如何访问全球安全访问审核日志(预览版)

Microsoft Entra 审核日志是调查或排查 Microsoft Entra 环境更改问题时的重要信息来源。 与全局安全访问相关的更改按多个类别被捕获到审核日志中,例如流量转发配置文件、远程网络管理等。 本文介绍如何使用审核日志跟踪对全局安全访问环境的更改。

先决条件

若要访问租户的审核日志,必须具有以下角色之一:

  • 报告读取者
  • 安全读取者
  • 安全管理员

审核日志在所有版本的 Microsoft Entra 中都可用。 存储以及与分析和监视工具的集成可能需要额外的许可证和角色。

访问审核日志

可通过多种方式查看审核日志。 有关选项及何时使用每个选项的相关建议的详细信息,请参阅如何访问活动日志

通过 Microsoft Entra 管理中心访问审核日志

可通过“全局安全访问”和“Microsoft Entra ID 监视和运行状况”访问审核日志。

通过全局安全访问:

  1. 使用要求的角色之一登录到 Microsoft Entra 管理中心
  2. 浏览到“全球安全访问”>“监视器”>“审核日志”。 筛选器预先填充了与全局安全访问相关的类别和活动。

来自 Microsoft Entra 监视和运行状况:

  1. 使用要求的角色之一登录到 Microsoft Entra 管理中心
  2. 浏览到“标识”>“监视和运行状况”>“审核日志”。
  3. 选择要查询的日期范围。
  4. 打开“服务”筛选器,选择“全球安全访问”,然后选择“应用”。
  5. 打开“类别”筛选器,选择至少一个可用选项,然后选择“应用”。

保存审核日志

审核日志数据默认只会保留 30 天,此期限对于每家组织而言可能不够长。 如果需要在 30 天后查看或查询日志,可能会需要将日志与其他服务集成,以增强监视和分析。

后续步骤