Использование журналов аудита для отслеживания и мониторинга событий в Microsoft Intune

В Microsoft Intune существуют журналы аудита, в которых содержатся записи о действиях, создающих изменения. Например, действия создания, обновления (изменения), удаления, назначения и удаленные действия создают события аудита.

Администраторы могут просматривать журналы аудита, чтобы отслеживать и отслеживать события для большинства рабочих нагрузок Intune. Аудит включен для всех клиентов. Отключить его невозможно.

У кого есть доступ к данным?

Пользователи со следующими разрешениями могут просматривать журналы аудита:

• Роль Microsoft Entra администратора Intune
• Администраторы, которым назначена роль Intune с разрешениями начтениеданных - аудита. Список встроенных ролей Intune с этим разрешением см. в статье Разрешения встроенных ролей для Microsoft Intune.

Просмотр журналов аудита

Вы можете просматривать журналы аудита в группе мониторинга для каждой рабочей нагрузки Intune, например для соответствия требованиям или условного доступа.

1. Войдите в Центр администрирования Microsoft Intune.

2. Выберите Администрирование> клиентаЖурналы аудита.

3. Отобразится список журналов. Выберите журнал из списка, чтобы просмотреть сведения о действиях.

4. Если журналов много, вы можете:

   1. Выберите Дата и введите дату начала и окончания. В этом диапазоне дат могут отображаться журналы за предыдущий месяц, неделю или день.

      

   2. Выберите Добавить категорию> фильтров. Выберите категорию из списка, например Соответствие требованиям, Устройство или Роль. Затем нажмите кнопку Применить.

   3. Выберите Добавить действия> фильтров. Доступные параметры зависят от выбранной категории . Затем нажмите кнопку Применить.

      Например, если выбрать категорию Соответствие , параметры фильтра действий будут выглядеть примерно так, как показано на следующем рисунке:

      

Дополнительные сведения о журналах аудита см. по следующему разделу:

• Хранение и обработка данных в Intune
• Использование журналов аудита в Intune
• Аудит, экспорт и удаление персональных данных в Intune

Маршрутизация журналов в Azure Monitor

Журналы аудита и операционные журналы также могут быть перенаправлены в Azure Monitor. В Центре администрирования Intune выберите Администрирование> клиентаЖурналы> аудитаЭкспорт:

При экспорте .csv файл создается и сохраняется локально, возможно, в C:\Users\UserName\AppData\Local\Temp\MicrosoftEdgeDownloads\GUID.

При просмотре .csv файла:

• Инициированный (субъект) содержит сведения о том, кто выполнял задачу и где она выполнялась.

  Например, если вы запускаете действие в Intune на портале Azure , приложение всегда отображает расширение портала Microsoft Intune, а идентификатор приложения всегда использует один и тот же GUID.

• В разделе Целевые объекты перечислены несколько целевых объектов и свойства, которые были изменены.

Дополнительные сведения об этой функции, включая предварительные требования, см. в статье Отправка данных журнала в хранилище, центры событий или log Analytics.

Получение событий аудита с помощью API Graph

Вы также можете использовать API Graph для получения событий аудита за один год. Дополнительные сведения см. в разделе Список auditEvents.

Статьи по теме

• Отправка данных журнала в хранилище, концентраторы событий или log Analytics
• Просмотр журналов защиты клиентских приложений