Vad är Microsoft Entra-granskningsloggar?

  • Artikel

Microsoft Entra-aktivitetsloggar innehåller granskningsloggar, vilket är en omfattande rapport om varje loggad händelse i Microsoft Entra-ID. Ändringar av program, grupper, användare och licenser registreras alla i Microsoft Entra-granskningsloggarna.

Två andra aktivitetsloggar är också tillgängliga för att övervaka hälsotillståndet för din klientorganisation:

  • Inloggningar – Information om inloggningar och hur dina resurser används av dina användare.
  • Etablering – aktiviteter som utförs av etableringstjänsten, till exempel skapandet av en grupp i ServiceNow eller en användare som importerats från Workday.

Den här artikeln ger dig en översikt över granskningsloggarna, inklusive vad som krävs för att få åtkomst till dem och vilken information de tillhandahåller.

Licens- och rollbehörigheter

De roller och licenser som krävs varierar beroende på rapporten. Separata behörigheter krävs för åtkomst till övervaknings- och hälsodata i Microsoft Graph. Vi rekommenderar att du använder en roll med minst behörighet för att anpassa till Nolltillit vägledning.

Logg/rapport Roller Licenser
Audit Rapportläsare
Säkerhetsläsare
Säkerhetsadministratör
Global läsare
 Alla utgåvor av Microsoft Entra ID
Inloggningar Rapportläsare
Säkerhetsläsare
Säkerhetsadministratör
Global läsare
 Alla utgåvor av Microsoft Entra ID
Etablerar Rapportläsare
Säkerhetsläsare
Säkerhetsadministratör
Global läsare
Säkerhetsoperator
Programadministratör
Molnappadministratör
 Microsoft Entra ID P1 eller P2
Granskningsloggar för anpassade säkerhetsattribut* Administratör för attributlogg
Attributloggläsare		 Alla utgåvor av Microsoft Entra ID
Användning och insikter Rapportläsare
Säkerhetsläsare
Säkerhetsadministratör		 Microsoft Entra ID P1 eller P2
Identitetsskydd** Säkerhetsadministratör
Säkerhetsoperator
Säkerhetsläsare
Global läsare
 Microsoft Entra ID Free
Microsoft 365-appar
Microsoft Entra ID P1 eller P2
Microsoft Graph-aktivitetsloggar Säkerhetsadministratör
Behörigheter för åtkomst till data i motsvarande loggmål		 Microsoft Entra ID P1 eller P2

*Om du vill visa anpassade säkerhetsattribut i granskningsloggarna eller skapa diagnostikinställningar för anpassade säkerhetsattribut krävs en av rollerna i attributloggen. Du behöver också rätt roll för att visa standardgranskningsloggarna.

**Åtkomstnivån och funktionerna för Identity Protection varierar med rollen och licensen. Mer information finns i licenskraven för Identity Protection.

Vad kan du göra med granskningsloggar?

Granskningsloggar i Microsoft Entra-ID ger åtkomst till systemaktivitetsposter som ofta behövs för efterlevnad. Du kan få svar på frågor som rör användare, grupper och program.

Användare:

  • Vilka typer av ändringar har nyligen tillämpats på användare?
  • Hur många användare ändrades?
  • Hur många lösenord ändrades?

Grupper:

  • Vilka grupper har nyligen lagts till?
  • Har ägare av en grupp ändrats?
  • Vilka licenser gäller för en grupp eller en användare?

Program:

  • Vilka program har uppdaterats eller tagits bort?
  • Har tjänstens huvudnamn för ett program ändrats?
  • Har namnen på program ändrats?

Anpassade säkerhetsattribut:

  • Vilka ändringar har gjorts i definitioner eller tilldelningar av anpassade säkerhetsattribut ?
  • Vilka uppdateringar har gjorts för attributuppsättningar?
  • Vilka anpassade attributvärden har tilldelats en användare?

Kommentar

Poster i granskningsloggarna genereras av systemet och kan inte ändras eller tas bort.

Vad visar loggarna?

Granskningsloggar är standard på fliken Katalog , som visar följande information:

  • Datum och tid för händelsen
  • Den tjänst som loggade händelsen
  • Aktivitetskategori och -namn (vad)
  • Status för aktiviteten (lyckad eller misslyckad)

En andra flik för Anpassad säkerhet visar granskningsloggar för anpassade säkerhetsattribut. Om du vill visa data på den här fliken måste du ha rollen Administratör för attributlogg eller Attributloggläsare . Den här granskningsloggen visar alla aktiviteter som är relaterade till anpassade säkerhetsattribut. Mer information finns i Vad är anpassade säkerhetsattribut.

Screenshot of the audit logs, with the Directory and Custom Security tabs highlighted.

Microsoft 365-aktivitetsloggar

Du kan visa Microsoft 365-aktivitetsloggar från Administrationscenter för Microsoft 365. Även om Microsoft 365-aktivitets- och Microsoft Entra-aktivitetsloggar delar många katalogresurser, ger endast Administrationscenter för Microsoft 365 en fullständig vy över Microsoft 365-aktivitetsloggarna.

Du kan också komma åt Microsoft 365-aktivitetsloggarna programmatiskt med hjälp av OFFICE 365 Management-API:erna.

De flesta fristående eller paketerade Microsoft 365-prenumerationer har serverdelsberoenden på vissa undersystem inom Microsoft 365-datacentergränsen. Beroendena kräver viss tillbakaskrivning av information för att hålla katalogerna synkroniserade och i huvudsak för att möjliggöra problemfri registrering i en prenumerationsregistrering för Exchange Online. För dessa tillbakaskrivningar visar granskningsloggposter åtgärder som vidtas av "Microsoft Substrate Management". Dessa granskningsloggposter refererar till åtgärder för att skapa/uppdatera/ta bort som körs av Exchange Online till Microsoft Entra-ID. Posterna är informationsbaserade och kräver ingen åtgärd.