다음을 통해 공유

Windows 365 감사 로그 가져오기

  • 아티클

Windows 365 감사 로그에는 클라우드 PC에서 변경을 생성하는 활동 레코드가 포함됩니다. 만들기, 업데이트(편집), 삭제, 할당, 원격 작업은 모두 감사 이벤트를 만들고, 관리자는 Graph를 통과하는 대부분의 클라우드 PC 작업의 감사 이벤트를 검토할 수 있습니다. 기본적으로 감사는 모든 고객에게 활성화되어 있습니다. 사용하지 않도록 설정할 수 없습니다.

누가 데이터에 액세스할 수 있나요?

다음 권한을 가진 사용자는 감사 로그를 검토할 수 있습니다.

  • Intune 서비스 관리자
  • 전역 관리자
  • 감사 데이터 - 읽기 권한이 있는 Intune 역할에 할당된 관리자

중요

사용 권한이 가장 적은 역할을 사용하는 것이 좋습니다. 이렇게 하면 조직의 보안을 개선하는 데 도움이 됩니다. 전역 관리자는 기존 역할을 사용할 수 없는 경우 긴급 시나리오로 제한해야 하는 매우 권한이 높은 역할입니다.

Azure Monitor의 진단 설정에 Windows 365 감사 로그 보내기

Azure Monitor의 진단 설정을 사용하면 플랫폼 로그 및 메트릭을 원하는 대상으로 내보낼 수 있습니다. 최대 5개의 다른 진단 설정을 만들어 서로 다른 로그와 메트릭을 독립적인 대상으로 보낼 수 있습니다. 자세한 내용은 Azure Monitor의 진단 설정을 참조하세요.

로그를 보내기 위한 진단 설정을 만들려면

  1. Azure 계정이 있는지 확인합니다.
  2. Microsoft Intune 관리 센터에 로그인하고보고서 진단 설정(Azure 모니터 아래)>진단 설정 추가를 선택합니다>.
  3. 로그에서Windows365AuditLogs를 선택합니다.
  4. 대상 세부 정보에서 대상을 선택하고 세부 정보를 제공합니다.
  5. 저장을 선택합니다.

Graph API와 PowerShell을 사용하여 감사 이벤트 검색

Windows 365 테넌트 감사 로그 이벤트를 얻으려면 다음 단계를 수행합니다.

SDK 설치

  1. PowerShell에서 다음 명령을 실행합니다. Install-Module Microsoft.Graph.Beta -Scope CurrentUser -AllowClobber
  2. 다음 명령을 실행하여 설치를 확인합니다. Get-InstalledModule Microsoft.Graph.Beta
  3. 모든 클라우드 PC Graph 엔드포인트를 가져오려면 다음 명령을 실행합니다. Get-Command -Module Microsoft.Graph* *virtualEndpoint*

로그인

  1. 다음 두 명령 중 하나를 실행합니다.
    • Connect-MgGraph -Scopes "CloudPC.ReadWrite.All"
    • Connect-MgGraph -Scopes "CloudPC.Read.All"
  2. 결과 웹 페이지에서 적절한 읽기 및/또는 쓰기 권한이 있는 사용자 계정으로 테넌트에 로그인합니다.
  3. 다음 명령을 사용하여 Graph 베타 환경으로 전환합니다. Select-MgProfile -Name "beta"

감사 데이터 가져오기

여러 가지 방법으로 감사 데이터를 볼 수 있습니다.

감사 행위자를 포함하여 감사 이벤트의 전체 목록 가져오기

행위자(작업을 수행한 사람)를 포함하여 감사 이벤트의 전체 목록을 가져오려면 다음 명령을 사용합니다.

Get-MgBetaDeviceManagementVirtualEndpointAuditEvent | Select-Object -Property Actor,ActivityDateTime,ActivityType,ActivityResult -ExpandProperty Actor | Format-Table UserId, UserPrincipalName, ActivityType, ActivityDateTime, ActivityResult

감사 이벤트 목록 가져오기

감사 행위자 없이 감사 이벤트 목록을 가져오려면 다음 명령을 사용합니다.

Get-MgBetaDeviceManagementVirtualEndpointAuditEvent

모든 이벤트를 가져오려면 -All 매개 변수를 사용합니다. Get-MgBetaDeviceManagementVirtualEndpointAuditEvent -All

상위 N개 이벤트만 가져오려면 다음 매개 변수를 사용합니다. Get-MgBetaDeviceManagementVirtualEndpointAuditEvent -All -Top {TopNumber}

이벤트 ID로 단일 이벤트 가져오기

다음 명령을 사용하여 단일 감사 이벤트를 가져올 수 있습니다. 여기서 {event ID}을(를) 제공해야 합니다. Get-MgBetaDeviceManagementVirtualEndpointAuditEvent -CloudPcAuditEventId {event ID}

다음 단계

비즈니스 연속성 및 재해 복구