Журналы аудита в Azure Active Directory

ИТ-администратору важно иметь представление о том, что происходит в его ИТ-среде. Сведения о работоспособности системы позволяют определить, когда и как нужно реагировать на потенциальные проблемы.

Для достижения этой цели портал Azure Active Directory предоставляет три журнала действий:

  • Операции входа  — сведения об операциях входа и использовании ресурсов пользователями.
  • Аудит  — сведения об изменениях, примененных к вашему клиенту, например об операциях управления пользователями и группами или обновлении ресурсов клиента.
  • Подготовка  — действия, выполняемые службой подготовки к работе, например создание группы в ServiceNow или импорт пользователей из Workday.

В этом разделе содержатся общие сведения о журналах аудита.

Что это такое?

Журналы аудита в Azure AD позволяют получить доступ к записям системных действий для контроля соответствия. Наиболее распространенные представления этого журнала основаны на следующих категориях:

  • управление пользователями;

  • Управление группами

  • Управление приложениями

С помощью ориентированного на пользователей представления можно получить ответы на такие вопросы:

  • Обновления каких типов были применены к пользователям?

  • Сколько пользователей было изменено?

  • Сколько паролей было изменено?

  • Что делал администратор в каталоге?

С помощью ориентированного на группы представления можно получить ответы на такие вопросы:

  • Какие группы были добавлены?

  • В каких группах произошли изменения членства?

  • Изменены ли владельцы групп?

  • Какие лицензии были назначены пользователю или группе?

С помощью ориентированного на приложение представления можно получить ответы на такие вопросы:

  • Какие приложения были добавлены или обновлены?

  • Какие приложения были удалены?

  • Изменилcя ли субъект-служба для приложения?

  • Изменены ли имена приложений?

  • Кто дал согласие на использование приложения?

Какие лицензии нужны?

Отчет о действиях аудита доступен во всех выпусках Azure AD.

Кто может получить к ним доступ?

Для доступа к журналам аудита необходимо иметь одну из следующих ролей:

  • Администратор безопасности
  • Читатель сведений о безопасности
  • Читатель отчетов
  • Глобальный читатель
  • глобальный администратор

Где можно его найти?

Портал Azure предоставляет несколько вариантов для доступа к журналу. Например, в меню Azure Active Directory можно открыть журнал в разделе Мониторинг.

Открытие журналов аудита

Кроме того, вы можете перейти непосредственно к журналам аудита, используя эту ссылку.

Вы также можете получить доступ к журналу аудита с помощью API Microsoft Graph.

Что содержит представление по умолчанию?

Журнал аудита содержит представление списка по умолчанию, в котором отображаются:

  • дата и время выполнения действия;
  • служба, которая зарегистрировала событие
  • категория и имя действия (что? );
  • состояние действия (успех или неудачная попытка)
  • целевой объект.
  • инициатор или субъект (кто?) действия;

Журналы аудита

Чтобы настроить представление списка, нажмите Столбцы на панели инструментов.

Столбцы аудита

Здесь вы можете добавить или удалить отображаемые поля.

Удалить поля

Чтобы получить более подробную информацию, выберите элемент в списке.

Выбрать элемент

Фильтрация журналов аудита

Данные аудита можно отфильтровать в следующих полях:

  • Служба
  • Category
  • Действие
  • Состояние
  • Целевой объект
  • инициатор (субъект);
  • Диапазон даты

Объект Filter

Фильтр Служба позволяет выбрать из раскрывающегося списка следующие службы.

  • Все
  • Пользовательский интерфейс управления AAD
  • Проверки доступа
  • "Account Provisioning" (Подготовка учетных записей).
  • Прокси приложения
  • Способы проверки подлинности
  • B2C
  • Условный доступ
  • "Core Directory" (Основной каталог);
  • Управление правами
  • Гибридная проверка подлинности
  • Защита идентификации
  • Invited Users (Приглашаемые пользователи)
  • Служба MIM
  • MyApps
  • PIM
  • "Self-service Group Management" (Самостоятельное управление группами);
  • "Self-service Password Management" (Самостоятельное управление паролями);
  • Условия использования

С помощью фильтра Категория можно выбрать один из следующих фильтров.

  • Все
  • AdministrativeUnit
  • ApplicationManagement
  • Аутентификация
  • Авторизация
  • Contact
  • Устройство
  • DeviceConfiguration
  • DirectoryManagement
  • EntitlementManagement
  • GroupManagement
  • KerberosDomain
  • KeyManagement
  • Метка
  • Другие
  • PermissionGrantPolicy
  • Политика
  • ResourceManagement
  • RoleManagement
  • UserManagement

Фильтр Действие зависит от выбранной категории и типа ресурса действия. Вы можете выбрать определенное действие или просмотреть все.

С помощью API Graph можно получить список всех действий аудита: https://graph.windows.net/<tenantdomain>/activities/auditActivityTypesV2?api-version=beta.

С помощью фильтра Состояние можно выполнять фильтрацию на основе состояния операции аудита. Состояние может принимать следующие значения.

  • Все
  • Успешно
  • Failure

С помощью фильтра Целевой объект можно выполнять поиск определенного целевого объекта по началу имени или имени участника-пользователя (UPN). Имя целевого объекта и имя участника-пользователя чувствительны к регистру.

С помощью фильтра Инициатор можно определить, как начинается имя субъекта или имя участника-пользователя (UPN). Имя и имя участника-пользователя чувствительны к регистру.

Фильтр Диапазон дат позволяет определить интервал времени для возвращаемых данных.
Возможны следующие значения:

  • 7 дней
  • 24 часа
  • Особые настройки

При выборе пользовательского интервала времени можно настроить время начала и окончания.

Можно также скачать отфильтрованные данные (не более 250 000 записей). Для этого нажмите кнопку Скачать. Скачать журналы можно в формате CSV или JSON. На число записей, которые можно скачать, влияют особенности политики хранения отчетов Azure Active Directory.

Загрузка данных

Журналы действий Microsoft 365

Журналы действий Microsoft 365 можно просматривать в центре администрирования Microsoft 365. Несмотря на то что журналы активности Microsoft 365 и AAD совместно используют множество ресурсов каталога, только Центр администрирования Microsoft 365 предоставляет возможность полностью просмотреть журналы действий Microsoft 365.

Вы также можете получить программный доступ к журналам действий Microsoft 365 с помощью API управления Office 365.

Примечание

Большинство автономных или пакетных подписок Microsoft 365 имеют внутренние зависимости от некоторых подсистем в границах центра обработки данных Microsoft 365. Для этих зависимостей требуется обратная запись данных, чтобы обеспечить синхронизацию каталогов и, по сути, обеспечить беспроблемное подключение в подписке для Exchange Online. Для этих операций обратной записи в журнал аудита отображаются действия, выполняемые службой Microsoft Substrate Management. Эти записи журнала аудита относятся к операциям создания, обновления и удаления, выполняемым Exchange Online в Azure AD. Записи являются информационными и не требуют никаких действий.

Дальнейшие действия