稽核Microsoft Entra Connect Sync 中的系統管理員事件 (公開預覽)
在 2025 年 1 月,我們發行了 Microsoft Entra Connect Sync 的新版本 (2.4.129.0)。此版本包含預設啟用的稽核更新。 透過此更新,您現在可以監視系統管理員事件和活動。 下列文章說明如何停用稽核功能。
如何手動停用系統管理員事件的稽核
若要停用系統管理員事件的稽核,請使用下列步驟:
- 開啟註冊表編輯器 - 按 Win + R 開啟執行對話框。
- 輸入 regedit,然後按 Enter 以啟動註冊表編輯器。 確認任何安全性提示以繼續進行。
- 瀏覽至下列路徑:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Azure AD Connect。
- 在 Azure AD Connect 機碼上右擊,若未存在 AuditEventLogging Value,請選取 [新增] ->DWORD (32 位) 值 來修改或建立該值。
- 將新的 DWORD 命名為 "AuditEventLogging" 。
- 按兩下 AuditEventLogging 項目,然後輸入 0 來停用稽核事件記錄。 輸入 1 以重新啟用它。
如何使用 PowerShell 來停用系統管理員事件的稽核
您也可以使用 PowerShell 來停用系統管理員事件的稽核記錄。 使用下列腳本。
#Declare variables
$registryPath = 'HKLM:\SOFTWARE\Microsoft\Azure AD Connect'
$valueName = 'AuditEventLoggging'
$newValue = '0'
#Create the AuditEventLogging key if it doesn't exist
if (!(Test-Path $registryPath)) {New-Item -Path $registryPath -Force}
#Set the value of the new AuditEventLogging key
Set-ItemProperty -Path $registryPath -Name $valueName -Value $newValue
記錄的事件清單
下表是使用新稽核功能記錄的事件清單。 若要檢視事件,請使用事件查看器並查看應用程式記錄檔。
| EventID | EventName | 描述 |
|---|---|---|
| 2503 | 新增/更新/刪除目錄 | 提供受影響目錄的名稱 |
| 2504 | 啟用快速設定模式 | 系統管理員選取 [快速設定] 時,將會記錄此事件 |
| 2505 | 啟用/停用網域和 OU 以進行同步處理 | 顯示連線至連線同步的所有網域清單 |
| 2506 | 啟用/停用 PHS 同步處理 | 顯示已啟用或停用密碼哈希同步 |
| 2507 | 安裝後啟用/停用同步 | 安裝完成後,啟用或停用同步時,會記錄事件。 |
| 2508 | 建立 ADDS 帳戶 | 顯示連線至新增之新目錄所需的已建立帳戶 |
| 2509 | 使用現有的 ADDS 帳戶 | 顯示用來連線到目錄的帳戶名稱 |
| 2510 | 建立/更新/刪除自定義同步處理規則 | 顯示已變更的同步處理規則名稱,以及變更內容的相關信息 |
| 2511 | 啟用/停用網域型篩選 | 顯示已選取網域篩選,並列出選取的網域 |
| 2512 | 啟用/停用 OU 型篩選 | 顯示已選取 OU 型篩選,並列出選取的 OU |
| 2513 | 使用者 Sign-In 的方法已變更 | 顯示舊的登入方法和新的登入方法 |
| 2514 | 設定新的ADFS伺服器陣列 | 顯示同盟服務名稱 |
| 2515 | 啟用/停用單一登錄 | 顯示單一登錄變更 |
| 2516 | 安裝 Web 應用程式 Proxy 伺服器 | 顯示選取的ADFS伺服器和網域管理員用戶名稱 |
| 2517 | 設定許可權 | 顯示特定 AD 同步許可權已變更 |
| 2518 | 變更 ADDS 連接器認證 | 顯示 ADDS 連接器認證已變更 |
| 2519 | 重新初始化 Entra ID 連接器帳戶密碼 | 顯示 AD Sync 服務帳戶密碼已重設 |
| 2520 | 安裝ADFS伺服器 | 顯示選取的伺服器 |
| 2521 | 設定ADFS服務帳戶 | 指定是群組管理的使用者或網域使用者。 包含系統管理員用戶名稱 |