使用稽核記錄來追蹤和監視Microsoft Intune中的事件

稽核記錄包含在Microsoft Intune中產生變更的活動記錄。 建立、更新 (編輯) 、刪除、指派和遠端動作，所有動作都會建立系統管理員可以檢閱大部分 Intune 工作負載的稽核事件。 根據預設，會針對所有客戶啟用稽核。 無法將其停用。

誰可以存取資料？

具有下列許可權的使用者可以檢閱稽核記錄：

• 全域系統管理員
• Intune 服務系統管理員
• 指派給具有稽核資料 - 讀取許可權之 Intune 角色的系統管理員

Intune 工作負載的稽核記錄

您可以檢閱監視群組中每個 Intune 工作負載的稽核記錄：

1. 登入Microsoft Intune系統管理中心。
2. 選取[租使用者管理>稽核記錄]。
3. 若要篩選結果，請選取 [篩選 ]，並使用下列選項來精簡結果。
   • 類別：例如 合規性、 裝置和 角色。
   • 活動：此處所列的選項受限於 [ 類別] 下選擇的選項。
   • 日期範圍：您可以選擇上個月、周或日的記錄。
4. 選取 [套用]。
5. 選取清單中的專案以查看活動詳細資料。

如需稽核記錄的相關資訊，請參閱 其他資訊。

將記錄路由至 Azure 監視器

稽核記錄和作業記錄也可以路由傳送至 Azure 監視器。 在[租使用者管理>稽核記錄] 中，選取 [匯出]：

注意事項

• 如需這項功能的詳細資訊，以及檢閱使用它的必要條件，請參閱 將記錄資料傳送至儲存體、事件中樞或記錄分析。

• 由 (動作專案) 所起 始，包含執行工作的人員及其執行位置的相關資訊。

  例如，如果您在Azure 入口網站的 Intune 中執行活動，則應用程式一律會列出Microsoft Intune入口網站擴充功能，而應用程式識別碼一律會使用相同的 GUID。

• [目標 (的 [) ] 區段會列出多個目標和已變更的屬性。

使用圖形 API來擷取稽核事件

如需使用圖形 API 取得最多一年稽核事件的詳細資訊，請參閱 列出 auditEvents。

後續步驟

• 將記錄資料傳送至儲存體、事件中樞或記錄分析
• 檢閱用戶端應用程式保護記錄

其他資訊

• Intune 中的資料儲存和處理
• 在整個 Intune 中使用稽核記錄
• 在 Intune 中稽核、匯出或刪除個人資料