如何在 Microsoft Entra ID 中存取活動記錄

在 Microsoft Entra 記錄中收集的資料可讓您評估 Microsoft Entra 租使用者的許多層面。 為了涵蓋廣泛的案例，Microsoft Entra ID 提供數個選項來存取您的活動記錄資料。 身為 IT 系統管理員，您必須瞭解這些選項的預期使用案例，以便針對您的案例選取正確的存取方法。

您可以使用下列方法來存取 Microsoft Entra 活動記錄和報告：

• 將活動記錄串流至事件中 樞 以與其他工具整合
• 透過 Microsoft Graph API 存取活動記錄
• 整合活動記錄與 Azure 監視器記錄
• 使用 Microsoft Sentinel 即時監視活動
• 在Azure 入口網站中 檢視活動記錄和報告
• 匯出儲存體和查詢的活動記錄

每個方法都會為您提供可能符合特定案例的功能。 本文說明這些案例，包括有關使用活動記錄中資料之相關報告的建議和詳細資料。 探索本文中的選項，以瞭解這些案例，以便選擇正確的方法。

提示

本文中的步驟可能會根據您從開始的入口網站稍有不同。

必要條件

所需的角色和授權可能會根據報表而有所不同。 全域管理員istrators 可以存取所有報表，但我們建議使用具有最低許可權存取權的角色來配合 零信任指導方針 。

記錄/ 報告	角色	授權
稽核	報告讀取者 安全性讀取者 安全性系統管理員 全域讀者	Microsoft Entra ID 的所有版本
登入	報告讀取者 安全性讀取者 安全性系統管理員 全域讀者	Microsoft Entra ID 的所有版本
佈建	與稽核和登入相同，加上 安全性操作員 應用程式系統管理員 Cloud App 管理員istrator 具有許可權的 provisioningLogs 自訂角色	進階版 P1 或 P2
使用方式和深入解析	安全性讀取者 報告讀取者 安全性系統管理員	進階版 P1 或 P2
Identity Protection*	安全性系統管理員 安全性操作員 安全性讀取者 全域讀取者	Microsoft Entra ID Free/Microsoft 365 Apps Microsoft Entra ID P1 或 P2

*Identity Protection 的存取和功能層級會隨著角色和授權而有所不同。 如需詳細資訊，請參閱 Identity Protection 的授權需求。

稽核記錄適用于您已授權的功能。 若要使用 Microsoft Graph API 存取登入記錄，您的租使用者必須具有與其相關聯的 Microsoft Entra ID P1 或 P2 授權。

將記錄串流至事件中樞以與 SIEM 工具整合

您必須將活動記錄串流至事件中樞，才能將活動記錄與安全性資訊和事件管理 （SIEM） 工具整合，例如 Splunk 和 SumoLogic。 您必須先在 Azure 訂用帳戶中設定事件中樞命名空間和事件中樞， 才能將記錄串流至事件 中樞。

建議的使用方式

您可以與事件中樞整合的 SIEM 工具可以提供分析和監視功能。 如果您已經使用這些工具來擷取其他來源的資料，您可以串流身分識別資料，以進行更全面的分析和監視。 針對下列案例類型，建議您將您的活動記錄串流至事件中樞：

• 如果您需要巨量資料串流平臺和事件擷取服務，每秒接收和處理數百萬個事件。
• 如果您想要使用即時分析提供者或批次處理/儲存體配接器來轉換和儲存資料。

快速步驟

1. 以至少安全性管理員istrator 身分登入 Microsoft Entra 系統管理中心 。
2. 建立事件中樞命名空間和事件中樞。
3. 流覽至 [ 身分 > 識別監視 & 健康情況 > 診斷設定]。
4. 選擇您要串流的記錄、選取 [ 串流至事件中樞 ] 選項，然後完成欄位。
   • 設定事件中樞命名空間和事件中樞
   • 深入瞭解將活動記錄串流至事件中樞

您的獨立安全性廠商應該提供如何將資料從Azure 事件中樞內嵌到其工具的指示。

使用 Microsoft Graph API 存取記錄

Microsoft Graph API 提供統一的程式設計模型，可讓您用來存取 Microsoft Entra ID P1 或 P2 租使用者的資料。 它不需要系統管理員或開發人員設定額外的基礎結構來支援您的腳本或應用程式。

建議的使用方式

使用 Microsoft Graph 總管，您可以執行查詢來協助您處理下列類型的案例：

• 檢視租使用者活動，例如對群組和何時進行變更的人員。
• 將 Microsoft Entra 登入事件標示為安全或已確認遭入侵。
• 擷取過去 30 天的應用程式登入清單。

快速步驟

1. 設定必要條件 。
2. 登入 Graph 總管 。
3. 設定 HTTP 方法和 API 版本。
4. 新增查詢，然後選取 [ 執行查詢] 按鈕。
   • 熟悉目錄稽核的 Microsoft Graph 屬性
   • 完成 MS Graph 快速入門手冊

整合記錄與 Azure 監視器記錄

透過 Azure 監視器記錄整合，您可以針對連線的資料啟用豐富的視覺效果、監視和警示。 Log Analytics 為 Microsoft Entra 活動記錄提供增強的查詢和分析功能。 若要整合 Microsoft Entra 活動記錄與 Azure 監視器記錄，您需要 Log Analytics 工作區。 您可以從該處透過 Log Analytics 執行查詢。

建議的使用方式

Microsoft Entra 記錄與 Azure 監視器記錄整合提供查詢記錄的集中式位置。 我們建議針對下列案例類型整合記錄與 Azure 監視器記錄：

• 比較 Microsoft Entra 登入記錄與其他 Azure 服務所發佈的記錄。
• 將登入記錄與Azure 應用程式深入解析相互關聯。
• 使用特定搜尋參數查詢記錄。

快速步驟

1. 以至少安全性管理員istrator 身分登入 Microsoft Entra 系統管理中心 。
2. 建立 Log Analytics 工作區 。
3. 流覽至 [ 身分 > 識別監視 & 健康情況 > 診斷設定]。
4. 選擇您要串流的記錄、選取 [ 傳送至 Log Analytics 工作區 ] 選項，然後完成欄位。
5. 流覽至身 分識別監視 & 健康 > 情況 > Log Analytics 並開始查詢資料。
   • 整合 Microsoft Entra 記錄與 Azure 監視器記錄
   • 瞭解如何使用 Log Analytics 進行查詢

使用 Microsoft Sentinel 監視事件

將登入和稽核記錄傳送至 Microsoft Sentinel，可為您的安全性作業中心提供近乎即時的安全性偵測和威脅搜捕。 威脅搜捕 一詞 是指主動式方法來改善環境的安全性狀態。 與傳統保護相反，威脅搜捕會嘗試主動識別可能危害系統的潛在威脅。 您的活動記錄資料可能是威脅搜捕解決方案的一部分。

建議的使用方式

如果您的組織需要安全性分析和威脅情報，建議您使用 Microsoft Sentinel 的即時安全性偵測功能。 如果您需要：

• 收集整個企業的安全性資料。
• 使用龐大的威脅情報來偵測威脅。
• 調查 AI 引導的重要事件。
• 快速回應並自動化保護。

快速步驟

1. 瞭解 必要條件 、 角色和許可權 。
2. 預估潛在成本 。
3. 上線至 Microsoft Sentinel 。
4. 收集 Microsoft Entra 資料 。
5. 開始搜捕威脅 。

透過 Microsoft Entra 系統管理中心檢視記錄

對於範圍有限的一次性調查， Microsoft Entra 系統管理中心 通常是尋找所需資料的最簡單方式。 這些報表的使用者介面提供篩選選項，讓您能夠尋找解決案例所需的專案。

Microsoft Entra 活動記錄中擷取的資料會用於許多報表和服務。 您可以檢閱一次性案例的登入、稽核和布建記錄，或使用報告來查看模式和趨勢。 活動記錄中的資料有助於填入 Identity Protection 報告，其提供 Microsoft Entra ID 可偵測及報告的資訊安全性相關風險偵測。 Microsoft Entra 活動記錄也會填入使用量和深入解析報告，其會提供租使用者應用程式的使用量詳細資料。

建議的使用方式

Azure 入口網站中提供的報表提供各種不同的功能，以監視租使用者中的活動和使用量。 下列使用和案例清單並不詳盡，因此請探索您需求的報表。

• 研究使用者的登入活動，或追蹤應用程式的使用量。
• 使用稽核記錄檢閱組名變更、裝置註冊和密碼重設的詳細資料。
• 使用 Identity Protection 報告來監視有風險的使用者、具風險的工作負載身分識別，以及有風險的登入。
• 若要確保您的使用者可以存取租使用者中使用的應用程式，您可以從使用量和深入解析檢閱 Microsoft Entra 應用程式活動 （預覽） 報告中的登入成功率。
• 比較使用者偏好的不同驗證方法與使用量和深入解析中的驗證方法報告。

快速步驟

使用下列基本步驟來存取 Microsoft Entra 系統管理中心中的報告。

Microsoft Entra 活動記錄

1. 流覽至 [ 身分 > 識別監視健康 > 情況稽 & 核記錄 / ] 登入記錄 / 布建記錄。
2. 根據您的需求調整篩選。
   • 瞭解如何篩選活動記錄
   • 探索 Microsoft Entra 稽核記錄類別和活動
   • 瞭解 Microsoft Entra 登入記錄中的基本資訊

Microsoft Entra ID Protection 報告

1. 流覽至 [ 保護 > 身分識別保護]。
2. 探索可用的報表。
   • 深入瞭解 Identity Protection
   • 瞭解如何調查風險

使用量和深入解析報告

1. 流覽至 [ 身分 > 識別監視 & 健康情況 > 使用狀況與深入解析]。
2. 探索可用的報表。
   • 深入瞭解使用量和深入解析報告

匯出儲存體和查詢的記錄

長期儲存體的正確解決方案取決於您的預算，以及您打算對資料執行的作業。 您有三個選項：

• 將記錄封存至Azure 儲存體
• 下載手動儲存體的記錄
• 整合記錄與 Azure 監視器記錄

如果您不打算經常查詢資料，則Azure 儲存體是正確的解決方案。 如需詳細資訊，請參閱 將目錄記錄封存至儲存體帳戶 。

如果您打算經常查詢記錄以執行報告或對儲存的記錄執行分析，您應該 將資料與 Azure 監視器記錄 整合。

如果您的預算很緊，而且您需要一個廉價的方法來建立活動記錄的長期備份，您可以 手動下載記錄 。 入口網站中活動記錄的使用者介面可讓您選擇將資料下載為 JSON 或 CSV 。 手動下載的一個取捨是，它需要更多的手動互動。 如果您要尋找更專業的解決方案，請使用 Azure 儲存體 或 Azure 監視器。

建議的使用方式

建議您設定儲存體帳戶，以針對需要長期儲存體的治理和合規性案例，封存您的活動記錄。

如果您想要長期儲存 ，而且 想要對資料執行查詢，請檢閱將活動記錄與 Azure 監視器記錄 整合的區段 。

如果您有預算限制，建議您手動下載並儲存活動記錄。

快速步驟

使用下列基本步驟來封存或下載您的活動記錄。

將活動記錄封存至儲存體帳戶

1. 以至少安全性管理員istrator 身分登入 Microsoft Entra 系統管理中心 。
2. 建立儲存體帳戶。
3. 流覽至 [ 身分 > 識別監視 & 健康情況 > 診斷設定]。
4. 選擇您要串流的記錄，選取 [ 封存至儲存體帳戶 ] 選項，然後完成欄位。
   • 檢閱資料保留原則

手動下載活動記錄

1. 以至少報表讀者身分登入 Microsoft Entra 系統管理中心。
2. 流覽至 [ 身分 > 識別監視健康 > 情況稽 &/ 核記錄] [登入 / 記錄]，從 [ 監視 ] 功能表布建記錄。
3. 選取 [下載]。
   • 深入瞭解如何下載記錄 。

下一步

• 將記錄串流至事件中樞
• 將記錄封存至儲存體帳戶
• 整合記錄與 Azure 監視器記錄