Udostępnij za pośrednictwem

Pobieranie dzienników inspekcji systemu Windows 365

  • Artykuł

Dzienniki inspekcji dla systemu Windows 365 zawierają rekord działań, które generują zmianę na komputerze w chmurze. Tworzyć, aktualizować (edytować), usuwać, przypisywać i zdalne akcje tworzyć zdarzenia inspekcji, które administratorzy mogą przeglądać dla większości akcji komputera w chmurze, które przechodzą przez program Graph. Domyślnie inspekcja jest włączona dla wszystkich klientów. Nie można go wyłączyć.

Kto może uzyskać dostęp do danych?

Użytkownicy z następującymi uprawnieniami mogą przeglądać dzienniki inspekcji:

  • Administrator usługi Intune
  • Administrator globalny
  • Administratorzy przypisani do roli usługi Intune z danymi inspekcji — uprawnienia do odczytu

Ważna

Firma Microsoft rekomenduje używanie ról z najmniejszą liczbą uprawnień. Pomaga to zwiększyć bezpieczeństwo organizacji. Administrator globalny to rola o wysokim poziomie uprawnień, która powinna być ograniczona do scenariuszy awaryjnych, gdy nie można użyć istniejącej roli.

Wysyłanie dzienników inspekcji systemu Windows 365 do ustawień diagnostycznych w usłudze Azure Monitor

Ustawienia diagnostyczne usługi Azure Monitor umożliwiają eksportowanie dzienników i metryk platformy do wybranego miejsca docelowego. Możesz utworzyć maksymalnie pięć różnych ustawień diagnostycznych, aby wysyłać różne dzienniki i metryki do niezależnych miejsc docelowych. Aby uzyskać więcej informacji, zobacz Ustawienia diagnostyczne w usłudze Azure Monitor.

Aby utworzyć ustawienie diagnostyczne do wysyłania dzienników

  1. Upewnij się, że masz konto platformy Azure.
  2. Zaloguj się do centrum administracyjnego usługi Microsoft Intune i wybierz pozycjęUstawienia diagnostyczne raportów> (w obszarze Azure Monitor)>Dodaj ustawienia diagnostyczne.
  3. W obszarze Dzienniki wybierz pozycję Windows365AuditLogs.
  4. W obszarze Szczegóły miejsca docelowego wybierz miejsce docelowe i podaj szczegóły.
  5. Wybierz Zapisz.

Pobieranie zdarzeń inspekcji przy użyciu interfejsu API programu Graph i programu PowerShell

Aby uzyskać zdarzenia dziennika inspekcji dla dzierżawy systemu Windows 365, wykonaj następujące kroki:

Instalowanie zestawu SDK

  1. W programie PowerShell uruchom następujące polecenie: Install-Module Microsoft.Graph.Beta -Scope CurrentUser -AllowClobber
  2. Sprawdź instalację, uruchamiając następujące polecenie:Get-InstalledModule Microsoft.Graph.Beta
  3. Aby uzyskać wszystkie punkty końcowe usługi Cloud PC Graph, uruchom następujące polecenie: Get-Command -Module Microsoft.Graph* *virtualEndpoint*

Logowanie się

  1. Uruchom jedno z tych dwóch poleceń:
    • Connect-MgGraph -Scopes "CloudPC.ReadWrite.All"
    • Connect-MgGraph -Scopes "CloudPC.Read.All"
  2. Na wynikowej stronie internetowej zaloguj się do dzierżawy przy użyciu konta użytkownika z odpowiednimi uprawnieniami do odczytu i/lub zapisu.
  3. Przełącz się do środowiska programu Graph w wersji beta przy użyciu następującego polecenia: Select-MgProfile -Name "beta"

Pobieranie danych inspekcji

Dane inspekcji można wyświetlać na wiele sposobów.

Pobieranie całej listy zdarzeń inspekcji, w tym podmiotu inspekcji

Aby uzyskać całą listę zdarzeń inspekcji, w tym aktora (osobę, która wykonała akcję), użyj następującego polecenia:

Get-MgBetaDeviceManagementVirtualEndpointAuditEvent | Select-Object -Property Actor,ActivityDateTime,ActivityType,ActivityResult -ExpandProperty Actor | Format-Table UserId, UserPrincipalName, ActivityType, ActivityDateTime, ActivityResult

Pobieranie listy zdarzeń inspekcji

Aby uzyskać listę zdarzeń inspekcji bez aktora inspekcji, użyj następującego polecenia:

Get-MgBetaDeviceManagementVirtualEndpointAuditEvent

Aby uzyskać wszystkie zdarzenia, użyj parametru -All : Get-MgBetaDeviceManagementVirtualEndpointAuditEvent -All

Aby uzyskać tylko najważniejsze zdarzenia N, użyj następujących parametrów: Get-MgBetaDeviceManagementVirtualEndpointAuditEvent -All -Top {TopNumber}

Pobieranie pojedynczego zdarzenia według identyfikatora zdarzenia

Możesz użyć następującego polecenia, aby uzyskać pojedyncze zdarzenie inspekcji, w którym należy podać {identyfikator zdarzenia}: Get-MgBetaDeviceManagementVirtualEndpointAuditEvent -CloudPcAuditEventId {event ID}

Następne kroki

Ciągłość działania i odzyskiwanie po awarii.