidány nebo aktualizovány?

• Které aplikace byly odebrány?

• Změnil se pro aplikaci objekt služby?

• Změnily se názvy aplikací?

• Kdo udělil souhlas pro aplikaci?

Jaká licence budu potřebovat?

Sestava aktivit auditu je dostupná ve všech edicích Azure AD.

Kdo k ní máte přístup?

Pokud chcete získat přístup k protokolům auditu, musíte mít jednu z následujících rolí:

• Správce zabezpečení
• Čtenář zabezpečení
• Čtenář sestav
• Global Reader
• Globální správce

Kde ji najdu?

V Azure Portal najdete několik možností pro přístup k protokolu. Například v nabídce Azure Active Directory můžete otevřít protokol v části Monitorování.

Kromě toho můžete přejít přímo k protokolům auditu pomocí tohoto odkazu.

K protokolu auditu můžete přistupovat také prostřednictvím rozhraní Api Graph Microsoftu.

Jaké je výchozí zobrazení?

Protokol auditu má výchozí zobrazení seznamu, které obsahuje následující položky:

• datum a čas výskytu
• služba, která zaprotokoluje výskyt
• kategorie a název aktivity (co)
• stav aktivity (úspěch nebo neúspěch)
• cíl
• iniciátor/aktér aktivity (kdo)

Zobrazení seznamu můžete upravit kliknutím na Sloupce na panelu nástrojů.

To umožňuje zobrazit další pole, nebo odebrat pole, která jsou už zobrazená.

Pokud chcete získat podrobnější informace, vyberte položku v zobrazení seznamu.

Filtrování protokolů auditu

Data auditu můžete filtrovat podle následujících polí:

• Služba
• Kategorie
• Aktivita
• Stav
• Cíl
• Spustil(a) (činitel)
• Rozsah dat

Filtr Služba umožňuje vybrat z rozevíracího seznamu následujících služeb:

• Vše
• AAD Uživatelské prostředí pro správu
• Kontroly přístupu
• Zřizování účtů
• Proxy aplikací
• Metody ověřování
• B2C
• Podmíněný přístup
• Základní adresář
• Správa nároků
• Hybridní ověřování
• Identity Protection
• Pozvaní uživatelé
• Služba MIM
• Moje aplikace
• PIM
• Samoobslužná správa skupin
• Samoobslužná správa hesel
• Podmínky použití

Filtr Kategorie umožňuje vybrat jeden z následujících filtrů:

• Vše
• AdministrativeUnit
• ApplicationManagement
• Authentication
• Autorizace
• Kontakt
• Zařízení
• DeviceConfiguration
• DirectoryManagement
• EntitlementManagement
• GroupManagement
• KerberosDomain
• Správa
• Popisek
• Jiné
• PermissionGrantPolicy
• Zásady
• ResourceManagement
• RoleManagement
• UserManagement

Filtr aktivity je založen na typu kategorie a prostředku aktivity, kterou provedete. Můžete vybrat konkrétní aktivitu, kterou chcete zobrazit, nebo zvolit všechny.

seznam všech aktivit auditu můžete získat pomocí Graph API:https://graph.windows.net/<tenantdomain>/activities/auditActivityTypesV2?api-version=beta

Filtr stavu vám umožňuje filtrovat na základě stavu operace auditu. Stav může být jedna z následujících:

• Vše
• Success
• Selhání

Cílový filtr vám umožní vyhledat konkrétní cíl podle názvu nebo hlavního názvu uživatele (UPN). Název cíle a hlavní název uživatele (UPN) rozlišují velká a malá písmena.

Filtr iniciovaná pomocí filtru umožňuje definovat, s jakým jménem a názvem objektu actor začíná. Název a hlavní název uživatele (UPN) rozlišují malá a velká písmena.

Filtr rozsahu data umožňuje definovat časový rámec pro vracená data.
Možné hodnoty:

• 7 dní
• 24 hodin
• Vlastní

Když vyberete vlastní časový rámec, můžete nakonfigurovat počáteční a koncový čas.

Můžete si také stáhnout filtrovaná data, až 250 000 záznamů, a to tak, že vyberete tlačítko Stáhnout . Protokoly si můžete stáhnout buď ve formátu CSV, nebo ve formátu JSON. počet záznamů, které si můžete stáhnout, je omezený o Azure Active Directory zásady uchovávání sestav.

protokoly aktivit Microsoft 365

z Centrum pro správu Microsoftu 365můžete zobrazit protokoly aktivit Microsoft 365. i když Microsoft 365 aktivity a protokoly aktivit služby Azure AD sdílejí spoustu prostředků adresáře, zobrazí se úplné zobrazení protokolů aktivit Microsoft 365 jenom Centrum pro správu Microsoftu 365.

přístup k protokolům aktivit Microsoft 365 lze také programově pomocí rozhraní api pro správu Office 365.

Další kroky

• Referenční informace k aktivitám auditování Azure AD
• Referenční informace o uchovávání protokolů služby Azure AD
• Reference latence protokolu Azure AD
• Neznámí aktéri v sestavě auditu