Что такое журналы аудита Microsoft Entra?

Журналы действий Microsoft Entra включают журналы аудита, которые являются исчерпывающим отчетом о каждом зарегистрированном событии в идентификаторе Microsoft Entra. Изменения приложений, групп, пользователей и лицензий фиксируются в журналах аудита Microsoft Entra.

Также доступны два других журнала действий, которые помогут отслеживать работоспособность клиента:

• Операции входа — сведения об операциях входа и использовании ресурсов пользователями.
• Подготовка — действия, выполняемые службой подготовки к работе, например создание группы в ServiceNow или импорт пользователей из Workday.

В этой статье представлен обзор журналов аудита, таких как информация, которую они предоставляют, и какие вопросы они могут ответить.

Что можно сделать с журналами аудита?

Журналы аудита в идентификаторе Microsoft Entra предоставляют доступ к записям системных действий, часто необходимым для соответствия требованиям. Вы можете получить ответы на вопросы, связанные с пользователями, группами и приложениями.

Пользователи.

• Какие типы изменений были недавно применены к пользователям?
• Сколько пользователей было изменено?
• Сколько паролей было изменено?

Группы.

• Какие группы были добавлены недавно?
• Изменены ли владельцы групп?
• Какие лицензии относятся к группе или пользователю?

Приложения.

• Какие приложения были обновлены или удалены?
• Изменилcя ли субъект-служба для приложения?
• Изменены ли имена приложений?

Настраиваемые атрибуты безопасности:

• Какие изменения были внесены в определения или назначения настраиваемых атрибутов безопасности?
• Какие обновления были сделаны для наборов атрибутов?
• Какие пользовательские значения атрибутов были назначены пользователю?

Примечание.

Записи в журналах аудита создаются системой и не могут быть изменены или удалены.

Что отображается в журналах?

Журналы аудита по умолчанию отображаются на вкладке "Каталог ", где отображаются следующие сведения:

• дата и время события;
• служба, которая зарегистрировала событие;
• категория и имя действия (что?);
• состояние действия (успех или сбой);

На второй вкладке настраиваемой безопасности отображаются журналы аудита для пользовательских атрибутов безопасности. Чтобы просмотреть данные на этой вкладке, необходимо иметь роль администратора журнала атрибутов или средства чтения журналов атрибутов. В этом журнале аудита показаны все действия, связанные с пользовательскими атрибутами безопасности. Дополнительные сведения см. в разделе "Что такое настраиваемые атрибуты безопасности".

Журналы действий Microsoft 365

Журналы действий Microsoft 365 можно просматривать в центре администрирования Microsoft 365. Несмотря на то что журналы действий Microsoft 365 и журналы действий Microsoft Entra используют множество ресурсов каталога, только Центр администрирования Microsoft 365 предоставляет полное представление журналов действий Microsoft 365.

Вы также можете получить программный доступ к журналам действий Microsoft 365 с помощью API управления Office 365.

Большинство автономных или пакетных подписок Microsoft 365 имеют внутренние зависимости от некоторых подсистем в границах центра обработки данных Microsoft 365. Для этих зависимостей требуется обратная запись данных, чтобы обеспечить синхронизацию каталогов и, по сути, обеспечить беспроблемное подключение в подписке для Exchange Online. Для этих операций обратной записи в журнал аудита отображаются действия, выполняемые службой Microsoft Substrate Management. Эти записи журнала аудита ссылаются на операции создания, обновления и удаления, выполняемых Exchange Online в идентификатор Microsoft Entra. Записи являются информационными и не требуют никаких действий.