次の方法で共有

Windows 365 監査ログを取得する

  • [アーティクル]

Windows 365 の監査ログには、クラウド PC で変更を生成するアクティビティのレコードが含まれます。 作成、更新 (編集)、削除、割り当て、リモートのすべての操作によって、監査イベントが作成されます。これにより、管理者は Graph を移動するクラウド PC のアクションのほとんどを確認できます。 既定では、すべてのお客様に対して監査が有効です。 それを無効にすることはできません。

データにアクセスできるユーザー

次のアクセス許可を持つユーザーが監査ログを確認できます。

  • Intune サービス管理者
  • グローバル管理者
  • 監査データ - 読み取りアクセス許可を持つ、Intune ロールに割り当てられた管理者

重要

Microsoft では、アクセス許可が可能な限りで少ないロールを使用することをお勧めします。 これにより、組織のセキュリティが向上します。 グローバル管理者は高い特権を持つロールであり、既存のロールを使用できない場合の緊急時に限定する必要があります。

Azure Monitor の診断設定に Windows 365 監査ログを送信する

Azure Monitor の診断設定を使用すると、プラットフォーム のログとメトリックを任意の宛先にエクスポートできます。 最大 5 つの異なる診断設定を作成して、異なるログとメトリックを独立した宛先に送信できます。 詳細については、「 Azure Monitor の診断設定」を参照してください。

ログを送信するための診断設定を作成するには

  1. Azure アカウントがあることを確認します。
  2. Microsoft Intune 管理センターにサインインし、レポート>診断設定 (Azure モニターの下) >[診断設定の追加] を選択します
  3. [ ログ] で、[ Windows365AuditLogs] を選択します。
  4. [ 宛先の詳細] で、宛先を選択し、詳細を指定します。
  5. [保存] を選択します。

Graph API と PowerShell を使用して監査イベントを取得する

Windows 365 テナントの監査ログ イベントを取得するには、次の手順に従います。

SDK のインストール

  1. PowerShell で、次のコマンドを実行します: Install-Module Microsoft.Graph.Beta -Scope CurrentUser -AllowClobber
  2. 次のコマンドを実行して、インストールを確認します: Get-InstalledModule Microsoft.Graph.Beta
  3. すべてのクラウド PC の Graph エンドポイントを取得するには、次のコマンドを実行します: Get-Command -Module Microsoft.Graph* *virtualEndpoint*

サインイン

  1. 次の 2 つのコマンドのいずれかを実行します:
    • Connect-MgGraph -Scopes "CloudPC.ReadWrite.All"
    • Connect-MgGraph -Scopes "CloudPC.Read.All"
  2. 生成された Web ページで、適切な読み取りおよび書き込みまたはそのいずれかのアクセス許可を持つユーザー アカウントを使用して、テナントにサインインします。
  3. 次のコマンドを使用して、Graph ベータ環境に切り替えます: Select-MgProfile -Name "beta"

監査データを取得する

監査データは複数の方法で表示できます。

監査アクターを含む監査イベントの一覧全体を取得する

アクター (アクションを実行したユーザー) を含む監査イベントの一覧全体を取得するには、次のコマンドを使用します。

Get-MgBetaDeviceManagementVirtualEndpointAuditEvent | Select-Object -Property Actor,ActivityDateTime,ActivityType,ActivityResult -ExpandProperty Actor | Format-Table UserId, UserPrincipalName, ActivityType, ActivityDateTime, ActivityResult

監査イベントの一覧を取得する

監査アクターなしで監査イベントの一覧を取得するには、次のコマンドを使用してください:

Get-MgBetaDeviceManagementVirtualEndpointAuditEvent

すべてのイベントを取得するには、-All パラメーターを使用します: Get-MgBetaDeviceManagementVirtualEndpointAuditEvent -All

上位 N 個のイベントだけを取得するには、次のパラメーターを使用します: Get-MgBetaDeviceManagementVirtualEndpointAuditEvent -All -Top {TopNumber}

イベント ID で 1 つのイベントを取得する

次のコマンドを使用すると、単一の監査イベントを取得できます。この場合、{イベントID}{event ID}: Get-MgBetaDeviceManagementVirtualEndpointAuditEvent -CloudPcAuditEventId {event ID}を指定する必要があります

次の手順

事業継続とディザスター リカバリー