Ottenere Windows 365 log di controllo

  • Articolo

I log di controllo per Windows 365 includono un record di attività che generano una modifica in un PC cloud. Creare, aggiornare (modificare), eliminare, assegnare e azioni remote creano tutti eventi di controllo che gli amministratori possono esaminare per la maggior parte delle azioni del PC cloud che passano attraverso Graph. Per impostazione predefinita, il controllo è abilitato per tutti i clienti. Non può essere disabilitata.

Chi può accedere ai dati?

Gli utenti con le autorizzazioni seguenti possono esaminare i log di controllo:

  • Amministratore globale
  • Amministratore del servizio Intune
  • Amministratori assegnati a un ruolo di Intune con dati di controllo - Autorizzazioni di lettura

Inviare Windows 365 log di controllo alle impostazioni di diagnostica in Monitoraggio di Azure

Le impostazioni di diagnostica di Monitoraggio di Azure consentono di esportare i log e le metriche della piattaforma nella destinazione desiderata. È possibile creare fino a cinque diverse impostazioni di diagnostica per inviare log e metriche diversi a destinazioni indipendenti. Per altre informazioni, vedere Impostazioni di diagnostica in Monitoraggio di Azure.

Per creare un'impostazione di diagnostica per l'invio dei log

  1. Assicurarsi di avere un account Azure.
  2. Accedere all'interfaccia di amministrazione Microsoft Intune, selezionareImpostazioni di diagnosticareport> (in Monitoraggio di Azure)>Aggiungi impostazioni di diagnostica.
  3. In Log selezionare Windows365AuditLogs.
  4. In Dettagli destinazione selezionare la destinazione e specificare i dettagli.
  5. Seleziona Salva.

Usare API Graph e PowerShell per recuperare gli eventi di controllo

Per ottenere eventi del log di controllo per un massimo di sette giorni per il tenant Windows 365, seguire questa procedura:

Installare l'SDK

  1. In PowerShell eseguire questo comando: Install-Module Microsoft.Graph.Beta -Scope CurrentUser -AllowClobber
  2. Verificare l'installazione eseguendo questo comando:Get-InstalledModule Microsoft.Graph.Beta
  3. Per ottenere tutti gli endpoint Graph di Cloud PC, eseguire questo comando: Get-Command -Module Microsoft.Graph* *virtualEndpoint*

Accesso

  1. Eseguire uno di questi due comandi:
    • Connect-MgGraph -Scopes "CloudPC.ReadWrite.All"
    • Connect-MgGraph -Scopes "CloudPC.Read.All"
  2. Nella pagina Web risultante accedere al tenant con un account utente con le autorizzazioni di lettura e/o scrittura appropriate.
  3. Passare all'ambiente graph beta usando questo comando: Select-MgProfile -Name "beta"

Ottenere i dati di controllo

È possibile visualizzare i dati di controllo in diversi modi.

Ottenere l'intero elenco di eventi di controllo, incluso l'attore di controllo

Per ottenere l'intero elenco di eventi di controllo, incluso l'attore (persona che ha eseguito l'azione), usare il comando seguente:

Get-MgBetaDeviceManagementVirtualEndpointAuditEvent | Select-Object -Property Actor,ActivityDateTime,ActivityType,ActivityResult -ExpandProperty Actor | Format-Table UserId, UserPrincipalName, ActivityType, ActivityDateTime, ActivityResult

Ottenere un elenco di eventi di controllo

Per ottenere un elenco di eventi di controllo senza l'attore di controllo, usare il comando seguente:

Get-MgBetaDeviceManagementVirtualEndpointAuditEvent

Per ottenere tutti gli eventi, usare il parametro -All : Get-MgBetaDeviceManagementVirtualEndpointAuditEvent -All

Per ottenere solo gli eventi N principali, usare i parametri seguenti: Get-MgBetaDeviceManagementVirtualEndpointAuditEvent -All -Top {TopNumber}

Ottenere un singolo evento in base all'ID evento

È possibile usare il comando seguente per ottenere un singolo evento di controllo, in cui è necessario specificare {ID evento}: Get-MgBetaDeviceManagementVirtualEndpointAuditEvent -CloudPcAuditEventId {event ID}

Passaggi successivi

Continuità aziendale e ripristino di emergenza.