Protokoly auditu v Azure Active Directory

Jako správce IT chcete mít přehled o stavu vašeho IT prostředí. Informace o stavu systému umožňují posoudit, jestli a jak potřebujete reagovat na potenciální problémy.

Pro podporu tohoto cíle vám portál Azure Active Directory poskytuje přístup ke třem protokolům aktivit:

  • Přihlášení – informace o přihlášení a způsobu, jakým vaše prostředky používají vaši uživatelé.
  • Audit – Informace o změnách použitých pro vašeho tenanta, jako jsou uživatelé a správa skupin nebo aktualizace použité u prostředků vašeho tenanta.
  • Zřizování – aktivity prováděné službou zřizování, jako je například vytvoření skupiny ve službě ServiceNow nebo uživatel importovaný z Aplikace Workday.

Tento článek obsahuje přehled protokolů auditu.

Co to je?

S protokoly auditu v Azure AD získáte přístup k záznamům systémových aktivit pro dodržování předpisů. Nejběžnější zobrazení tohoto protokolu jsou založená na následujících kategoriích:

  • Správa uživatelů

  • Správa skupin

  • Správa aplikací

Pomocí zobrazení zaměřeného na uživatele můžete získat odpovědi na otázky, jako jsou:

  • Jaké typy aktualizací byly použity pro uživatele?

  • Kolik uživatelů bylo změněno?

  • Kolik hesel bylo změněno?

  • Co provedl správce v adresáři?

Pomocí zobrazení zaměřeného na skupinu můžete získat odpovědi na otázky, jako jsou:

  • Které skupiny byly přidány?

  • Došlo u některých skupin ke změnám členství?

  • Došlo ke změnám vlastníků skupiny?

  • Jaké licence byly přiřazeny skupině nebo uživateli?

Pomocí zobrazení zaměřeného na aplikaci můžete získat odpovědi na otázky, jako jsou:

  • Jaké aplikace byly přidány nebo aktualizovány?

  • Jaké aplikace byly odebrány?

  • Změnil se instanční objekt pro aplikaci?

  • Změnily se názvy aplikací?

  • Kdo udělil souhlas pro aplikaci?

Jaká licence budu potřebovat?

Sestava aktivit auditu je dostupná ve všech edicích Azure AD.

Kdo k němu má přístup?

Pokud chcete získat přístup k protokolům auditu, musíte být v jedné z následujících rolí:

  • Správce zabezpečení
  • Čtenář zabezpečení
  • Čtenář sestav
  • Globální čtenář
  • Globální správce

Kde ji najdu?

Azure Portal nabízí několik možností přístupu k protokolu. Například v nabídce Azure Active Directory můžete otevřít protokol v části Monitorování.

Open audit logs

Kromě toho můžete pomocí tohoto odkazu přejít přímo do protokolů auditu.

K protokolu auditu můžete přistupovat také prostřednictvím Graph API Microsoftu.

Co je výchozí zobrazení?

Protokol auditu má výchozí zobrazení seznamu, které obsahuje následující položky:

  • datum a čas výskytu
  • služba, která zaznamenala výskyt
  • kategorie a název aktivity (co)
  • stav aktivity (úspěch nebo selhání)
  • cíl
  • iniciátor/aktér aktivity (kdo)

Audit logs

Zobrazení seznamu můžete upravit kliknutím na Sloupce na panelu nástrojů.

Audit columns

To umožňuje zobrazit další pole, nebo odebrat pole, která jsou už zobrazená.

Remove fields

Výběrem položky v zobrazení seznamu získáte podrobnější informace.

select item

Filtrování protokolů auditu

Data auditu můžete filtrovat podle následujících polí:

  • Služba
  • Kategorie
  • Aktivita
  • Stav
  • Cíl
  • Spustil(a) (činitel)
  • Rozsah dat

Filter object

Filtr služby umožňuje vybrat z rozevíracího seznamu následujících služeb:

  • Vše
  • uživatelské prostředí pro správu AAD
  • Kontroly přístupu
  • Zřizování účtů
  • Proxy aplikací
  • Metody ověřování
  • B2C
  • Podmíněný přístup
  • Základní adresář
  • Správa nároků
  • Hybridní ověřování
  • Identity Protection
  • Pozvaní uživatelé
  • Služba MIM
  • Moje aplikace
  • PIM
  • Samoobslužná správa skupin
  • Samoobslužná správa hesel
  • Podmínky použití

Filtr Kategorie umožňuje vybrat jeden z následujících filtrů:

  • Vše
  • AdministrativeUnit
  • ApplicationManagement
  • Authentication
  • Autorizace
  • Kontakt
  • Zařízení
  • DeviceConfiguration
  • DirectoryManagement
  • EntitlementManagement
  • GroupManagement
  • KerberosDomain
  • KeyManagement
  • Popisek
  • Jiné
  • PermissionGrantPolicy
  • Zásady
  • ResourceManagement
  • RoleManagement
  • UserManagement

Filtr aktivity je založený na vybrané kategorii a typu prostředku aktivity. Můžete vybrat konkrétní aktivitu, kterou chcete zobrazit, nebo zvolit všechny.

Seznam všech aktivit auditu můžete získat pomocí Graph API:https://graph.windows.net/<tenantdomain>/activities/auditActivityTypesV2?api-version=beta

Filtr Stavu umožňuje filtrovat na základě stavu operace auditu. Stav může být jeden z následujících:

  • Vše
  • Success
  • Selhání

Filtr Cíl umožňuje vyhledat konkrétní cíl podle počátečního jména nebo hlavního názvu uživatele (UPN). Cílový název a hlavní název uživatele (UPN) rozlišují malá a velká písmena.

Filtr iniciovaný filtrem umožňuje definovat, jaký název objektu actor nebo hlavní název (UPN) začíná. U názvu a hlavního názvu uživatele (UPN) se rozlišují malá a velká písmena.

Filtr Rozsah dat umožňuje definovat časový rámec vrácených dat.
Možné hodnoty:

  • 7 dní
  • 24 hodin
  • Vlastní

Když vyberete vlastní časový rámec, můžete nakonfigurovat počáteční a koncový čas.

Filtrovaná data si také můžete stáhnout až 250 000 záznamů výběrem tlačítka Stáhnout . Protokoly si můžete stáhnout ve formátu CSV nebo JSON. Počet záznamů, které si můžete stáhnout, je omezený zásadami uchovávání Azure Active Directory sestavy.

Download data

protokoly aktivit Microsoft 365

Protokoly aktivit Microsoft 365 můžete zobrazit z Centrum pro správu Microsoftu 365. I když Microsoft 365 aktivity a protokoly aktivit Azure AD sdílejí velké množství prostředků adresáře, jenom Centrum pro správu Microsoftu 365 poskytuje úplné zobrazení protokolů aktivit Microsoft 365.

K protokolům aktivit Microsoft 365 můžete přistupovat také prostřednictvím kódu programu pomocí rozhraní API pro správu Office 365.

Poznámka

Většina samostatných nebo seskupovaných předplatných Microsoft 365 má back-endové závislosti na některých subsystémech v rámci hranice Microsoft 365 datacentra. Závislosti vyžadují zpětný zápis informací, aby byly adresáře synchronizované, a v podstatě pomáhají povolit bezproblémové onboarding v předplatném pro Exchange Online. U těchto zpětných zápisů se u položek protokolu auditu zobrazují akce prováděné nástrojem Microsoft Substrate Management. Tyto položky protokolu auditu odkazují na operace vytvoření, aktualizace nebo odstranění prováděné Exchange Online do Azure AD. Položky jsou informativní a nevyžadují žádnou akci.

Další kroky