Domande frequenti sulla creazione di report in Azure Active DirectoryAzure Active Directory reporting FAQ

Questo articolo include risposte alle domande frequenti sulla creazione di report in Azure Active Directory (Azure AD).This article includes answers to frequently asked questions about Azure Active Directory (Azure AD) reporting. Per altre informazioni, vedere Creazione di report in Azure Active Directory.For more information, see Azure Active Directory reporting.

D: se si usano le API dell'endpoint https://graph.windows.net/<nome-tentant>/reports/ per eseguire il pull a livello di codice dei report di controllo e di utilizzo delle applicazioni integrate di Azure AD, a quale API occorre passare?Q: I am using the https://graph.windows.net/<tenant-name>/reports/ endpoint APIs to pull Azure AD audit and integrated application usage reports into our reporting systems programmatically. What should I switch to?

R: consultare la documentazione Microsoft di riferimento sulle API per vedere come è possibile usare le nuove API per accedere ai report sulle attività.A: Look up our API reference documentation to see how you can use the new APIs to access activity reports. Questo endpoint dispone di due report (Controllo e Accessi) che forniscono tutti i dati che si ottengono nell'endpoint delle API precedente.This endpoint has two reports (Audit and Sign-ins) which provide all the data you got in the old API endpoint. Anche questo nuovo endpoint include un report sugli accessi con la licenza Azure AD Premium, che è possibile usare per ottenere informazioni sull'utilizzo dell'app, l'utilizzo dei dispositivi e gli accessi degli utenti.This new endpoint also has a sign-ins report with the Azure AD Premium license that you can use to get app usage, device usage, and user sign-in information.


D: se si usano le API dell'endpoint https://graph.windows.net/<nome-tenant>/reports/ per eseguire il pull a livello di codice dei report sulla sicurezza di Azure AD (tipi specifici di rilevamenti, come perdita di credenziali o accessi da indirizzi IP anonimi) nei sistemi di gestione dei report, a quale API occorre passare?Q: I am using the https://graph.windows.net/<tenant-name>/reports/ endpoint APIs to pull Azure AD security reports (specific types of detections, such as leaked credentials or sign-ins from anonymous IP addresses) into our reporting systems programmatically. What should I switch to?

R: è possibile usare l'API per gli eventi di rischio di protezione dell'identità per accedere ai rilevamenti relativi alla sicurezza tramite Microsoft Graph.A: You can use the Identity Protection risk events API to access security detections through Microsoft Graph. Questo nuovo formato offre maggiore flessibilità per l'esecuzione di query sui dati, grazie a filtri avanzati, modalità di selezione dei campi e altro, oltre a standardizzare gli eventi di rischio su un solo tipo per una più facile integrazione con gli strumenti per la raccolta di informazioni di sicurezza e gestione degli eventi e altri dati.This new format gives greater flexibility in how you can query data, with advanced filtering, field selection, and more, and standardizes risk events into one type for easier integration into SIEMs and other data collection tools. Poiché i dati sono un formato diverso, non è possibile sostituire le query precedenti con una nuova query.Because the data is in a different format, you can't substitute a new query for your old queries. Tuttavia, la nuova API usa Microsoft Graph, ovvero lo standard Microsoft per API come Office 365 o Azure AD.However, the new API uses Microsoft Graph, which is the Microsoft standard for such APIs as O365 or Azure AD. Saranno quindi necessari interventi per estendere gli investimenti esistenti per Microsoft Graph o per avviare la transizione a questa nuova piattaforma standard.So the work required can either extend your current MS Graph investments or help you begin your transition to this new standard platform.


D: Qual è la conservazione dei dati per i log attività (controllo e accessi) nel portale di Azure?Q: What is the data retention for activity logs (Audit and Sign-ins) in the Azure portal?

R: vengono offerti 7 giorni di dati per i clienti con sottoscrizione gratuita. In alternativa, è possibile accedere ai dati fino a 30 giorni acquistando una licenza Azure AD Premium 1 o 2.A: We provide 7 days of data for our free customers, or you can access data for up to 30 days by purchasing an Azure AD Premium 1 or Premium 2 license. Per altre informazioni sulla conservazione dei report, vedere Criteri di conservazione dei report di Azure Active Directory.For more information on report retention, see Azure Active Directory report retention policies.


D: Quanto tempo occorre per la visualizzazione dei dati sull'attività dopo il completamento della stessa?Q: How long does it take until I can see the Activity data after I have completed my task?

R: i log dell'attività di controllo hanno una latenza compresa tra 15 minuti e un'ora.A: Audit activity logs have a latency ranging from 15 minutes to an hour. Per la visualizzazione dei log delle attività di accesso possono essere necessari da 15 minuti fino a 2 ore per alcuni record.Sign-in activity logs can take from 15 minutes to up to 2 hours for some records.


D: è necessario essere amministratore globale per visualizzare gli accessi al portale di Azure o per ottenere i dati tramite l'API?Q: Do I need to be a global admin to see the activity sign-ins to the Azure portal or to get data through the API?

R: No.A: No. È necessario avere il ruolo con autorizzazioni di lettura per la sicurezza oppure essere un amministratore della protezione o un amministratore globale per ottenere i dati dei report nel portale di Azure o tramite l'API.You must be a Security Reader, a Security Admin, or a Global Admin to get reporting data in the Azure portal or through the API.


D: È possibile ottenere informazioni sui log attività di Office 365 tramite il portale di Azure?Q: Can I get Office 365 activity log information through the Azure portal?

R: Sebbene l'attività di Office 365 e i log attività di Azure AD condividano numerose risorse della directory, se si desidera una visualizzazione completa dei log attività di Office 365, è necessario usare l'interfaccia di amministrazione di Office 365 per ottenere informazioni sui log attività di Office 365.A: Even though Office 365 activity and Azure AD activity logs share a lot of the directory resources, if you want a full view of the Office 365 activity logs, you should go to the Office 365 Admin Center to get Office 365 Activity log information.


D: Quali API è necessario usare per ottenere informazioni sui log attività di Office 365?Q: Which APIs do I use to get information about Office 365 Activity logs?

R: Usare le API Gestione di Office 365 per accedere ai log attività di Office 365 tramite un'API.A: Use the Office 365 Management APIs to access the Office 365 Activity logs through an API.


D: Quanti record è possibile scaricare dal portale di Azure?Q: How many records I can download from Azure portal?

R: Dal portale di Azure è possibile scaricare fino a 120 KB di record.A: You can download up to 120K records from the Azure portal. I record vengono ordinati in base ai più recenti e, per impostazione predefinita, vengono visualizzati 120 KB dei record più recenti.The records are sorted by most recent and by default, you get the most recent 120K records.


D: Su quanti record è possibile eseguire query tramite le API delle attività?Q: How many records can I query through the activities API?

R: Le query possono essere eseguite su un numero massimo di 1 milione di record (se non si usa l'operatore TOP, che ordina i record in base al più recente).A: You can query up to 1 million records (if you don’t use the top operator, which sorts the record by most recent). Se si usa l'operatore TOP, è possibile eseguire query su un massimo di 500 KB di record.If you do use the “top” operator, you can query up to 500K records. Qui è possibile trovare le query di esempio su come usare l'API.You can find sample queries on how to use the API here here.


D: Come ottenere una licenza Premium?Q: How do I get a premium license?

R: Per la risposta a questa domanda, vedere Introduzione ad Azure Active Directory Premium.A: See Getting started with Azure Active Directory Premium for an answer to this question.


D: In quanto tempo è possibile visualizzare le attività dopo aver acquistato una licenza Premium?Q: How soon should I see activities data after getting a premium license?

R: Se si dispone già di dati sulle attività come licenza gratuita, è possibile visualizzare questi dati.A: If you already have activities data as a free license, then you can see the same data. Se non si dispone di dati, saranno necessari uno o due giorni.If you don’t have any data, then it will take one or two days.


D: È possibile visualizzare i dati del mese precedente dopo avere acquistato una licenza Azure AD Premium?Q: Do I see last month's data after getting an Azure AD premium license?

R:: Se di recente si è passati alla versione Premium (anche di valutazione), inizialmente è possibile visualizzare i dati fino a 7 giorni.A: If you have recently switched to a Premium version (including a trial version), you can see data up to 7 days initially. Quando i dati si accumulano, verranno visualizzati fino a 30 giorni.When data accumulates, you will see up to 30 days.


D: Esiste un evento di rischio nella protezione dell'identità, ma non vengono visualizzati accessi corrispondenti in tutti gli accessi. È normale?Q: There is a risk event in Identity Protection but I’m not seeing corresponding sign-in in the all sign-ins. Is this expected?

R: Sì, la protezione dell'identità valuta il rischio per tutti i flussi di autenticazione, sia interattivi che non interattivi.A: Yes, Identity Protection evaluates risk for all authentication flows whether if be interactive or non-interactive. Tuttavia, tutti i report degli accessi mostrano solo gli accessi interattivi.However, all sign-ins only report shows only the interactive sign-ins.


D: Come è possibile scaricare il report "Utenti contrassegnati per il rischio" nel portale di Azure?Q: How can I download the “Users flagged for risk” report in Azure portal?

R:: L'opzione per scaricare il report Utenti contrassegnati per il rischio verrà aggiunta a breve.A: The option to download Users flagged for risk report will be added soon.


D: Come sapere perché un accesso o un utente è stato contrassegnato come rischioso nel portale di Azure?Q: How do I know why a sign-in or a user was flagged risky in the Azure portal?

R: I clienti dell'edizione Premium possono scoprire altre informazioni sugli eventi di rischio sottostanti facendo clic sull'utente in "Utenti contrassegnati per il rischio" o facendo clic su "Accessi a rischio".A: Premium edition customers can learn more about the underlying risk events by clicking on the user in “Users flagged for risk” or by clicking on the “Risky sign-ins”. I clienti della versione Basic e Free riescono a visualizzare gli utenti e gli accessi a rischio senza le informazioni sull'evento di rischio sottostante.Free and Basic edition customers get to see the at-risk users and sign-ins without the underlying risk event information.


D: come vengono calcolati gli indirizzi IP nel report degli accessi e degli accessi a rischio?Q: How are IP addresses calculated in the sign-ins and risky sign-ins report?

R: Gli indirizzi IP vengono rilasciati in modo che non esista una connessione certa tra un IP e la posizione in cui si trova fisicamente il computer con tale indirizzo.A: IP addresses are issued in such a way that there is no definitive connection between an IP address and where the computer with that address is physically located. A ciò si aggiungono fattori come la possibilità che provider di telefonia mobile e VPN rilascino indirizzi IP da pool centrali spesso molto distanti dal luogo in cui viene effettivamente usato il dispositivo client.This is complicated by factors such as mobile providers and VPNs issuing IP addresses from central pools often very far from where the client device is actually used. Per questi motivi, la conversione di un indirizzo IP in una posizione fisica è un'approssimazione basata su tracce, dati del Registro di sistema, ricerche inverse e altre informazioni.Given the above, converting IP address to a physical location is a best effort based on traces, registry data, reverse look ups and other information.


D: Cosa significa l'evento di rischio "È stato rilevato un accesso con rischi aggiuntivi"?Q: What does the risk event "Sign-in with additional risk detected" signify?

R: Per offrire informazioni approfondite su tutti gli accessi rischiosi effettuati nell'ambiente, viene visualizzato l'evento di rischio "È stato rilevato un accesso con rischi aggiuntivi" per gli accessi considerati rischiosi a seguito di rilevamenti effettuati esclusivamente per i sottoscrittori di Azure AD Identity Protection.A: To give you an insight into all the risky sign-ins in your environment we show the risk event "Sign-in with additional risk detected" for sign-ins considered risky because of detections exclusive to Azure AD Identity Protection subscribers.