在 Azure 入口網站中尋找活動報告

在本文中,您將了解如何在 Azure 入口網站中尋找 Azure Active Directory (Azure AD) 使用者活動報告。

稽核記錄報告

稽核記錄報告會將應用程式活動的多個相關報告結合到單一檢視中,以取得有相關內容可參考的報告。 若要存取稽核記錄報告:

  1. 瀏覽至 Azure 入口網站

  2. 從右上角選取您的目錄,然後從左側導覽窗格中選取 [Azure Active Directory] 刀鋒視窗。

  3. 您可以從 [Azure Active Directory] 刀鋒視窗的 [活動] 區段中選取 [稽核記錄]。

    稽核記錄

稽核記錄報告會彙總下列報告:

  • 稽核報告
  • 密碼重設活動
  • 密碼重設註冊活動
  • 自助式群組活動
  • Office365 群組名稱變更
  • 帳戶佈建活動
  • 密碼變換狀態
  • 帳戶佈建錯誤

篩選稽核記錄

您可以使用 [審核報告] 中的 [高階篩選],藉由在 類別目錄 篩選中指定來存取特定的 audit 資料類別。 例如,若要查看與使用者相關的所有活動,請選取 [ usermanagement program.cs ] 類別。

類別包括:

  • 全部
  • AdministrativeUnit
  • ApplicationManagement
  • 驗證
  • 授權
  • Contact
  • 裝置
  • DeviceConfiguration
  • DirectoryManagement
  • EntitlementManagement
  • GroupManagement
  • 其他
  • 原則
  • ResourceManagement
  • RoleManagement
  • Usermanagement program.cs

您也可以使用 服務 下拉式清單篩選器來篩選特定服務。 例如,若要取得與自助式密碼管理相關的所有 audit 事件,請選取 [ 自助式密碼管理 ] 篩選準則。

服務包括:

  • 全部
  • 存取權檢閱
  • 帳戶佈建
  • 應用程式 SSO
  • 驗證方法
  • B2C
  • 條件式存取
  • 核心目錄
  • 權利管理
  • 身分識別保護
  • 受邀的使用者
  • PIM
  • 自助式群組管理
  • 自助式密碼管理
  • 使用規定

登入報告

登入 檢視包含所有使用者登入,以及 應用程式使用量 報告。 您也可以在 [企業應用程式] 概觀的 [管理] 區段中檢視應用程式使用量資訊。

若要存取登入報告:

  1. 瀏覽至 Azure 入口網站

  2. 從右上角選取您的目錄,然後從左側導覽窗格中選取 [Azure Active Directory] 刀鋒視窗。

  3. 您可以從 [Azure Active Directory] 刀鋒視窗的 [活動] 區段中選取 [Signins]。

    登入視圖

篩選應用程式名稱

您可以使用登入報告來檢視應用程式使用量的相關詳細資料,只要篩選使用者名稱或應用程式名稱即可。

篩選 Sign-In 事件頁面

安全性報告

異常活動報告

異常活動報告提供 Azure AD 可以偵測和報告之安全性相關風險偵測的相關資訊。

下表列出 Azure AD 的異常活動安全性報告,以及 Azure 入口網站中對應的風險偵測類型。 如需詳細資訊,請參閱 Azure Active Directory 風險偵測

Azure AD 異常活動報告 身分識別保護風險偵測類型
認證外洩的使用者 認證外洩
異常的登入活動 不可能到達非典型位置的移動
從可能受感染的裝置登入 從受感染的裝置登入
從不明來源登入 從匿名 IP 位址登入
從具有可疑活動的 IP 位址登入 從具有可疑活動的 IP 位址登入
- 從不熟悉的位置登入

下列 Azure AD 異常活動安全性報告並未包含在 Azure 入口網站中的風險偵測:

  • 在多次失敗後登入
  • 從多個地理區域登入

偵測到的風險偵測

您可以在 Azure 入口網站Azure Active Directory 分頁的 [安全性] 區段中,存取偵測到之風險偵測的相關報告。 偵測到的風險偵測會在下列報告中進行追蹤:

使用活動報告來進行問題疑難排解

已下載的活動記錄中遺漏資料

徵兆

我已下載活動記錄 (稽核或登入),卻沒看到我所選擇時間的所有記錄。 為什麼?

螢幕擷取畫面:顯示 [活動] 報表中的 [下載] 按鈕。

原因

當您下載 Azure 入口網站中的活動記錄時,我們會將規模限制為250000筆記錄,並依最新的第一個排序。

解決方案

您可以利用 Azure AD 報告 API 在任何指定時間點擷取最多一萬筆記錄。

Azure 入口網站中遺漏最近動作的稽核記錄

徵兆

我在 Azure 入口網站中執行某些動作,並預期要在 Activity logs > Audit Logs 刀鋒視窗中查看這些動作的稽核記錄,但卻找不到。

顯示活動報表的螢幕擷取畫面。

原因

動作不會立即出現在活動記錄中。 下表列舉出我們活動記錄的延遲數據。

報表 延遲 (P95) 延遲 (P99)
目錄稽核 2 分鐘 5 分鐘
登入活動 2 分鐘 5 分鐘

解決方案

等候 15 分鐘到兩小時的時間,確認動作是否出現在記錄中。 如果在兩小時後仍看不到記錄,請提出支援票證,我們將加以探討。

Azure AD 登入活動記錄中遺漏最近使用者登入的記錄

徵兆

我最近曾登入 Azure 入口網站,而預期應會在 Activity logs > Sign-ins 刀鋒視窗中看到這些動作的登入記錄,但卻找不到。

螢幕擷取畫面顯示 Azure Active Directory 的登入。

原因

動作不會立即出現在活動記錄中。 下表列舉出我們活動記錄的延遲數據。

報表 延遲 (P95) 延遲 (P99)
目錄稽核 2 分鐘 5 分鐘
登入活動 2 分鐘 5 分鐘

解決方案

等候 15 分鐘到兩小時的時間,確認動作是否出現在記錄中。 如果在兩小時後仍看不到記錄,請提出支援票證,我們將加以探討。

我無法在 Azure 入口網站中檢視超過 30 天的報告資料

徵兆

我無法從 Azure 入口網站檢視超過 30 天的登入和稽核資料。 為什麼?

顯示日期功能表的螢幕擷取畫面。

原因

視您的授權而定,Azure Active Directory 動作會儲存下列期間的活動報告︰

報表 Azure AD Free Azure AD Premium P1 Azure AD Premium P2
目錄稽核 7 天 30 天 30 天
登入活動 不適用。 您可以從個別使用者設定檔刀鋒視窗中存取您自己 7 天內的登入資料 30 天 30 天

如需詳細資訊,請參閱 Azure Active Directory 報告保留原則

解決方案

您有兩個選項可用來保留超過 30 天的資料。 您可以使用 Azure AD 報告 API 以程式設計方式擷取資料,並將其儲存在資料庫中。 或者,您可以將稽核記錄整合到第三方 SIEM 系統中,例如 Splunk 或 SumoLogic。

下一步