Поделиться через

Аудит событий администратора в службе синхронизации Microsoft Entra Connect (общедоступная предварительная версия)

  • Статья

В январе 2025 года мы выпустили новую версию (2.4.129.0) Microsoft Entra Connect Sync. Эта версия содержит обновление для аудита, которое включено по умолчанию. С помощью этого обновления теперь можно отслеживать события и действия администратора. В следующей статье описывается отключение функции аудита.

Отключение аудита событий администратора вручную

Чтобы отключить аудит событий администратора, выполните следующие действия.

  1. Откройте редактор реестра— нажмите клавиши Win+ R, чтобы открыть диалоговое окно выполнения.
  2. Введите regedit и нажмите клавишу ввод, чтобы запустить редактор реестра. Подтвердите все запросы безопасности, чтобы продолжить.
  3. Перейдите к следующему пути: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Azure AD Connect.
  4. Если значение AuditEventLogging еще не существует, измените или создайте AuditEventLogging, щелкнув правой кнопкой мыши на ключе Azure AD Connect и выберите Новый ->DWORD (32-битное) значение.
  5. Присвойте новому DWORD имя AuditEventLogging.
  6. Дважды щелкните запись AuditEventLogging и введите 0, чтобы отключить ведение журнала событий аудита. Введите 1, чтобы повторно включить его.

Снимок экрана нового раздела реестра AuditEventLogging.

Отключение аудита событий администратора с помощью PowerShell

Вы также можете использовать PowerShell для отключения ведения журнала аудита событий администратора. Используйте следующий сценарий.

#Declare variables
$registryPath = 'HKLM:\SOFTWARE\Microsoft\Azure AD Connect'
$valueName = 'AuditEventLoggging'
$newValue = '0'

#Create the AuditEventLogging key if it doesn't exist
if (!(Test-Path $registryPath)) {New-Item -Path $registryPath -Force}

#Set the value of the new AuditEventLogging key
Set-ItemProperty -Path $registryPath -Name $valueName -Value $newValue

Список зарегистрированных событий

В следующей таблице приведен список событий, которые регистрируются с помощью новой функции аудита. Чтобы просмотреть события, используйте средство просмотра событий и просмотрите журнал приложения.

снимок экрана средства просмотра событий.

EventID Название события Описание
2503 Добавление и обновление и удаление каталогов Предоставляет имя затронутого каталога
2504 Включение режима параметров Express  Это событие будет зарегистрировано, когда администратор выберет "Экспресс-установку".
2505 Включить/отключить домены и организационные единицы для синхронизации  Отображает список всех доменов, подключенных к Connect Sync
2506 Включение и отключение синхронизации PHS  Показывает, что синхронизация хэша паролей включена или отключена
2507 Включение и отключение синхронизации после установки  Событие регистрируется при включенной синхронизации или отключении при завершении установки
2508 Создание учетной записи ADDS  Отображает созданную учетную запись, необходимую для подключения к добавленной новой папке.
2509 Использование существующей учетной записи ADDS  Отображает имя учетной записи, используемой для подключения к каталогу
2510 Создание и обновление и удаление настраиваемого правила синхронизации  Отображает имя правила синхронизации, которое изменилось вместе с информацией о том, что изменилось
2511 Включение и отключение фильтрации на основе домена Показывает, что фильтрация домена выбрана, а список выбранных доменов
2512 Включение и отключение фильтрации на основе OU (организационной единицы)  Показывает, что выбрана фильтрация на основе подразделений, и перечисляет выбранные подразделения.
2513 У пользователя Sign-In изменён метод Показывает старый метод входа и новый
2514 Настройка новой фермы ADFS  Отображает имя службы федерации
2515 Включить/отключить единый вход  Показывает изменение единого входа
2516 Установка прокси-сервера веб-приложения Показывает выбранные серверы ADFS и имя пользователя администратора домена
2517 Настройка разрешений  Отображает, какое конкретное разрешение для синхронизации AD было изменено
2518 Изменение учетных данных соединителя ADDS  Отображает измененные учетные данные соединителя ADDS
2519 Повторная инициализация пароля учетной записи коннектора Entra ID  Указывает, что пароль учетной записи службы синхронизации AD был сброшен
2520 Установка сервера ADFS  Отображение выбранного сервера
2521 Настройка учетной записи службы ADFS  Указывает, является ли это управляемой группой учетной записью или учетной записью пользователя домена. Включает имя администратора

Дальнейшие действия