Microsoft Entra 审核日志类别和活动

Microsoft Entra 审核日志收集 Microsoft Entra 租户中的所有可跟踪活动。 审核日志可用于确定谁对服务、用户、组或其他项进行了更改。

本文提供了审核类别及其相关活动的完整列表。 要跳转到特定的审核类型,请使用“本文内容”部分。

审核日志活动和类别会定期更改。 这些表会定期更新,但可能与 Microsoft Entra ID 中提供的内容不同步。 如果认为缺少某种审核类别或活动,请向我们提供反馈。

  1. 至少以报告读取者身份登录到 Microsoft Entra 管理中心
  2. 浏览到“标识”>“监视和运行状况”>“审核日志”。
  3. 相应地调整筛选器。
  4. 要查看详细信息,请在生成的表中选择一行。

Microsoft Entra (AAD) 管理 UX

审核类别 活动
AdministrativeUnit 将成员批量添加到管理单元 - 已完成(批量)
AdministrativeUnit 批量移除管理单元中的成员 - 已完成(批量)
AdministrativeUnit 已启动(批量)
DeviceManagement 批量添加身份验证设备 - 已完成(批量)
DeviceManagement 下载设备 - 已完成(批量)
DeviceManagement 已启动(批量)
DirectoryManagement 批量下载硬件令牌 - 已完成(批量)
DirectoryManagement 下载注册并重置事件 - 已完成(批量)
DirectoryManagement 下载角色分配 - 已完成(批量)
DirectoryManagement 下载服务主体 - 已完成(批量)
DirectoryManagement 下载用户注册详细信息 - 已完成(批量)
DirectoryManagement 下载用户 - 已完成(批量)
DirectoryManagement 导出摘要数据 - 已完成(批量)
DirectoryManagement 导出摘要数据新 - 已完成(批量)
DirectoryManagement 已启动(批量)
GroupManagement 批量导入组成员 - 已完成(批量)
GroupManagement 批量移除组成员 - 已完成(批量)
GroupManagement 下载组成员 - 已完成
GroupManagement 下载组 - 已完成(批量)
GroupManagement 已启动(批量)
策略 添加阻止的用户
策略 添加绕过用户
策略 清除对用户的阻止
策略 移除绕过的用户
策略 更新登录风险策略
策略 更新用户风险和 MFA 注册策略
UserManagement 批量创建用户 - 已完成(批量)
UserManagement 批量删除用户 - 已完成(批量)
UserManagement 批量邀请用户 - 已完成(批量)
UserManagement 批量还原已删除的用户 - 已完成(批量)
UserManagement 下载用户 - 已完成(批量)
UserManagement 已启动(批量)

访问评审

通过 Microsoft Entra ID 治理访问评审,可以确保用户具有适当的访问权限。 通过访问评审审核日志可以了解谁发起或结束了访问评审。 借助这些日志还可以了解是否更改了任何访问评审设置。

审核类别 活动
DirectoryManagement 创建程序
DirectoryManagement 链接程序控件
DirectoryManagement 取消链接程序控件
DirectoryManagement 更新程序
策略 访问评审结束
策略 应用决策
策略 批准决策
策略 批量批准决策
策略 批量拒绝决策
策略 批量重置决策
策略 将决策批量标记为未知
策略 取消请求
策略 创建访问评审
策略 创建请求
策略 删除访问评审
策略 删除审批
策略 拒绝决策
策略 决策未知
策略 请求已到期
策略 重置决策
策略 更新访问评审
策略 更新合作伙伴目录设置
策略 更新请求
UserManagement 应用评审
UserManagement 批准业务流中的所有请求
UserManagement 自动评审
UserManagement 自动应用评审
UserManagement 创建业务流
UserManagement 创建调控策略模板
UserManagement 删除访问评审
UserManagement 删除业务流
UserManagement 删除调控策略模板
UserManagement 拒绝所有决策
UserManagement 拒绝业务流中的所有请求
UserManagement 已批准请求
UserManagement 已拒绝请求
UserManagement 更新业务流
UserManagement 更新调控策略模板

帐户预配

此日志提供了应用程序预配、HR 预配、跨租户同步和 Microsoft Entra Connect 云同步的配置更改。 预配服务在日志中只有一个审核类别。 对于预配服务执行的操作,例如创建用户、更新用户和删除用户,建议使用预配日志。 若要监视预配配置的更改,建议使用审核日志

审核类别 活动 说明
ProvisioningManagement 添加预配配置 已创建新的预配配置。
ProvisioningManagement 删除预配配置 已删除预配配置。
ProvisioningManagement 禁用/暂停预配配置 已禁用/暂停预配作业。
ProvisioningManagement 启用/重启预配配置 已重启预配作业。
ProvisioningManagement 启用/启动预配配置 已启动预配作业。
ProvisioningManagement 导出 预配作业已将更改导出到目标系统(例如:创建用户)。
ProvisioningManagement 导入 预配作业从源系统导入了对象(例如:在将帐户预配到 Salesforce 之前,在 Entra 中导入用户属性)。
ProvisioningManagement 其他
ProvisioningManagement 进程托管 预配服务无法将更改导出到目标应用程序并在重试该操作。
ProvisioningManagement 隔离 由于缺少与目标应用程序的连接等问题,预配作业的执行频率有所降低。 了解详细信息
ProvisioningManagement 同步规则操作 预配服务评估了对象,未将更改导出到目标系统。 当因超出预配范围而跳过用户时,这种情况愈加常见。
ProvisioningManagement 更新属性映射或范围 已更新预配作业的属性映射或范围规则。
ProvisioningManagement 更新预配设置或凭据 已更新预配作业的设置(例如:通知电子邮件更改、同步所有与同步分配的用户和组、意外删除防护)。 已更新预配作业的凭据(例如:添加新的持有者令牌)。
ProvisioningManagement 用户预配 预配作业的架构已还原到默认值。

应用程序代理

如果利用应用程序代理为用户提供对内部应用的远程访问,应用程序代理审核日志可帮助你跟踪对可用应用程序或连接器组的更改。

审核类别 活动
应用程序管理 添加应用程序
应用程序管理 删除应用程序
应用程序管理 更新应用程序
身份验证 为功能推出添加组
身份验证 创建功能推出策略
身份验证 删除功能推出策略
身份验证 从功能推出中删除组
身份验证 从功能推出中删除用户
身份验证 更新功能推出策略
授权 应用程序访问权限的用户授权
DirectoryManagement 禁用桌面 SSO
DirectoryManagement 禁用特定域的桌面 SSO
DirectoryManagement 禁用应用程序代理
DirectoryManagement 禁用直通身份验证
DirectoryManagement 启用桌面 SSO
DirectoryManagement 启用特定域的桌面 SSO
DirectoryManagement 启用应用程序代理
DirectoryManagement 启用直通身份验证
ResourceManagement 添加连接器组
ResourceManagement 将连接器添加到连接器组
ResourceManagement 添加应用程序 SSL 证书
ResourceManagement 删除连接器组
ResourceManagement 删除 SSL 绑定
ResourceManagement 注册连接器
ResourceManagement 更新连接器组

身份验证方法

身份验证方法的审核日志可用于确保用户已正确注册其移动设备以启用多重身份验证。

审核类别 活动
ApplicationManagement 分配硬件 OATH 令牌
ApplicationManagement 重置身份验证方法策略
ApplicationManagement 更新身份验证方法策略
ApplicationManagement 创建身份验证强度组合配置
ApplicationManagement 删除身份验证强度组合配置
ApplicationManagement 更新身份验证强度组合配置
ApplicationManagement 创建身份验证强度策略
ApplicationManagement 删除身份验证强度策略
ApplicationManagement 更新身份验证强度策略
ApplicationManagement 批量上传硬件 OATH 令牌
ApplicationManagement 创建硬件 OATH 令牌
ApplicationManagement 删除硬件 OATH 令牌
ApplicationManagement MFA 服务策略更新
ApplicationManagement PATCH UserAuthMethod.PatchSignInPreferencesAsync
ApplicationManagement PATCH UserAuthMethod.ResetQRPinAsync
ApplicationManagement PATCH UserAuthMethod.UpdateQRPinAsync
ApplicationManagement POST UserAuthMethod.SecurityInfoRegistrationCallback
ApplicationManagement POST UserAuthMethod.SoftwareOathProofupRegistration
ApplicationManagement 更新硬件 OATH 令牌
DirectoryManagement DELETE Subscription.DeleteProviders
DirectoryManagement DELETE Tenant.DeleteAgentStatuses
DirectoryManagement DELETE Tenant.DeleteCaches
DirectoryManagement DELETE Tenant.DeleteGreetings
DirectoryManagement PATCH Tenant.Patch
DirectoryManagement PATCH Tenant.PatchCaches
DirectoryManagement POST SoundFile.Post
DirectoryManagement POST Subscription.CreateProvider
DirectoryManagement POST Subscription.CreateSubscription
DirectoryManagement POST Tenant.CreateBlockedUser
DirectoryManagement POST Tenant.CreateBypassedUser
DirectoryManagement POST Tenant.CreateCacheConfig
DirectoryManagement POST Tenant.CreateGreeting
DirectoryManagement POST Tenant.CreateTenant
DirectoryManagement POST Tenant.GenerateNewActivationCredentials
DirectoryManagement POST Tenant.RemoveBlockedUser
DirectoryManagement POST Tenant.RemoveBypassedUser
UserManagement 管理员已删除安全信息
UserManagement 管理员注册安全信息
UserManagement 管理员已启动密码重置
UserManagement 管理员已更新安全信息
UserManagement 获取支持密钥创建选项
UserManagement 在所有记住的设备上还原多重身份验证
UserManagement 启用每用户多重身份验证状态
UserManagement 用户已取消安全信息注册
UserManagement 用户已更改默认安全信息
UserManagement 用户已删除安全信息
UserManagement 用户已注册所有必需的安全信息
UserManagement 用户已注册安全信息
UserManagement 用户已审阅安全信息
UserManagement 用户已启动密码更改
UserManagement 用户已启动密码重置
UserManagement 用户已启动安全信息注册
UserManagement 用户已更新安全信息

Microsoft Entra (Azure AD) 建议

Microsoft Entra 建议 监视 Microsoft Entra 租户,并提供个性化的见解和可操作指南,以实现 Microsoft Entra 功能的最佳做法并优化租户配置。 这些日志提供建议状态更改的历史记录。

审核类别 活动
DirectoryManagement 取消建议
DirectoryManagement 将建议标记为完成
DirectoryManagement 推迟建议

Microsoft Entra (Azure MFA) 多重身份验证

Microsoft Entra 多重身份验证审核日志可帮助跟踪可疑活动的趋势或在报告欺诈行为时进行跟踪。 使用 Microsoft Entra 登录日志查看用户每次在需要 MFA 时的登录情况。

审核类别 活动
DirectoryManagement DeleteDataFromBackend
DirectoryManagement DeleteDataFromCosmosDb
DirectoryManagement ExportDataFromBackend
DirectoryManagement ExportDataFromCosmosDb
UserManagement 已报告欺诈行为 - 未采取任何操作
UserManagement 已报告欺诈行为 - 用户因 MFA 被阻止
UserManagement 已报告可疑活动
UserManagement 用户已注册安全信息

Azure RBAC(提升的访问权限)

审核类别 活动
AzureRBACRoleManagementElevateAccess 用户访问权限管理员的角色分配已从用户中删除
AzureRBACRoleManagementElevateAccess 用户已提升其对 Azure 资源的用户访问管理员访问权限

B2B 身份验证

审核类别 活动
UserManagement 兑换外部用户邀请

B2C

这组审核日志与 B2C 相关。 由于连接的资源和可能存在的外部帐户的数量,此服务具有多种类别和活动。 审核类别包括 ApplicationManagement、Authentication、Authorization、DirectoryManagement、IdentityProtection、KeyManagement、PolicyManagement 和 ResourceManagement。 可在“其他”类别中找到与一次性密码相关的日志。

审核类别 活动
身份验证 已完成自助注册请求
身份验证 在用户流中调用了 API
身份验证 删除所有可用的强身份验证设备
身份验证 评估条件访问策略
身份验证 交换令牌
身份验证 与标识提供者联合
身份验证 获取可用的强身份验证设备
身份验证 向应用程序发出 SAML 断言
身份验证 向应用程序颁发访问令牌
身份验证 向应用程序颁发授权代码
身份验证 向应用程序颁发 id_token
身份验证 拨打电话以验证电话号码
身份验证 注册 TOTP 密钥
身份验证 修正用户
身份验证 发送短信以验证电话号码
身份验证 发送验证电子邮件
身份验证 验证客户端凭据
身份验证 验证本地帐户凭据
身份验证 验证用户身份验证
身份验证 验证电子邮件地址
身份验证 验证一次性密码
身份验证 验证电话号码
授权 添加 V2 应用程序权限
授权 检查资源名称是否可用
授权 创建 API 连接器
授权 创建标识提供者
授权 创建 authenticationEventListener
授权 创建 authenticationEventsFlow
授权 创建自定义标识提供者
授权 创建自定义策略
授权 创建 customAuthenticationExtension
授权 创建或更新 B2C 目录资源
授权 创建或更新 B2C 目录租户和资源
授权 创建或更新 CIAM 目录租户和资源
授权 创建或更新来宾使用情况资源
授权 创建或更新本地化资源
授权 创建策略密钥
授权 创建初学者包
授权 创建用户属性
授权 创建用户流
授权 创建 V2 应用程序
授权 删除 API 连接器
授权 删除调用方为管理员的 B2C 租户
授权 删除 B2C 目录资源
授权 删除 CIAM 目录资源
授权 删除来宾使用情况资源
授权 删除标识提供者
授权 删除 authenticationEventlistener
授权 删除 authenticationEventsFlow
授权 删除自定义策略
授权 删除 customAuthenticationExtension
授权 删除本地化资源
授权 删除策略密钥
授权 删除用户属性
授权 删除用户流
授权 删除 V2 应用程序
授权 删除 V2 应用程序授权
授权 生成密钥
授权 获取 API 连接器
授权 获取 API 连接器
授权 获取调用方为管理员的 B2C 租户
授权 获取 B2C 目录资源
授权 获取资源组中的 B2C 目录资源
授权 获取订阅中的 B2C 目录资源
授权 获取 CIAM 目录资源
授权 获取资源组中的 CIAM 目录资源
授权 获取订阅中的 CIAM 目录资源
授权 获取多个来宾使用情况资源
授权 获取订阅中的来宾使用情况资源
授权 获取标识提供者
授权 获取多个标识提供者
授权 获取 OnAttributeCollectionStartCustomExtension
授权 获取 OnAttributeCollectionSubmitCustomExtension
授权 获取 OnPageRenderStartCustomExtension
授权 从策略密钥获取活动密钥元数据
授权 获取年龄限制配置
授权 获取身份验证流策略
授权 获取 authenticationEventListener
授权 获取 authenticationEventsFlow
授权 获取 authenticationEventsFlows
授权 获取可用的输出声明
授权 获取配置的自定义标识提供者
授权 获取配置的标识提供者
授权 获取配置的本地标识提供者
授权 获取自定义域
授权 获取自定义标识提供者
授权 获取多个自定义策略
授权 获取自定义策略
授权 获取自定义策略元数据
授权 获取 customAuthenticationExtension
授权 获取 customAuthenticationExtensions
授权 获取标识提供者类型
授权 获取租户列表
授权 获取本地化资源
授权 获取异步操作的操作状态
授权 获取 Microsoft.AzureActiveDirectory 资源提供程序的操作
授权 获取策略密钥
授权 获取多个策略密钥
授权 获取租户的资源属性
授权 获取支持的区域性
授权 获取支持的标识提供者
授权 获取支持的页面协定
授权 获取租户详细信息
授权 获取租户域
授权 获取 authenticationEventsPolicy
授权 获取用户属性
授权 获取用户属性
授权 获取用户流
授权 获取多个用户流
授权 获取 V1 和 V2 应用程序
授权 获取 V1 应用程序
授权 获取 V2 应用程序
授权 初始化租户
授权 移动资源
授权 还原策略密钥
授权 检索 V2 应用程序授权
授权 检索 V2 应用程序服务主体
授权 更新 API 连接器
授权 更新标识提供者
授权 更新 OnAttributeCollectionStartCustomExtension
授权 更新 OnAttributeCollectionSubmitCustomExtension
授权 更新 OnPageRenderStartCustomExtension
授权 更新 B2C 目录资源
授权 更新 CIAM 目录资源
授权 更新来宾使用情况资源
授权 更新年龄限制配置
授权 更新身份验证流策略
授权 更新 authenticationEventListener
授权 更新 authenticationEventsFlow
授权 更新 authenticationEventsPolicy
授权 更新自定义标识提供者
授权 更新自定义策略
授权 更新 customAuthenticationExtension
授权 更新标识提供者
授权 更新本地标识提供者
授权 更新策略密钥
授权 更新订阅状态
授权 更新租户元数据
授权 更新用户属性
授权 更新用户流
授权 将证书上传到策略密钥
授权 将密钥上传到策略密钥
授权 将机密上传到策略密钥
授权 验证 customExtension authenticationConfiguration
授权 验证移动资源
授权 验证租户是否为 B2C
设备 删除预创建的设备
设备 预创建设备
设备 恢复设备本地管理员密码
设备 注册设备
设备 取消注册设备
设备 更新设备本地管理员密码
目录管理 获取年龄限制配置
目录管理 获取租户列表
目录管理 获取租户的资源属性
目录管理 获取租户详细信息
目录管理 获取租户域
目录管理 初始化租户
目录管理 更新年龄限制配置
目录管理 更新租户元数据
目录管理 验证租户是否为 B2C
标识保护 评估条件访问策略
标识保护 修正用户
KeyManagement 添加 BitLocker 密钥
KeyManagement 创建策略密钥
KeyManagement 删除 BitLocker 密钥
KeyManagement 删除策略密钥
KeyManagement 从策略密钥获取活动密钥元数据
KeyManagement 获取策略密钥
KeyManagement 获取多个策略密钥
KeyManagement 读取 BitLocker 密钥
KeyManagement 还原策略密钥
KeyManagement 更新策略密钥
KeyManagement 将密钥上传到策略密钥
KeyManagement 将机密上传到策略密钥
其他 生成一次性密码
其他 验证一次性密码
PolicyManagement 创建 authenticationEventListener
PolicyManagement 创建 authenticationEventsFlow
PolicyManagement 创建 customAuthenticationExtension
PolicyManagement 删除 authenticationEventListener
PolicyManagement 删除 authenticationEventsFlow
PolicyManagement 删除 customAuthenticationExtension
PolicyManagement 获取 OnAttributeCollectionStartCustomExtension
PolicyManagement 获取 OnAttributeCollectionSubmitCustomExtension
PolicyManagement 获取 OnPageRenderStartCustomExtension
PolicyManagement 获取 authenticationEventListener
PolicyManagement 获取 authenticationEventListeners
PolicyManagement 获取 authenticationEventsFlow
PolicyManagement 获取 authenticationEventsFlows
PolicyManagement 获取 customAuthenticationExtension
PolicyManagement 获取 customAuthenticationExtensions
PolicyManagement 获取 authenticationEventsPolicy
PolicyManagement 更新 OnAttributeCollectionStartCustomExtension
PolicyManagement 更新 OnAttributeCollectionSubmitCustomExtension
PolicyManagement 更新 OnPageRenderStartCustomExtension
PolicyManagement 更新 authenticationEventListener
PolicyManagement 更新 authenticationEventsFlow
PolicyManagement 更新 authenticationEventsPolicy
PolicyManagement 更新 customAuthenticationExtension
PolicyManagement 验证 customExtension authenticationConfiguration
ResourceManagement 检查资源名称是否可用
ResourceManagement 创建 API 连接器
ResourceManagement 创建标识提供者
ResourceManagement 创建自定义标识提供者
ResourceManagement 创建自定义策略
ResourceManagement 创建或更新 B2C 目录资源
ResourceManagement 创建或更新 B2C 目录租户和资源
ResourceManagement 创建或更新 CIAM 目录租户和资源
ResourceManagement 创建或更新来宾使用情况资源
ResourceManagement 创建或更新本地化资源
ResourceManagement 创建策略密钥
ResourceManagement 创建用户属性
ResourceManagement 创建用户流
ResourceManagement 删除 API 连接器
ResourceManagement 删除调用方为管理员的 B2C 租户
ResourceManagement 删除 B2C 目录资源
ResourceManagement 删除 CIAM 目录资源
ResourceManagement 删除来宾使用情况资源
ResourceManagement 删除标识提供者
ResourceManagement 删除自定义策略
ResourceManagement 删除本地化资源
ResourceManagement 删除策略密钥
ResourceManagement 删除用户属性
ResourceManagement 删除用户流
ResourceManagement 生成密钥
ResourceManagement 获取 API 连接器
ResourceManagement 获取 API 连接器
ResourceManagement 获取调用方为管理员的 B2C 租户
ResourceManagement 获取 B2C 目录资源
ResourceManagement 获取资源组中的 B2C 目录资源
ResourceManagement 获取订阅中的 B2C 目录资源
ResourceManagement 获取 CIAM 目录资源
ResourceManagement 获取资源组中的 CIAM 目录资源
ResourceManagement 获取订阅中的 CIAM 目录资源
ResourceManagement 获取来宾使用情况资源
ResourceManagement 获取资源组中的来宾使用情况目录资源
ResourceManagement 获取订阅中的来宾使用情况目录资源
ResourceManagement 获取标识提供者
ResourceManagement 获取多个标识提供者
ResourceManagement 从策略密钥获取活动密钥元数据
ResourceManagement 获取身份验证流策略
ResourceManagement 获取可用的输出声明
ResourceManagement 获取配置的自定义标识提供者
ResourceManagement 获取配置的标识提供者
ResourceManagement 获取配置的本地标识提供者
ResourceManagement 获取自定义标识提供者
ResourceManagement 获取多个自定义策略
ResourceManagement 获取自定义策略
ResourceManagement 获取自定义策略元数据
ResourceManagement 获取标识提供者
ResourceManagement 获取标识提供者类型
ResourceManagement 获取多个标识提供者
ResourceManagement 获取本地化资源
ResourceManagement 获取异步操作的操作状态
ResourceManagement 获取 Microsoft.AzureActiveDirectory 资源提供程序的操作
ResourceManagement 获取策略密钥
ResourceManagement 获取多个策略密钥
ResourceManagement 获取支持的区域性
ResourceManagement 获取支持的标识提供者
ResourceManagement 获取支持的页面协定
ResourceManagement 获取用户属性
ResourceManagement 获取用户属性
ResourceManagement 获取用户流
ResourceManagement 获取多个用户流
ResourceManagement 移动资源
ResourceManagement 更新 API 连接器
ResourceManagement 标识提供程序
ResourceManagement 更新 B2C 目录资源
ResourceManagement 更新 CIAM 目录资源
ResourceManagement 更新来宾使用情况资源
ResourceManagement 更新身份验证流策略
ResourceManagement 更新自定义标识提供者
ResourceManagement 更新自定义策略
ResourceManagement 更新标识提供者
ResourceManagement 更新本地标识提供者
ResourceManagement 更新策略密钥
ResourceManagement 更新订阅状态
ResourceManagement 更新用户属性
ResourceManagement 更新用户流
ResourceManagement 将证书更新为策略密钥
ResourceManagement 将机密更新为策略密钥
ResourceManagement 验证移动资源
UserManagement 添加 Windows Hello 企业版凭据
UserManagement 添加无密码手机登录凭据
UserManagement 删除 Windows Hello 企业版凭据
UserManagement 删除无密码手机登录凭据

条件访问

使用这些日志查看何时对条件访问策略进行了更改。

审核类别 活动
策略 添加 AuthenticationContextClassReference
策略 添加条件访问策略
策略 添加命名位置
策略 删除 AuthenticationContextClassReference
策略 删除条件访问策略
策略 删除命名位置
策略 更新 AuthenticationContextClassReference
策略 更新条件访问策略
策略 更新连续访问评估
策略 更新命名位置
策略 启用安全默认值

核心目录

在核心目录服务中捕获的日志涵盖各种方案。 其中会捕获对服务主体和应用程序的更改、对公司设置的更新以及许多其他目录相关的详细信息。 由于此服务中包含大量日志,因此请利用筛选器选项和日期范围来缩小结果范围。

审核类别 活动
AdministrativeUnit 添加管理单元
AdministrativeUnit 将成员添加到管理单元
AdministrativeUnit 将成员添加到受限管理单元
AdministrativeUnit 删除管理单元
AdministrativeUnit 硬删除管理单元
AdministrativeUnit 从管理单元中删除成员
AdministrativeUnit 从受限管理单元中删除成员
AdministrativeUnit 还原管理单元
AdministrativeUnit 更新管理单元
协议 添加协议
协议 删除协议
协议 硬删除协议
协议 更新协议
ApplicationManagement 向服务主体添加应用角色分配
ApplicationManagement 添加应用程序
ApplicationManagement 添加委托的权限授予
ApplicationManagement 将所有者添加到应用程序
ApplicationManagement 将所有者添加到服务主体
ApplicationManagement 将策略添加到应用程序
ApplicationManagement 将策略添加到服务主体
ApplicationManagement 添加服务主体
ApplicationManagement 添加服务主体凭据
ApplicationManagement 通过安全推出取消应用程序更新
ApplicationManagement 安全推出后完成应用程序更新
ApplicationManagement 同意使用应用程序
ApplicationManagement 删除应用程序
ApplicationManagement 硬删除应用程序
ApplicationManagement 硬删除服务主体
ApplicationManagement 从服务主体删除应用角色分配
ApplicationManagement 删除委托的权限授予
ApplicationManagement 从应用程序中删除所有者
ApplicationManagement 从服务主体中删除所有者
ApplicationManagement 从应用程序中删除策略
ApplicationManagement 从服务主体中删除策略
ApplicationManagement 删除服务主体
ApplicationManagement 删除服务主体凭据
ApplicationManagement 还原应用程序
ApplicationManagement 还原服务主体
ApplicationManagement 还原同意
ApplicationManagement 设置已验证的发布者
ApplicationManagement 取消设置已验证的发布者
ApplicationManagement 更新应用程序
ApplicationManagement 通过安全推出更新应用程序
ApplicationManagement 更新应用程序 - 证书和密码管理
ApplicationManagement 更新外部机密
ApplicationManagement 更新服务主体
身份验证 测试审核日志
授权策略 更新授权策略
CertBasedConfiguration 添加 CertBasedAuthConfiguration
CertBasedConfiguration 硬删除 CertificationBasedAuthConfiguration
CertificateAuthorityEntity 创建 CertificateAuthorityEntity
CertificateAuthorityEntity 删除 CertificateAuthorityEntity
CertificateAuthorityEntity 硬删除 CertificateAuthorityEntity
CertificateAuthorityEntity 还原 CertificateAuthorityEntity
CertificateAuthorityEntity 更新 CertificateAuthorityEntity
CertificateBasedAuthConfiguration 添加 CertificateBasedAuthConfiguration
CertificateBasedAuthConfiguration 删除 CertificateBasedAuthConfiguration
CertificateBasedAuthConfiguration 更新 CertificateBasedAuthConfiguration
CompanyBranding 创建品牌主题
CompanyBranding 删除品牌主题
CompanyBranding 硬删除品牌主题
CompanyBranding 更新品牌主题
CompanyBrandingLocale 创建品牌主题本地化
CompanyBrandingLocale 删除品牌主题本地化
CompanyBrandingLocale 硬删除品牌主题本地化
CompanyBrandingLocale 更新品牌主题本地化
联系人 添加联系人
联系人 删除联系人
联系人 更新联系人
CrossTenantAccessSettings 将基于域的合作伙伴添加到跨租户访问设置
CrossTenantAccessSettings 添加跨租户访问设置的合作伙伴
CrossTenantAccessSettings 删除跨租户访问设置的基于域的合作伙伴
CrossTenantAccessSettings 删除特定于合作伙伴的跨租户访问设置
CrossTenantAccessSettings 已将合作伙伴跨租户访问设置迁移到可缩放模型
CrossTenantAccessSettings 重置跨租户访问默认设置
CrossTenantAccessSettings 更新跨租户访问设置的基于域的合作伙伴
CrossTenantAccessSettings 更新合作伙伴跨租户访问设置
CrossTenantAccessSettings 更新公司默认跨租户访问设置
CrossTenantIdentitySyncSettings 创建合作伙伴跨租户标识同步设置
CrossTenantIdentitySyncSettings 删除合作伙伴跨租户标识同步设置
CrossTenantIdentitySyncSettings 更新合作伙伴跨租户标识同步设置
DelegatedAdminServiceProviderConstraints 添加允许的可分配角色
DelegatedAdminServiceProviderConstraints 更新允许的可分配角色
设备 添加设备
设备 将注册的所有者添加到设备
设备 将注册的用户添加到设备
设备 删除设备
设备 设备不再合规
设备 设备不再托管
设备 硬删除设备
设备 从设备中删除注册的所有者
设备 从设备中删除注册的用户
设备 还原设备
设备 更新设备
DeviceConfiguration 添加设备配置
DeviceConfiguration 删除设备配置
DeviceConfiguration 更新设备配置
DeviceTemplate 从 DeviceTemplate 添加设备
DeviceTemplate Add DeviceTemplate
DeviceTemplate 将所有者添加到 DeviceTemplate
DeviceTemplate 删除 DeviceTemplate
DirectoryManagement 将合作伙伴添加到公司
DirectoryManagement 添加 sharedEmailDomainInvitation
DirectoryManagement 添加未验证的域
DirectoryManagement 添加已验证的域
DirectoryManagement 创建公司
DirectoryManagement 创建公司设置
DirectoryManagement 删除公司允许的数据位置
DirectoryManagement 删除公司设置
DirectoryManagement 删除订阅
DirectoryManagement 删除源租户订阅
DirectoryManagement 降级合作伙伴
DirectoryManagement 目录已删除
DirectoryManagement 目录已永久删除
DirectoryManagement 目录已计划删除(生命周期)
DirectoryManagement 目录已计划删除 (UserRequest)
DirectoryManagement 获取域的跨云验证码
DirectoryManagement 硬删除域
DirectoryManagement 将公司提升为合作伙伴
DirectoryManagement 将子域提升为根域
DirectoryManagement 从公司中删除合作伙伴
DirectoryManagement 删除未验证的域
DirectoryManagement 删除已验证的域
DirectoryManagement 计划添加 sharedEmailDomain
DirectoryManagement 计划删除 sharedEmailDomain
DirectoryManagement 设置公司信息
DirectoryManagement 设置 DirSync 功能
DirectoryManagement 设置 DirSyncEnabled 标志
DirectoryManagement 设置合作关系
DirectoryManagement 设置意外删除阈值
DirectoryManagement 设置公司允许的数据位置
DirectoryManagement 设置公司跨国功能已启用
DirectoryManagement 在租户上设置目录功能
DirectoryManagement 设置域身份验证
DirectoryManagement 在域中设置联合设置
DirectoryManagement 设置密码策略
DirectoryManagement 软删除域
DirectoryManagement 暂停源租户订阅
DirectoryManagement 更新域
DirectoryManagement 更新公司
DirectoryManagement 更新公司设置
DirectoryManagement 更新域
DirectoryManagement 更新 sharedEmailDomain
DirectoryManagement 更新 sharedEmailDomainInvitation
DirectoryManagement 验证域
DirectoryManagement 验证电子邮件验证域
GroupManagement 向组添加应用角色分配
GroupManagement 添加组
GroupManagement 将成员添加到组
GroupManagement 将所有者添加到组
GroupManagement 为组分配标签
GroupManagement 创建组设置
GroupManagement 删除组
GroupManagement 删除组设置
GroupManagement 完成向用户应用基于组的许可证
GroupManagement 向应用程序授予上下文同意
GroupManagement 硬删除组
GroupManagement 从组删除应用角色分配
GroupManagement 从组中删除符合条件的成员
GroupManagement 从组中删除符合条件的所有者
GroupManagement 从组中删除标签
GroupManagement 从组中删除成员
GroupManagement 从组中删除所有者
GroupManagement 还原组
GroupManagement 设置组许可证
GroupManagement 已设置要由用户管理的组
GroupManagement 开始向用户应用基于组的许可证
GroupManagement 触发组许可证重新计算
GroupManagement 更新组
GroupManagement 更新组设置
KerberosDomain 添加 Kerberos 域
KerberosDomain 删除 Kerberos 域
KerberosDomain 还原 Kerberos 域
KerberosDomain 更新 Kerberos 域
标签 添加标签
标签 删除标签
标签 更新标签
MicrosoftSupportAccessManagement 访问权限已批准
MicrosoftSupportAccessManagement 已删除访问权限
MicrosoftSupportAccessManagement 已批准请求
MicrosoftSupportAccessManagement 已取消请求
MicrosoftSupportAccessManagement 已创建请求
MicrosoftSupportAccessManagement 已拒绝请求
MultiTenantOrg 创建 MultiTenantOrg
MultiTenantOrg 硬删除 MultiTenantOrg
MultiTenantOrg 更新 MultiTenantOrg
MultiTenantOrgIdentitySyncPolicyUpdate 重置多租户组织标识同步策略模板
MultiTenantOrgIdentitySyncPolicyUpdate 更新多租户组织标识同步策略模板
MultiTenantOrgPartnerConfigurationTemplate 重置多租户组织合作伙伴配置模板
MultiTenantOrgPartnerConfigurationTemplate 更新多租户组织合作伙伴配置模板
MultiTenantOrgTenant 添加 MultiTenantOrg 租户
MultiTenantOrgTenant 删除 MultiTenantOrg 租户
MultiTenantOrgTenant 硬删除 MultiTenantOrg 租户
MultiTenantOrgTenant 加入 MultiTenantOrg 租户的租户
MultiTenantOrgTenant 更新 MultiTenantOrg 租户
OrganizationalUnitContainer 创建 OrganizationalUnit
OrganizationalUnitContainer 删除 OrganizationalUnit
OrganizationalUnitContainer 更新 OrganizationalUnit
PendingExternalUserProfile 创建 PendingExternalUserProfile
PendingExternalUserProfile 删除 PendingExternalUserProfile
PendingExternalUserProfile 硬删除 PendingExternalUserProfile
PermissionGrantPolicy 添加权限授予策略
PermissionGrantPolicy 删除权限授予策略
PermissionGrantPolicy 更新权限授予策略
策略 将所有者添加到策略
策略 添加策略
策略 删除策略
策略 硬删除策略
策略 从策略中删除所有者
策略 删除策略凭据
策略 还原策略
策略 更新策略
PublicKeyInfrastructure 创建 PublicKeyInfrastructure
PublicKeyInfrastructure 删除 PublicKeyInfrastructure
PublicKeyInfrastructure 硬删除 PublicKeyInfrastructure
PublicKeyInfrastructure 启动 PublicKeyInfrastructure
PublicKeyInfrastructure 还原 PublicKeyInfrastructure
PublicKeyInfrastructure 更新 PublicKeyInfrastructure
RoleManagement 将 EligibleRoleAssignment 添加到 RoleDefinition
RoleManagement 将符合条件的成员添加到角色
RoleManagement 将成员添加到角色
RoleManagement 将成员添加到受限管理单元范围内的角色
RoleManagement 将角色分配添加到角色定义
RoleManagement 获取角色定义
RoleManagement 从模板添加角色
RoleManagement 将带有范围的成员添加到角色
RoleManagement 删除角色定义
RoleManagement 从 RoleDefinition 中删除 EligibleRoleAssignment
RoleManagement 从角色中删除符合条件的成员
RoleManagement 从角色中删除成员
RoleManagement 删除受限管理单元范围内角色中的成员
RoleManagement 从角色定义中删除角色分配
RoleManagement 从角色中删除带有范围的成员
RoleManagement 更新角色
RoleManagement 更新角色定义
UserManagement 向组添加应用角色分配
UserManagement 添加用户
UserManagement 添加用户发起人
UserManagement 更改用户许可证
UserManagement 更改用户密码
UserManagement 将联合用户转换为托管用户
UserManagement 为用户创建应用程序密码
UserManagement 为用户删除应用程序密码
UserManagement 删除用户
UserManagement 禁用强身份验证
UserManagement 禁用帐户
UserManagement 启用强身份验证
UserManagement 启用帐户
UserManagement 硬删除用户
UserManagement 删除分配给用户的 OrganizationalUnit
UserManagement 从用户删除应用角色分配
UserManagement 删除用户发起人
UserManagement 重置密码
UserManagement 还原用户
UserManagement 设置强制更改用户密码
UserManagement 设置用户管理器
UserManagement 克隆的接管用户
UserManagement 更新分配给用户的 OrganizationalUnit
UserManagement 更新 StsRefreshTokenValidFrom 时间戳
UserManagement 更新外部机密
UserManagement 更新用户

设备注册服务

如果需要管理已加入 Microsoft Entra ID 和 Microsoft Entra 混合的设备,请使用设备注册服务中捕获的日志查看对设备的更改。

审核类别 活动
设备 删除预创建的设备
设备 预创建设备
设备 恢复设备本地管理员密码
设备 注册设备
设备 取消注册设备
设备 更新本地管理员密码
KeyManagement 添加 BitLocker 密钥
KeyManagement 删除 BitLocker 密钥
KeyManagement 读取 BitLocker 密钥
策略 设置设备注册策略
UserManagement 添加密钥(设备绑定)
UserManagement 添加 Windows Hello 企业版凭据
UserManagement 添加无密码手机登录凭据
UserManagement 添加平台凭据
UserManagement 删除密钥(设备绑定)
UserManagement 删除 Windows Hello 企业版凭据
UserManagement 删除无密码手机登录凭据
UserManagement 删除平台凭据

权利管理

使用这些日志监视权利管理设置的更改。 权利管理可用于简化分配 Microsoft Entra 安全组成员、授予 Microsoft 365 许可证或提供对应用程序的访问权限的方式。 访问评审生命周期工作流的日志各不相同。

审核类别 活动
EntitlementManagement 添加权利管理角色分配
EntitlementManagement 管理员直接将用户分配到访问包
EntitlementManagement 管理员直接删除用户访问包分配
EntitlementManagement 访问包分配请求的审批阶段已完成
EntitlementManagement 批准访问包分配请求
EntitlementManagement 分配作为外部发起人的用户
EntitlementManagement 分配作为内部发起人的用户
EntitlementManagement 自动批准访问包分配请求
EntitlementManagement 取消访问包分配请求
EntitlementManagement 创建访问包
EntitlementManagement 创建访问包分配策略
EntitlementManagement 创建访问包分配用户更新请求
EntitlementManagement 创建访问包目录
EntitlementManagement 创建连接的组织
EntitlementManagement 创建自定义扩展
EntitlementManagement 创建不兼容的访问包
EntitlementManagement 创建不兼容的组
EntitlementManagement 创建资源环境
EntitlementManagement 创建资源删除请求
EntitlementManagement 创建资源请求
EntitlementManagement 删除访问包
EntitlementManagement 删除访问包分配策略
EntitlementManagement 删除访问包分配请求
EntitlementManagement 删除已删除用户的访问包分配策略
EntitlementManagement 删除访问包目录
EntitlementManagement 删除连接的组织
EntitlementManagement 删除自定义扩展
EntitlementManagement 删除不兼容的访问包
EntitlementManagement 删除不兼容的组
EntitlementManagement 拒绝访问包分配请求
EntitlementManagement 权利管理为用户创建访问包分配请求
EntitlementManagement 权利管理删除用户的访问包分配请求
EntitlementManagement 执行自定义扩展
EntitlementManagement 扩展访问包分配
EntitlementManagement 访问包分配请求失败
EntitlementManagement 完成访问包分配请求
EntitlementManagement 完成访问包资源分配
EntitlementManagement 部分完成访问包分配请求
EntitlementManagement 准备完成访问包分配请求
EntitlementManagement 删除权利管理角色分配
EntitlementManagement 删除访问包资源分配
EntitlementManagement 删除作为外部发起人的用户
EntitlementManagement 删除作为内部发起人的用户
EntitlementManagement 计划将来的访问包分配
EntitlementManagement 更新访问包
EntitlementManagement 更新访问包分配策略
EntitlementManagement 更新访问包分配请求
EntitlementManagement 更新访问包目录
EntitlementManagement 更新访问包目录资源
EntitlementManagement 更新连接的组织
EntitlementManagement 更新自定义扩展
EntitlementManagement 更新审批者的请求答复
EntitlementManagement 更新租户设置
EntitlementManagement 用户请求访问包分配
EntitlementManagement 用户代表服务主体请求访问包分配
EntitlementManagement 扩展请求扩展访问包分配
EntitlementManagement 扩展请求删除访问包分配

全局安全访问

如果使用的是 Microsoft Entra Internet 访问或 Microsoft Entra 专用访问来获取和保护流向企业资源的网络流量,这些日志可帮助你发现何时网络策略发生更改。 这些日志捕获对流量转发策略和远程网络(例如分支位置)的更改。 有关详细信息,请参阅什么是全局安全访问

审核类别 活动
ApplicationManagement 创建证书
ApplicationManagement 删除证书
ApplicationManagement 更新证书
ObjectManagement 登出进程已启动
ObjectManagement 加入进程已启动
ObjectManagement 更新自适应访问策略
ObjectManagement 更新扩充的审核日志设置
ObjectManagement 更新转发选项策略
PolicyManagement 创建筛选策略
PolicyManagement 创建筛选策略配置文件
PolicyManagement 创建远程网络
PolicyManagement 创建安全提供程序策略
PolicyManagement 删除筛选策略
PolicyManagement 删除筛选策略配置文件
PolicyManagement 删除转发策略
PolicyManagement 删除专用访问策略
PolicyManagement 删除远程网络
PolicyManagement 删除安全提供程序策略
PolicyManagement 更新筛选策略
PolicyManagement 更新筛选策略配置文件
PolicyManagement 更新筛选配置文件
PolicyManagement 更新转发选项策略
PolicyManagement 更新转发策略
PolicyManagement 更新转发配置文件
PolicyManagement 更新转发规则
PolicyManagement 更新专用访问策略
PolicyManagement 更新远程网络
PolicyManagement 更新安全提供程序策略
ResourceManagement 创建安全提供程序注册

混合身份验证

审核类别 活动
身份验证 将用户添加到功能推出
身份验证 从功能推出中删除用户

Microsoft Entra ID 保护(标识保护)

审核类别 活动
标识保护 更新 IdentityProtectionPolicy
标识保护 更新 NotificationSettings
其他 ConfirmAccountCompromised
其他 ConfirmAccountSafe
其他 ConfirmCompromised
其他 ConfirmSafe
其他 DismissRisk
其他 DismissUser
其他 confirmServicePrincipalCompromised
其他 DismissServicePrincipal

受邀用户

使用受邀用户日志可帮助管理受邀以来宾身份在租户中进行协作的用户的状态。 这些日志有助于排查向外部用户发送邀请时遇到的问题。

审核类别 活动
UserManagement 删除外部用户
UserManagement 电子邮件未发送,用户已取消订阅
UserManagement 邀请电子邮件
UserManagement 邀请外部用户
UserManagement 使用重置邀请状态邀请外部用户
UserManagement 邀请内部用户参与 B2B 协作
UserManagement 兑换外部用户邀请

生命周期工作流

生命周期工作流(预览版)非常适合用于自动执行与入职者、换岗者、离职者身份相关的流程,因此无需手动操作。 有关详细信息,请参阅生命周期工作流审核

审核类别 活动
其他 创建自定义任务扩展
其他 删除自定义任务扩展
其他 更新自定义任务扩展
TaskManagement 将任务添加到工作流
TaskManagement 禁用任务
TaskManagement 启用任务
TaskManagement 从工作流中删除任务
TaskManagement 更新任务
WorkflowManagement 添加执行条件
WorkflowManagement 添加工作流版本
WorkflowManagement 创建工作流
WorkflowManagement 删除工作流
WorkflowManagement 禁用工作流
WorkflowManagement 禁用工作流计划
WorkflowManagement 启用工作流
WorkflowManagement 启用工作流计划
WorkflowManagement 硬删除工作流
WorkflowManagement 按需工作流执行已完成
WorkflowManagement 还原工作流
WorkflowManagement 计划工作流执行已完成
WorkflowManagement 计划工作流执行已启动
WorkflowManagement 设置按需执行的工作流
WorkflowManagement 更新执行条件
WorkflowManagement 更新租户设置
WorkflowManagement 更新工作流

Microsoft Identity Manager (MIM) 服务

如果使用 MIM 根据业务策略和工作流自动执行标识和组预配,则这些审核日志可以帮助跟踪何时通过 MIM 服务对组和成员进行更改。

审核类别 活动
GroupManagement 添加组
GroupManagement 将成员添加到组
GroupManagement 将所有者添加到组
GroupManagement 删除组
GroupManagement 从组中删除成员
GroupManagement 从组中删除所有者
GroupManagement 更新组
UserManagement 用户密码注册
UserManagement 用户密码重置

移动性管理

审核类别 活动
身份验证 用户确认异常登录事件合法
身份验证 用户报告异常登录事件不合法
UserManagement 用户已更改默认安全信息
UserManagement 用户已删除安全信息
UserManagement 用户已注册安全信息
UserManagement 用户已启动安全信息注册

MyAccess

审核类别 活动
ApplicationManagement 创建应用程序集合

MyApps

使用 MyApps 审核日志确定何时将应用程序添加到 MyApp 门户的集合中。

审核类别 活动
ApplicationManagement 创建应用程序集合
ApplicationManagement 删除应用程序集合
ApplicationManagement 选择应用程序集合
ApplicationManagement 更新应用程序集合顺序
ApplicationManagement 更新预览设置

Privileged Identity Management (PIM)

PIM 审核日志中捕获的许多活动都是类似的,因此请注意续订时间限制永久等详细信息。 PIM 活动可以在 24 小时内生成许多日志,因此请利用筛选器缩小范围。 有关 PIM 服务中审核功能的详细信息,请参阅在 PIM 中查看 Microsoft Entra 角色的审核历史记录

审核类别 活动
ApplicationManagement 向角色添加成员已请求审批(PIM 激活)
ApplicationManagement 已将成员添加到 PIM 中的角色(时间限制)
ApplicationManagement 已请求向 PIM 中的角色添加成员(时间限制)
ApplicationManagement 批准请求 - 直接角色分配
ApplicationManagement PIM 激活请求已过期
ApplicationManagement 已删除 PIM 策略
ApplicationManagement 已从 PIM 的角色中删除成员(时间限制)
ApplicationManagement 删除请求
ApplicationManagement 已创建角色定义
ApplicationManagement 更新 PIM 中的角色设置
GroupManagement 已取消向 PIM 中的角色添加符合条件的成员(续订)
GroupManagement 已取消向 PIM 中的角色添加符合条件的成员(时间限制)
GroupManagement 已将符合条件的成员添加到 PIM 中的角色(永久)
GroupManagement 已将符合条件的成员添加到 PIM 中的角色(时间限制)
GroupManagement 已请求向 PIM 中的角色添加符合条件的成员(永久)
GroupManagement 已请求向 PIM 中的角色符合条件的成员(续订)
GroupManagement 将符合条件的成员添加到 PIM 请求的角色中(时间限制)
GroupManagement 向角色添加成员已请求审批(PIM 激活)
GroupManagement 已取消向角色添加成员(PIM 激活)
GroupManagement 已将成员添加到角色(PIM 激活)
GroupManagement 已取消向 PIM 中的角色添加成员(永久)
GroupManagement 已取消向 PIM 中的角色添加成员(续订)
GroupManagement 已取消向 PIM 中的角色添加成员(时间限制)
GroupManagement 已将成员添加到 PIM 中的角色(永久)
GroupManagement 已将成员添加到 PIM 中的角色(时间限制)
GroupManagement 已请求向 PIM 中的角色添加成员(永久)
GroupManagement 已请求向 PIM 中的角色添加成员(续订)
GroupManagement 已请求向 PIM 中的角色添加成员(时间限制)
GroupManagement 已批准将成员添加到角色请求(PIM 激活)
GroupManagement 已拒绝向角色添加成员的请求(PIM 激活)
GroupManagement 已请求向角色添加成员(PIM 激活)
GroupManagement 取消请求
GroupManagement 取消角色删除请求
GroupManagement 取消角色更新请求
GroupManagement 已登出 PIM 中的资源
GroupManagement 已将资源载入到 PIM
GroupManagement PIM 激活请求已过期
GroupManagement 已删除 PIM 策略
GroupManagement 处理请求
GroupManagement 处理角色删除请求
GroupManagement 已从 PIM 的角色中删除符合条件的成员(永久)
GroupManagement 已从 PIM 的角色中删除符合条件的成员(时间限制)
GroupManagement 已请求从 PIM 的角色中删除符合条件的成员(永久)
GroupManagement 已请求从 PIM 的角色中删除符合条件的成员(时间限制)
GroupManagement 从角色中删除成员(PIM 激活已过期)
GroupManagement 已从角色中删除成员(PIM 停用)
GroupManagement 已从 PIM 的角色中删除成员(永久)
GroupManagement 已从 PIM 的角色中删除成员(时间限制)
GroupManagement 已请求从 PIM 的角色中删除成员(永久)
GroupManagement 已请求从 PIM 的角色中删除成员(时间限制)
GroupManagement 已请求从角色中删除成员(PIM 停用)
GroupManagement 删除永久直接角色分配
GroupManagement 删除永久符合条件的角色分配
GroupManagement 删除请求
GroupManagement 已更新资源
GroupManagement 从已完成的 PIM 中的角色中还原符合条件的成员
GroupManagement 从角色中还原成员
GroupManagement 从已完成的 PIM 中的角色中还原成员
GroupManagement 还原永久直接角色分配
GroupManagement 已取消更新 PIM 中符合条件的成员(扩展)
GroupManagement 已请求更新 PIM 中符合条件的成员(扩展)
GroupManagement 管理员已批准更新 PIM 中的成员(扩展/续订)
GroupManagement 已取消更新 PIM 中的成员(扩展)
GroupManagement 管理员已拒绝更新 PIM 中的成员(扩展/续订)
GroupManagement 已请求更新 PIM 中的成员(扩展)
GroupManagement 更新 PIM 中的角色设置
ResourceManagement 已取消向 PIM 中的角色添加符合条件的成员(永久)
ResourceManagement 已取消向 PIM 中的角色添加符合条件的成员(续订)
ResourceManagement 已取消向 PIM 中的角色添加符合条件的成员(时间限制)
ResourceManagement 已将符合条件的成员添加到 PIM 中的角色(永久)
ResourceManagement 已将符合条件的成员添加到 PIM 中的角色(时间限制)
ResourceManagement 已请求向 PIM 中的角色添加符合条件的成员(永久)
ResourceManagement 已请求向 PIM 中的角色符合条件的成员(续订)
ResourceManagement 将符合条件的成员添加到 PIM 请求的角色中(时间限制)
ResourceManagement 向角色添加成员已请求审批(PIM 激活)
ResourceManagement 已取消向角色添加成员(PIM 激活)
ResourceManagement 已将成员添加到角色(PIM 激活)
ResourceManagement 已取消向 PIM 中的角色添加成员(续订)
ResourceManagement 已取消向 PIM 中的角色添加成员(时间限制)
ResourceManagement 已将成员添加到 PIM 中的角色(永久)
ResourceManagement 已将成员添加到 PIM 中的角色(时间限制)
ResourceManagement 已请求向 PIM 中的角色添加成员(永久)
ResourceManagement 已请求向 PIM 中的角色添加成员(续订)
ResourceManagement 已请求向 PIM 中的角色添加成员(时间限制)
ResourceManagement 向 PIM 外部角色添加成员(永久)
ResourceManagement 已批准将成员添加到角色请求(PIM 激活)
ResourceManagement 已拒绝向角色添加成员的请求(PIM 激活)
ResourceManagement 已请求向角色添加成员(PIM 激活)
ResourceManagement 取消请求
ResourceManagement 取消角色删除请求
ResourceManagement 取消角色更新请求
ResourceManagement 停用 PIM 警报
ResourceManagement 禁用 PIM 警报
ResourceManagement 启用 PIM 警报
ResourceManagement 已登出 PIM 中的资源
ResourceManagement 已载入 PIM 中的资源
ResourceManagement PIM 激活请求已过期
ResourceManagement 已删除 PIM 策略
ResourceManagement 处理请求
ResourceManagement 处理角色删除请求
ResourceManagement 处理角色更新请求
ResourceManagement 已从 PIM 的角色中删除符合条件的成员(永久)
ResourceManagement 已从 PIM 的角色中删除符合条件的成员(时间限制)
ResourceManagement 已请求从 PIM 的角色中删除符合条件的成员(永久)
ResourceManagement 已请求从 PIM 的角色中删除符合条件的成员(时间限制)
ResourceManagement 从角色中删除成员(PIM 激活已过期)
ResourceManagement 已从角色中删除成员(PIM 停用)
ResourceManagement 已从 PIM 的角色中删除成员(永久)
ResourceManagement 已从 PIM 的角色中删除成员(时间限制)
ResourceManagement 已请求从 PIM 的角色中删除成员(永久)
ResourceManagement 已请求从 PIM 的角色中删除成员(时间限制)
ResourceManagement 已请求从角色中删除成员(PIM 停用)
ResourceManagement 删除永久直接角色分配
ResourceManagement 删除永久符合条件的角色分配
ResourceManagement 删除请求
ResourceManagement 解决 PIM 警报
ResourceManagement 已更新资源
ResourceManagement 从已完成的 PIM 中的角色中还原符合条件的成员
ResourceManagement 从角色中还原成员
ResourceManagement 从已完成的 PIM 中的角色中还原成员
ResourceManagement 还原永久直接角色分配
ResourceManagement 还原永久符合条件的角色分配
ResourceManagement 已从 PIM 登出租户
ResourceManagement 已触发 PIM 警报
ResourceManagement 已取消更新 PIM 中符合条件的成员(扩展)
ResourceManagement 已请求更新 PIM 中符合条件的成员(扩展)
ResourceManagement 管理员已批准更新 PIM 中的成员(扩展/续订)
ResourceManagement 已取消更新 PIM 中的成员(扩展)
ResourceManagement 管理员已拒绝更新 PIM 中的成员(扩展/续订)
ResourceManagement 已请求更新 PIM 中的成员(扩展)
ResourceManagement 更新 PIM 中的角色设置
RoleManagement 已取消向 PIM 中的角色添加符合条件的成员(永久)
RoleManagement 已取消向 PIM 中的角色添加符合条件的成员(续订)
RoleManagement 已取消向 PIM 中的角色添加符合条件的成员(时间限制)
RoleManagement 已将符合条件的成员添加到 PIM 中的角色(永久)
RoleManagement 已将符合条件的成员添加到 PIM 中的角色(时间限制)
RoleManagement 已请求向 PIM 中的角色添加符合条件的成员(永久)
RoleManagement 已请求向 PIM 中的角色符合条件的成员(续订)
RoleManagement 将符合条件的成员添加到 PIM 请求的角色中(时间限制)
RoleManagement 向角色添加成员已请求审批(PIM 激活)
RoleManagement 已取消向角色添加成员(PIM 激活)
RoleManagement 已将成员添加到角色(PIM 激活)
RoleManagement 已取消向 PIM 中的角色添加成员(续订)
RoleManagement 已取消向 PIM 中的角色添加成员(时间限制)
RoleManagement 已将成员添加到 PIM 中的角色(永久)
RoleManagement 已将成员添加到 PIM 中的角色(时间限制)
RoleManagement 已请求向 PIM 中的角色添加成员(永久)
RoleManagement 已请求向 PIM 中的角色添加成员(续订)
RoleManagement 已请求向 PIM 中的角色添加成员(时间限制)
RoleManagement 向 PIM 外部角色添加成员(永久)
RoleManagement 已批准将成员添加到角色请求(PIM 激活)
RoleManagement 已拒绝向角色添加成员的请求(PIM 激活)
RoleManagement 已请求向角色添加成员(PIM 激活)
RoleManagement 取消角色删除请求
RoleManagement 取消角色更新请求
RoleManagement 停用 PIM 警报
RoleManagement 禁用 PIM 警报
RoleManagement 启用 PIM 警报
RoleManagement 已登出 PIM 中的资源
RoleManagement 已载入 PIM 中的资源
RoleManagement PIM 激活请求已过期
RoleManagement 已删除 PIM 策略
RoleManagement 处理请求
RoleManagement 处理角色删除请求
RoleManagement 处理角色更新请求
RoleManagement 刷新 PIM 警报
RoleManagement 已从 PIM 的角色中删除符合条件的成员(永久)
RoleManagement 已从 PIM 的角色中删除符合条件的成员(时间限制)
RoleManagement 已请求从 PIM 的角色中删除符合条件的成员(永久)
RoleManagement 已请求从 PIM 的角色中删除符合条件的成员(时间限制)
RoleManagement 从角色中删除成员(PIM 激活已过期)
RoleManagement 已从角色中删除成员(PIM 停用)
RoleManagement 已从 PIM 的角色中删除成员(永久)
RoleManagement 已从 PIM 的角色中删除成员(时间限制)
RoleManagement 已请求从 PIM 的角色中删除成员(永久)
RoleManagement 已请求从 PIM 的角色中删除成员(时间限制)
RoleManagement 已请求从角色中删除成员(PIM 停用)
RoleManagement 删除永久直接角色分配
RoleManagement 删除永久符合条件的角色分配
RoleManagement 删除请求
RoleManagement 解决 PIM 警报
RoleManagement 从已完成的 PIM 中的角色中还原符合条件的成员
RoleManagement 从角色中还原成员
RoleManagement 从已完成的 PIM 中的角色中还原成员
RoleManagement 还原永久直接角色分配
RoleManagement 还原永久符合条件的角色分配
RoleManagement 已从 PIM 登出租户
RoleManagement 已触发 PIM 警报
RoleManagement 更新 PIM 警报设置
RoleManagement 已取消更新 PIM 中符合条件的成员(扩展)
RoleManagement 已请求更新 PIM 中符合条件的成员(扩展)
RoleManagement 管理员已批准更新 PIM 中的成员(扩展/续订)
RoleManagement 已取消更新 PIM 中的成员(扩展)
RoleManagement 管理员已拒绝更新 PIM 中的成员(扩展/续订)
RoleManagement 已请求更新 PIM 中的成员(扩展)
RoleManagement 更新 PIM 中的角色设置

自助组管理

租户中的用户可以自行多方面管理其组成员身份。 使用自助服务组管理日志来帮助排查这些方案的问题。

此组中的许多活动都与用户活动相关的后台进程相关联。 例如,当用户访问 MyApps 或 MyGroups 门户时,可能会在日志中看到多个 Features_GetFeaturesAsync 实例。 此活动不指示用户是否已进行任何更改。 对于类似的用户操作,其他活动(例如 GroupsODataV4_Get)经常发生在组中。

审核类别 活动
GroupManagement ApprovalNotification_Create
GroupManagement Approval_Act
GroupManagement Approval_Get
GroupManagement Approval_GetAll
GroupManagement Approvals_Post
GroupManagement 批准要求加入组的挂起请求
GroupManagement 取消要求加入组的挂起请求
GroupManagement 创建生命周期管理策略
GroupManagement 删除要求加入组的挂起请求
GroupManagement 删除生命周期管理策略
GroupManagement Device_Create
GroupManagement Device_Delete
GroupManagement Device_Get
GroupManagement Device_GetAll
GroupManagement Features_GetFeaturesAsync
GroupManagement Features_IsFeatureEnabledAsync
GroupManagement Features_UpdateFeaturesAsync
GroupManagement GroupLifecyclePolicies_Get
GroupManagement GroupLifecyclePolicies_addGroup
GroupManagement GroupLifecyclePolicies_removeGroup
GroupManagement Group_AddMember
GroupManagement Group_AddOwner
GroupManagement Group_BatchValidateDynamicMembership
GroupManagement Group_Create
GroupManagement Group_Delete
GroupManagement Group_Get
GroupManagement Group_GetAll
GroupManagement Group_GetDynamicGroupProperties
GroupManagement Group_GetDynamicMembershipDeviceAttributes
GroupManagement Group_GetDynamicMembershipOperators
GroupManagement Group_GetDynamicMembershipUserBaseAttributes
GroupManagement Group_GetExpiryNotificationDate
GroupManagement Group_GetMembers
GroupManagement Group_GetOwners
GroupManagement Group_RemoveMember
GroupManagement Group_RemoveOwner
GroupManagement Group_Restore
GroupManagement Group_Update
GroupManagement Group_ValidateDynamicMembership
GroupManagement GroupsODataV4_Get
GroupManagement GroupsODataV4_GetgroupLifecyclePolicies
GroupManagement GroupsODataV4_evaluateDynamicMembership
GroupManagement Groups_CreateLink
GroupManagement Groups_Get
GroupManagement LcmPolicy_Get
GroupManagement LcmPolicy_RenewGroup
GroupManagement 拒绝要求加入组的挂起请求
GroupManagement 续订组
GroupManagement 请求加入组
GroupManagement 设置动态组属性
GroupManagement Settings_GetSettingsAsync
GroupManagement 更新生命周期管理策略
GroupManagement User_Create
GroupManagement User_Delete
GroupManagement User_Get
GroupManagement User_GetAll
GroupManagement User_GetMemberOf
GroupManagement User_GetOwnedObjects
其他 ApprovalNotification_Create
UserManagement 已更新 ConvergedUXV2 功能值
UserManagement 已更新 MyApps 功能值
UserManagement 更新 MyStaff 功能值
UserManagement 已更新 SSPRConvergence 功能值
UserManagement 已更新 SignInReports 功能值

自助服务密码管理

自助服务密码管理日志提供对用户和管理员对密码所做的更改或用户注册自助式密码重置的见解。

审核类别 活动
DirectoryManagement 对目录禁用密码写回
DirectoryManagement 对目录启用密码写回
UserManagement 被阻止进行自助密码重置
UserManagement 更改密码(自助服务)
UserManagement 重置密码(由管理员)
UserManagement 重置密码(自助服务)
UserManagement 已保存自助式密码重置的安全信息
UserManagement 自助密码重置流活动进度
UserManagement 解锁用户帐户(自助服务)

使用条款

审核类别 活动
策略 接受使用条款
策略 创建使用条款
策略 拒绝使用条款
策略 删除许可
策略 删除使用条款
策略 编辑使用条款
策略 发布使用条款

已验证的 ID

审核类别 活动
ResourceManagement 创建颁发机构
ResourceManagement 创建授权策略
ResourceManagement 创建合同
ResourceManagement 创建颁发策略
ResourceManagement 删除颁发策略
ResourceManagement Process POST /authorities/:issuerId/didInfo/signingKeys/rotate request
ResourceManagement Process POST /authorities/:issuerId/didInfo/signingKeys/synchronizeWithDidDocument request
ResourceManagement 撤销凭据
ResourceManagement 轮换签名密钥
ResourceManagement 正在载入租户
ResourceManagement 租户选择退出
ResourceManagement 更新 MyAccount 设置
ResourceManagement 更新颁发机构
ResourceManagement 更新协定
ResourceManagement 更新颁发策略
ResourceManagement 更新链接域

后续步骤