Analýza protokolů aktivit pomocí Microsoft Graphu

Rozhraní API pro vytváření sestav Microsoft Entra poskytují programový přístup k datům prostřednictvím sady rozhraní REST API. Tato rozhraní API můžete volat z mnoha programovacích jazyků a nástrojů.

Tento článek popisuje, jak analyzovat protokoly aktivit Microsoft Entra pomocí Microsoft Graph Exploreru a Microsoft Graph PowerShellu.

Požadavky

• Funkční tenant Microsoft Entra s přidruženou licencí Microsoft Entra ID P1 nebo P2.
• K vyjádření souhlasu s požadovanými oprávněními potřebujete správce privilegovaných rolí.

Přístup k sestavám pomocí Microsoft Graph Exploreru

Se všemi nakonfigurovanými požadavky můžete spouštět dotazy protokolu aktivit v Microsoft Graphu. Rozhraní Microsoft Graph API není určené pro načítání velkých objemů dat aktivit. Načítání velkých objemů dat aktivit pomocí rozhraní API může vést k problémům se stránkováním a výkonem. Další informace o dotazech Microsoft Graphu na protokoly aktivit najdete v tématu Přehled rozhraní API pro sestavy aktivit.

1. Spusťte nástroj Microsoft Graph Explorer.

2. Vyberte svůj profil a pak vyberte Upravit oprávnění.

3. Souhlas s následujícími požadovanými oprávněními:

   • AuditLog.Read.All
   • Directory.Read.All

4. Pomocí jednoho z následujících dotazů začněte používat Microsoft Graph pro přístup k protokolům aktivit:

   • GET https://graph.microsoft.com/v1.0/auditLogs/directoryAudits
   • GET https://graph.microsoft.com/v1.0/auditLogs/signIns
   • GET https://graph.microsoft.com/v1.0/auditLogs/provisioning

   

Vyladění dotazů

Pokud chcete vyhledat konkrétní položky protokolu aktivit, použijte $filter a vytvořili parametry dotazuDateTime s jednou z dostupných vlastností. Některé z následujících dotazů používají beta koncový bod. Koncový bod beta verze se může změnit a nedoporučuje se pro produkční použití.

• Vlastnosti protokolu přihlášení
• Vlastnosti protokolu auditu

Zkuste použít následující dotazy:

• Při pokusech o přihlášení, kdy se podmíněný přístup nezdařil:

  • GET https://graph.microsoft.com/v1.0/auditLogs/signIns?$filter=conditionalAccessStatus eq 'failure'
  • Zvažte použití filtru kalendářních dat, aby nevyšel časový limit požadavku.

• Vyhledání přihlášení ke konkrétní aplikaci během určitého časového rámce:

  • GET https://graph.microsoft.com/v1.0/auditLogs/signIns?$filter=(createdDateTime ge 2024-01-13T14:13:32Z and createdDateTime le 2024-01-14T17:43:26Z) and appId eq 'APP ID'

• Neinteraktivní přihlášení:

  • GET https://graph.microsoft.com/beta/auditLogs/signIns?$filter=(createdDateTime ge 2024-01-13T14:13:32Z and createdDateTime le 2024-01-14T17:43:26Z) and signInEventTypes/any(t: t eq 'nonInteractiveUser')

• Pro přihlášení instančního objektu:

  • GET https://graph.microsoft.com/beta/auditLogs/signIns?$filter=(createdDateTime ge 2024-01-13T14:13:32Z and createdDateTime le 2024-01-14T17:43:26Z) and signInEventTypes/any(t: t eq 'servicePrincipal')

• Přihlášení spravovaných identit:

  • GET https://graph.microsoft.com/beta/auditLogs/signIns?$filter=(createdDateTime ge 2024-01-13T14:13:32Z and createdDateTime le 2024-01-14T17:43:26Z) and signInEventTypes/any(t: t eq 'managedIdentity')

• Získání metody ověřování uživatele:

  • GET https://graph.microsoft.com/beta/users/{userObjectId}/authentication/methods
  • Vyžaduje UserAuthenticationMethod.Read.All oprávnění.

• Zobrazení sestavy podrobností o registraci uživatele:

  • GET https://graph.microsoft.com/beta/reports/authenticationMethods/userRegistrationDetails
  • Vyžaduje UserAuthenticationMethod.Read.All oprávnění.

• Podrobnosti o registraci konkrétního uživatele:

  • GET https://graph.microsoft.com/beta/reports/authenticationMethods/userRegistrationDetails/{userId}
  • Vyžaduje UserAuthenticationMethod.Read.All oprávnění.

Související rozhraní API

Jakmile znáte standardní protokoly přihlašování a auditu, zkuste prozkoumat tato další rozhraní API:

• Rozhraní API služby Identity Protection
• Rozhraní API pro zřizování protokolů

Přístup k sestavám pomocí Microsoft Graph PowerShellu

K přístupu k rozhraní API pro generování sestav Microsoft Entra můžete použít PowerShell. Další informace najdete v tématu Microsoft Graph PowerShell – přehled.

Rutiny Microsoft Graph PowerShellu:

• Protokoly auditu: Get-MgAuditLogDirectoryAudit
• Protokoly přihlašování: Get-MgAuditLogSignIn
• Protokoly zřizování: Get-MgAuditLogProvisioning
• Prozkoumejte úplný seznam rutin Prostředí Microsoft Graph PowerShell souvisejících s generováním sestav.

Běžné chyby

Chyba: Žádný tenant není B2C nebo tenant nemá licenci Premium: Přístup k sestavám přihlašování vyžaduje licenci Microsoft Entra ID P1 nebo P2. Pokud se vám při přístupu k přihlášení zobrazí tato chybová zpráva, ujistěte se, že je váš tenant licencovaný s licencí Microsoft Entra ID P1.

Chyba: Uživatel není v povolených rolích: Pokud se tato chybová zpráva zobrazí při pokusu o přístup k protokolům auditu nebo přihlášení pomocí rozhraní API, ujistěte se, že je váš účet součástí role Čtenář zabezpečení nebo Čtenář sestav ve vašem tenantovi Microsoft Entra.

Chyba: Chybí aplikace Microsoft Entra ID Číst data adresáře nebo Číst všechna data protokolu auditu: Aplikace musí mít AuditLog.Read.All Directory.Read.All oprávnění nebo oprávnění pro přístup k protokolům aktivit pomocí Microsoft Graphu.

Související obsah

• Začínáme s Microsoft Entra ID Protection a Microsoft Graphem
• Referenční informace k rozhraní API pro audit
• Referenční informace k přihlášení k rozhraní API