获取 Windows 365 审核日志
Windows 365 的审核日志包括生成云电脑更改的活动记录。 对于大多数用到 Graph 的云电脑操作而言,创建、更新(编辑)、删除、分配和远程操作均可创建能供管理员查看的审核事件。 默认为所有客户启用审核功能。 该功能无法禁用。
谁可以访问数据?
拥有以下权限的用户可以查看审核日志:
- Intune 服务管理员
- 全局管理员
- 分配到具有“审核数据 - 读取”权限的 Intune 角色的管理员
重要
Microsoft建议使用权限最少的角色。 这有助于提高组织的安全性。 全局管理员是一种高特权角色,在无法使用现有角色时,应仅限于紧急情况。
将 Windows 365 审核日志发送到 Azure Monitor 中的诊断设置
使用 Azure monitor 的诊断设置,可将平台日志和指标导出到所选目标。 最多可以创建五个不同的诊断设置,以将不同的日志和指标发送到独立目标。 有关详细信息,请参阅 Azure Monitor 中的诊断设置。
创建用于发送日志的诊断设置
- 确保拥有 Azure 帐户。
- 登录到 Microsoft Intune 管理中心,在“Azure 监视器”下选择“报告>诊断设置 (”) >“添加诊断设置”。
- 在 “日志”下,选择“ Windows365AuditLogs”。
- 在“ 目标详细信息”下,选择目标并提供详细信息。
- 选择“保存”。
使用图形 API 和 PowerShell 检索审核事件
若要获取 Windows 365 租户的审核日志事件,请执行以下步骤:
安装 SDK
- 在 PowerShell 中,运行以下命令:
Install-Module Microsoft.Graph.Beta -Scope CurrentUser -AllowClobber - 运行以下命令来验证安装:
Get-InstalledModule Microsoft.Graph.Beta - 若要获取所有云电脑 Graph 终结点,请运行此命令:
Get-Command -Module Microsoft.Graph* *virtualEndpoint*
登录
- 运行以下两个命令之一:
Connect-MgGraph -Scopes "CloudPC.ReadWrite.All"Connect-MgGraph -Scopes "CloudPC.Read.All"
- 在生成的网页上,使用具有相应读取和/或写入权限的用户帐户登录到租户。
- 使用以下命令切换到 Graph beta 版环境:
Select-MgProfile -Name "beta"
获取审核数据
可以通过多种方式查看审核数据。
获取审核事件的完整列表,包括审核执行组件
若要获取包括执行者(执行操作的人员)在内的审核事件的完整列表,请使用以下命令:
Get-MgBetaDeviceManagementVirtualEndpointAuditEvent | Select-Object -Property Actor,ActivityDateTime,ActivityType,ActivityResult -ExpandProperty Actor | Format-Table UserId, UserPrincipalName, ActivityType, ActivityDateTime, ActivityResult
获取审核事件列表
若要获取没有审核执行组件的审核事件列表,请使用以下命令:
Get-MgBetaDeviceManagementVirtualEndpointAuditEvent
若要获取所有事件,请使用 -All 参数:Get-MgBetaDeviceManagementVirtualEndpointAuditEvent -All
若要仅获取前 N 个事件,请使用以下参数:Get-MgBetaDeviceManagementVirtualEndpointAuditEvent -All -Top {TopNumber}
按事件 ID 获取单个事件
可以使用以下命令获取单个审核事件,需要在其中提供 {event ID}:Get-MgBetaDeviceManagementVirtualEndpointAuditEvent -CloudPcAuditEventId {event ID}