Gebruik auditlogboeken om gebeurtenissen in Microsoft Intune te volgen en te controleren

  • Artikel
  • 2 minuten om te lezen

Auditlogboeken bevatten een lijst met activiteiten die een wijziging in Microsoft Intune genereren. De acties maken, bijwerken (bewerken), verwijderen, toewijzen en externe acties zorgen voor controlegebeurtenissen die beheerders voor de meeste werkbelastingen van Intune kunnen bekijken. Standaard is controle ingeschakeld voor alle klanten. De functie kan niet worden uitgeschakeld.

Notitie

Het vastleggen van controlegebeurtenissen is gestart bij de functierelease van december 2017. Eerdere gebeurtenissen zijn niet beschikbaar.

Wie hebben er toegang tot de gegevens?

Gebruikers met de volgende machtigingen kunnen auditlogboeken bekijken:

  • Hoofdbeheerder
  • Intune-servicebeheerder
  • Beheerders die zijn toegewezen aan een Intune-rol met leesmachtigingen voor - controlegegevens

Auditlogboeken voor Intune-werkbelastingen

U kunt auditlogboeken in de controlegroep voor elke Intune-workload bekijken:

  1. Meld u aan bij het Microsoft Endpoint Manager-beheercentrum.
  2. Selecteer Tenantbeheer > Auditlogboeken.
  3. Als u de resultaten wilt filteren, selecteert u Filteren en verfijnt u de resultaten met behulp van de volgende opties.
    • Categorie: zoals Naleving, Apparaat en Rol.
    • Activiteit: de opties die hier worden vermeld, worden beperkt door de optie die is gekozen onder Categorie.
    • Datumbereik: u kunt logboeken kiezen voor de vorige maand, week of dag.
  4. Selecteer Toepassen.
  5. Selecteer een item in de lijst om de details van de activiteit weer te geven.

Logboeken routeren naar Azure Monitor

Auditlogboeken en operationele logboeken kunnen ook naar Azure Monitor worden gerouteerd. Selecteer exporteren in > Auditlogboeken voor tenantbeheer:

Exporter logboekgegevens naar Azure Monitor door Gegevensinstellingen exporteren te selecteren in Microsoft Intune en Endpoint Manager beheercentrum.

Notitie

  • Zie Logboekgegevens verzenden naar opslag, Event Hubsof Log Analytics voor meer informatie over deze functie en om de vereisten voor het gebruik ervan te bekijken.

  • Gestart door (actor) bevat informatie over wie de taak heeft uitgevoerd en waar deze is uitgevoerd.

    Als u bijvoorbeeld de activiteit in Intune in de Azure Portal hebt uitgevoerd, geeft Toepassing altijd de Microsoft Intune-portalextensie weer en gebruikt de toepassings-id altijd dezelfde GUID.

  • In de sectie Doel(en) worden mogelijk meerdere doelen vermeld, samen met de eigenschappen die zijn gewijzigd.

Graph API gebruiken om auditgebeurtenissen op te halen

Zie List auditEvents (Auditgebeurtenissen weergeven) voor meer informatie over het gebruik van de Graph API voor het ophalen van één jaar aan auditgebeurtenissen.

Volgende stappen

Logboekgegevens verzenden naar opslag, Event Hubs of Log Analytics.

Controleer de beveiligingslogboeken van client-apps.