Sdílet prostřednictvím


Analýza protokolů aktivit pomocí Microsoft Graphu

Rozhraní API pro vytváření sestav Microsoft Entra poskytují programový přístup k datům prostřednictvím sady rozhraní REST API. Tato rozhraní API můžete volat z mnoha programovacích jazyků a nástrojů.

Tento článek popisuje, jak analyzovat protokoly aktivit Microsoft Entra pomocí Microsoft Graph Exploreru a Microsoft Graph PowerShellu.

Požadavky

  • Funkční tenant Microsoft Entra s licencí Microsoft Entra ID P1 nebo P2, která je s ním spojena.
  • K vyjádření souhlasu s požadovanými oprávněními potřebujete správce privilegovaných rolí.

Přístup k sestavám pomocí Microsoft Graph Exploreru

Se všemi nakonfigurovanými požadavky můžete spouštět dotazy protokolu aktivit v Microsoft Graphu. Rozhraní Microsoft Graph API není určené pro načítání velkých objemů dat aktivit. Načítání velkých objemů dat aktivit pomocí rozhraní API může vést k problémům se stránkováním a výkonem. Další informace o dotazech Microsoft Graphu na protokoly aktivit najdete v tématu Přehled rozhraní API pro sestavy aktivit.

  1. Spusťte nástroj Microsoft Graph Explorer.

  2. Vyberte svůj profil a pak vyberte Upravit oprávnění.

  3. Souhlas s následujícími požadovanými oprávněními:

    • AuditLog.Read.All
    • Directory.Read.All
  4. Pomocí jednoho z následujících dotazů začněte používat Microsoft Graph pro přístup k protokolům aktivit:

    • GET https://graph.microsoft.com/v1.0/auditLogs/directoryAudits
    • GET https://graph.microsoft.com/v1.0/auditLogs/signIns
    • GET https://graph.microsoft.com/v1.0/auditLogs/provisioning

    Snímek obrazovky s dotazem GET protokolu aktivit v Microsoft Graphu

Vyladění dotazů

Pokud chcete vyhledat konkrétní položky protokolu aktivit, použijte parametry dotazu $filter a createdDateTime s jednou z dostupných vlastností. Některé z následujících dotazů používají beta koncový bod. Koncový bod beta verze se může změnit a nedoporučuje se pro produkční použití.

Zkuste použít následující dotazy:

  • Při pokusech o přihlášení, kdy se podmíněný přístup nezdařil:

    • GET https://graph.microsoft.com/v1.0/auditLogs/signIns?$filter=conditionalAccessStatus eq 'failure'
    • Zvažte použití filtru datumů, aby u žádosti nevypršel časový limit.
  • Vyhledání přihlášení ke konkrétní aplikaci během určitého časového rámce:

    • GET https://graph.microsoft.com/v1.0/auditLogs/signIns?$filter=(createdDateTime ge 2024-01-13T14:13:32Z and createdDateTime le 2024-01-14T17:43:26Z) and appId eq 'APP ID'
  • Neinteraktivní přihlášení:

    • GET https://graph.microsoft.com/beta/auditLogs/signIns?$filter=(createdDateTime ge 2024-01-13T14:13:32Z and createdDateTime le 2024-01-14T17:43:26Z) and signInEventTypes/any(t: t eq 'nonInteractiveUser')
  • Pro přihlášení objektu služby:

    • GET https://graph.microsoft.com/beta/auditLogs/signIns?$filter=(createdDateTime ge 2024-01-13T14:13:32Z and createdDateTime le 2024-01-14T17:43:26Z) and signInEventTypes/any(t: t eq 'servicePrincipal')
  • Přihlášení spravovaných identit:

    • GET https://graph.microsoft.com/beta/auditLogs/signIns?$filter=(createdDateTime ge 2024-01-13T14:13:32Z and createdDateTime le 2024-01-14T17:43:26Z) and signInEventTypes/any(t: t eq 'managedIdentity')
  • Získání metody ověřování uživatele:

    • GET https://graph.microsoft.com/beta/users/{userObjectId}/authentication/methods
    • Vyžaduje UserAuthenticationMethod.Read.All oprávnění.
  • Chcete-li zobrazit sestavu podrobností o registraci uživatele:

    • GET https://graph.microsoft.com/beta/reports/authenticationMethods/userRegistrationDetails
    • Vyžaduje UserAuthenticationMethod.Read.All oprávnění.
  • Podrobnosti o registraci konkrétního uživatele:

    • GET https://graph.microsoft.com/beta/reports/authenticationMethods/userRegistrationDetails/{userId}
    • Vyžaduje UserAuthenticationMethod.Read.All oprávnění.

Jakmile znáte standardní protokoly přihlašování a auditu, zkuste prozkoumat tato další rozhraní API:

Přístup k sestavám pomocí Microsoft Graph PowerShellu

K přístupu k rozhraní API pro generování sestav Microsoft Entra můžete použít PowerShell. Další informace najdete v tématu Microsoft Graph PowerShell – přehled.

Rutiny Microsoft Graph PowerShellu:

Běžné chyby

Chyba: Žádný nájemce není B2C nebo nájemce nemá prémiovou licenci: Přístup k sestavám přihlašování vyžaduje licenci Microsoft Entra ID P1 nebo P2. Pokud se vám při přístupu k přihlášení zobrazí tato chybová zpráva, ujistěte se, že je váš tenant licencovaný s licencí Microsoft Entra ID P1.

Chyba: Uživatel není v povolených rolích: Pokud se tato chybová zpráva zobrazí při pokusu o přístup k protokolům auditu nebo přihlášení pomocí rozhraní API, ujistěte se, že je váš účet součástí role Čtenář zabezpečení nebo Čtenář zpráv ve vašem tenantovi služby Microsoft Entra.

Chyba: Aplikace postrádá oprávnění 'Číst data adresáře' nebo 'Číst všechna data protokolu auditu' Microsoft Entra ID: Aplikace musí mít buď AuditLog.Read.All nebo Directory.Read.All oprávnění pro přístup k protokolům aktivit pomocí Microsoft Graphu.