如何存取全球安全存取的稽核記錄 (預覽)

在調查對 Microsoft Entra 環境所做的變更或進行疑難排解時，Microsoft Entra 稽核記錄是寶貴的資訊來源。 與全球安全存取相關的變更會擷取在稽核記錄的數個類別中，例如，流量轉送設定檔、遠端網路管理等等。 本文描述如何使用稽核記錄來追蹤對全球安全存取環境的變更。

必要條件

若要存取租用戶的稽核記錄，您必須具備下列其中一個角色：

• 報告讀取者
• 安全性讀取者
• 安全性系統管理員

稽核記錄可在所有 Microsoft Entra 版本中取得。 儲存體及與分析和監視工具整合可能需要額外的授權和角色。

存取稽核記錄

有數種方式能夠檢視稽核記錄。 如需選項的詳細資訊及每個選項使用時機的建議，請參閱如何存取活動記錄。

從 Microsoft Entra 系統管理中心存取稽核記錄

您可以從 [全球安全存取] 和從 [Microsoft Entra ID 監視和健康情況] 存取稽核記錄。

從全球安全存取：

1. 使用其中一個必要角色登入 Microsoft Entra 系統管理中心。
2. 瀏覽至 [全球安全存取]>[監視器]>[稽核記錄]。 篩選條件會預先填入與全球安全存取相關的類別和活動。

從 Microsoft Entra 監視和健康情況：

1. 使用其中一個必要角色登入 Microsoft Entra 系統管理中心。
2. 瀏覽至 [身分識別] > [監視和健康情況] > [稽核記錄]。
3. 選取您要查詢的 [日期] 範圍。
4. 開啟 [服務] 篩選條件、選取 [全球安全存取]，然後選取 [套用]。
5. 開啟 [類別] 篩選條件、至少選取一個可用的選項，然後選取 [套用]。

儲存稽核記錄

稽核記錄資料預設只會保留 30 天，這不一定對所有組織都夠長。 如果您需要在 30 天後檢視或查詢記錄，您可能也想要將記錄與其他服務整合，以增強監視和分析。

• 將活動記錄串流至事件中樞以與其他工具整合，例如 Azure 監視器或 Splunk。
• 匯出活動記錄以進行儲存。
• 使用 Microsoft Sentinel 即時監視活動。

下一步

• 檢視網路流量記錄
• 存取擴充的 Microsoft 365 記錄