Auditlogboeken in Azure Active Directory

  • Artikel
  • 4 minuten om te lezen

Als IT-beheerder wilt u weten hoe het met uw IT-omgeving gaat. Aan de hand van de informatie over de status van uw systeem kunt u beoordelen of en hoe u op potentiële problemen moet reageren.

Ter ondersteuning van dit doel biedt de Azure Active Directory portal u toegang tot drie activiteitenlogboeken:

  • Aanmeldingen: informatie over aanmeldingen en hoe uw resources worden gebruikt door uw gebruikers.
  • Controle: informatie over wijzigingen die worden toegepast op uw tenant, zoals gebruikers en groepsbeheer of updates die worden toegepast op de resources van uw tenant.
  • Inrichting: activiteiten die worden uitgevoerd door de inrichtingsservice, zoals het maken van een groep in ServiceNow of het importeren van een gebruiker uit Workday.

In dit artikel vindt u een overzicht van de auditlogboeken.

Wat is het?

Met de auditlogboeken in Azure AD krijgt u toegang tot records van systeemactiviteiten voor naleving. De meest voorkomende weergaven van dit logboek zijn gebaseerd op de volgende categorieën:

  • Gebruikersbeheer

  • Groepsbeheer

  • Toepassingsbeheer

Met een op de gebruiker gerichte weergave kunt u antwoorden krijgen op vragen zoals:

  • Welke typen updates zijn toegepast op gebruikers?

  • Hoeveel gebruikers zijn gewijzigd?

  • Hoeveel wachtwoorden zijn gewijzigd?

  • Wat heeft een beheerder in een directory gedaan?

Met een groepgerichte weergave kunt u antwoorden krijgen op vragen zoals:

  • Welke groepen zijn toegevoegd?

  • Zijn er groepen met wijzigingen in het lidmaatschap?

  • Zijn de eigenaren van een groep gewijzigd?

  • Welke licenties zijn toegewezen aan een groep of een gebruiker?

Met een toepassingsgerichte weergave kunt u antwoorden krijgen op vragen zoals:

  • Welke toepassingen zijn toegevoegd of bijgewerkt?

  • Welke toepassingen zijn verwijderd?

  • Is een service-principal voor een toepassing gewijzigd?

  • Zijn de namen van toepassingen gewijzigd?

  • Wie heeft toestemming gegeven voor een toepassing?

Welke licentie heb ik nodig?

Het controleactiviteitenrapport is beschikbaar in alle edities van Azure AD.

Wie hebt u er toegang toe?

Voor toegang tot de auditlogboeken moet u een van de volgende rollen hebben:

  • Beveiligingsbeheer
  • Beveiligingslezer
  • Rapportlezer
  • Algemene lezer
  • Hoofdbeheerder

Waar kan ik dit vinden?

De Azure Portal biedt verschillende opties voor toegang tot het logboek. In het menu Azure Active Directory kunt u het logboek bijvoorbeeld openen in de sectie Bewaking.

Auditlogboeken openen

Bovendien kunt u rechtstreeks naar de auditlogboeken gaan met behulp van deze koppeling.

U kunt het auditlogboek ook openen via de Microsoft Graph API.

Wat is de standaardweergave?

Een controlelogboek heeft een standaardlijstweergave die het volgende laat zien:

  • de datum en tijd van de gebeurtenis
  • de service die het exemplaar heeft geregistreerd
  • de categorie en naam van de activiteit (wat)
  • de status van de activiteit (geslaagd of mislukt)
  • het doel
  • de initiator/actor (wie) van een activiteit

Auditlogboeken

U kunt de lijstweergave aanpassen door te klikken op Kolommen op de werkbalk.

Controlekolommen

Hiermee kunt u extra velden weergeven of velden verwijderen die al worden weergegeven.

Velden verwijderen

Selecteer een item in de lijstweergave voor meer gedetailleerde informatie.

item selecteren

Auditlogboeken filteren

U kunt de controlegegevens filteren op de volgende velden:

  • Service
  • Categorie
  • Activiteit
  • Status
  • Doel
  • Gestart door (actor)
  • Datumbereik

Filterobject

Met het filter Service kunt u een keuze maken uit een vervolgkeuzelijst met de volgende services:

  • Alles
  • AAD Beheer-UX
  • Toegangsbeoordelingen
  • Account inrichten
  • Toepassingsproxy
  • Verificatiemethoden
  • B2C
  • Voorwaardelijke toegang
  • Hoofddirectory
  • Rechtenbeheer
  • Hybride verificatie
  • Identiteitsbeveiliging
  • Uitgenodigde gebruikers
  • MIM-service
  • MyApps
  • PIM
  • Self-service voor groepsbeheer
  • Self-service voor wachtwoordbeheer
  • Gebruiksvoorwaarden

Met het filter Categorie kunt u een van de volgende filters selecteren:

  • Alles
  • AdministrativeUnit
  • ApplicationManagement
  • Verificatie
  • Autorisatie
  • Contactpersoon
  • Apparaat
  • DeviceConfiguration
  • DirectoryManagement
  • EntitlementManagement
  • GroupManagement
  • KerberosDomain
  • KeyManagement
  • Label
  • Anders
  • PermissionGrantPolicy
  • Beleid
  • ResourceManagement
  • RoleManagement
  • UserManagement

Het filter Activiteit is gebaseerd op de categorie en het resourcetype van de activiteit die u maakt. U kunt een specifieke activiteit of alle activiteiten selecteren.

U kunt de lijst met alle controleactiviteiten op halen met behulp van de Graph API:https://graph.windows.net/<tenantdomain>/activities/auditActivityTypesV2?api-version=beta

Met het filter Status kunt u filteren op basis van de status van een controlebewerking. De status kan een van de volgende zijn:

  • Alles
  • Geslaagd
  • Fout

Met het filter Doel kunt u zoeken naar een bepaald doel aan het begin van de naam of user principal name (UPN). De doelnaam en UPN zijn casegevoelig.

Met het filter Gestart door kunt u definiëren waarmee de naam van een actor of een UPN (Universal Principal Name) begint. De naam en UPN zijn casegevoelig.

Met het filter Datumbereik kunt u een tijdsbestek definiëren voor de geretourneerde gegevens.
Mogelijke waarden zijn:

  • 7 dagen
  • 24 uur
  • Aangepast telefoonnummer

Wanneer u een aangepast tijdsbestek selecteert, kunt u een begintijd en eindtijd configureren.

U kunt er ook voor kiezen om de gefilterde gegevens( maximaal 250.000 records) te downloaden door de knop Downloaden te selecteren. U kunt de logboeken downloaden in CSV- of JSON-indeling. Het aantal records dat u kunt downloaden, wordt beperkt door het Azure Active Directory van het rapport.

Gegevens downloaden

Microsoft 365 activiteitenlogboeken

U kunt de activiteitenlogboeken Microsoft 365 de Microsoft 365-beheercentrum. Hoewel Microsoft 365 activiteitenlogboeken en Azure AD-activiteitenlogboeken veel van de directory-resources delen, biedt alleen de Microsoft 365-beheercentrum een volledig overzicht van de Microsoft 365 activiteitenlogboeken.

U kunt de activiteitenlogboeken van Microsoft 365 ook programmatisch openen met behulp van de Office 365 Management-API's.

Notitie

De meeste zelfstandige of gebundelde Microsoft 365 hebben back-endafhankelijkheden van sommige subsystemen binnen de Microsoft 365 datacentergrens. Voor de afhankelijkheden is terugschrijven van bepaalde informatie vereist om de directories synchroon te houden en om probleemloze onboarding in een abonnement mogelijk te maken voor Exchange Online. Voor deze write-backs bevatten vermeldingen in auditlogboek acties die zijn uitgevoerd door Microsoft Management. Deze vermeldingen in auditlogboek verwijzen naar bewerkingen voor maken/bijwerken/verwijderen die worden uitgevoerd door Exchange Online naar Azure AD. De vermeldingen zijn informatief en vereisen geen actie.

Volgende stappen