Monitorowanie zdarzeń administratora w programie Microsoft Entra Connect Sync (wersja publiczna zapoznawcza)
W styczniu 2025 r. opublikowaliśmy nową wersję (2.4.129.0) microsoft Entra Connect Sync. Ta wersja zawiera aktualizację inspekcji, która jest domyślnie włączona. Dzięki tej aktualizacji można teraz monitorować zdarzenia i działania administratora. W poniższym artykule opisano sposób wyłączania funkcji inspekcji.
Jak ręcznie wyłączyć rejestrowanie zdarzeń administratora
Aby wyłączyć inspekcję zdarzeń administratora, wykonaj następujące czynności:
- Otwórz Edytor rejestru — naciśnij Win + R, aby otworzyć okno dialogowe uruchamiania.
- Wpisz regedit i naciśnij Enter, aby uruchomić Edytor rejestru. Potwierdź wszelkie monity o zabezpieczenia, aby kontynuować.
- Przejdź do następującej ścieżki: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Azure AD Connect.
- Zmodyfikuj lub utwórz wartość AuditEventLogging, klikając prawym przyciskiem myszy klucz programu Azure AD Connect, wybierz pozycję Nowy —>DWORD (32-bitowa) wartość, jeśli wartość AuditEventLogging jeszcze nie istnieje.
- Nazwij nowy DWORD jako AuditEventLogging.
- Kliknij dwukrotnie wpis AuditEventLogging i wprowadź 0, aby wyłączyć rejestrowanie zdarzeń inspekcji. Wprowadź wartość 1, aby ją ponownie włączyć.
Jak wyłączyć audyt zdarzeń administratora przy użyciu programu PowerShell
Możesz również użyć programu PowerShell, aby wyłączyć audytowanie zdarzeń administratora. Użyj następującego skryptu.
#Declare variables
$registryPath = 'HKLM:\SOFTWARE\Microsoft\Azure AD Connect'
$valueName = 'AuditEventLoggging'
$newValue = '0'
#Create the AuditEventLogging key if it doesn't exist
if (!(Test-Path $registryPath)) {New-Item -Path $registryPath -Force}
#Set the value of the new AuditEventLogging key
Set-ItemProperty -Path $registryPath -Name $valueName -Value $newValue
Lista zarejestrowanych zdarzeń
Poniższa tabela zawiera listę zdarzeń rejestrowanych przy użyciu nowej funkcji inspekcji. Aby wyświetlić zdarzenia, użyj Podglądu zdarzeń i poszukaj w dzienniku aplikacji.
| Identyfikator zdarzenia | Nazwa wydarzenia | Opis |
|---|---|---|
| 2503 | Dodawanie/aktualizowanie/usuwanie katalogów | Zawiera nazwę katalogu, którego dotyczy problem |
| 2504 | Włączanie trybu ustawień ekspresowych | To zdarzenie zostanie zarejestrowane po wybraniu opcji "Express Setup" przez administratora |
| 2505 | Włączanie/wyłączanie domen i jednostek organizacyjnych na potrzeby synchronizacji | Przedstawia listę wszystkich domen połączonych z usługą Connect Sync |
| 2506 | Włączanie/wyłączanie synchronizacji PHS | Pokazuje, że synchronizacja skrótów haseł jest włączona lub wyłączona |
| 2507 | Włączanie/wyłączanie uruchamiania synchronizacji po zainstalowaniu | Zdarzenie jest rejestrowane, gdy synchronizacja jest włączona lub wyłączona po zakończeniu instalacji |
| 2508 | Tworzenie konta usługi ADDS | Pokazuje utworzone konto wymagane do nawiązania połączenia z nowym katalogiem dodanym |
| 2509 | Korzystanie z istniejącego konta usługi ADDS | Wyświetla nazwę konta użytego do nawiązania połączenia z katalogiem |
| 2510 | Tworzenie/aktualizowanie/usuwanie niestandardowej reguły synchronizacji | Przedstawia nazwę reguły synchronizacji, która uległa zmianie wraz z informacjami na temat zmian |
| 2511 | Włączanie/wyłączanie filtrowania opartego na domenie | Pokazuje, że wybrano filtrowanie domen i wymienia wybrane domeny |
| 2512 | Włącz/Wyłącz filtrowanie oparte na jednostkach organizacyjnych | Pokazuje wybrane filtrowanie oparte na jednostkach organizacyjnych i wyświetla listę wybranych jednostek organizacyjnych |
| 2513 | Zmieniono metodę użytkownika Sign-In | Pokazuje starą metodę logowania i nową |
| 2514 | Konfigurowanie nowej farmy usług AD FS | Wyświetla nazwę usługi federacyjnej |
| 2515 | Włączanie/wyłączanie logowania jednokrotnego | Pokazuje zmianę logowania jednokrotnego |
| 2516 | Instalowanie serwera proxy aplikacji internetowej | Pokazuje wybrane serwery usług AD FS i nazwę użytkownika administratora domeny |
| 2517 | Ustawianie uprawnień | Pokazuje konkretne zmienione uprawnienie synchronizacji Active Directory. |
| 2518 | Zmienianie poświadczeń łącznika ADDS | Pokazuje zmienione poświadczenie łącznika ADDS |
| 2519 | Zresetowanie hasła konta Entra ID Connector | Pokazuje, że hasło konta usługi AD Sync zostało zresetowane |
| 2520 | Zainstaluj serwer AD FS | Pokazuje wybrany serwer |
| 2521 | Ustawianie konta usługi ADFS | Określa, czy użytkownik zarządzany przez grupę lub użytkownik domeny. Obejmuje nazwę użytkownika administratora |