使用稽核記錄來追蹤和監視 intune Microsoft事件

在 Microsoft Intune 中，有稽核記錄包含產生變更的活動記錄。 例如，建立、更新 (編輯) 、刪除、指派和遠端動作都會建立稽核事件。

系統管理員可以檢閱稽核記錄，以追蹤和監視大部分 Intune 工作負載的事件。 已為所有客戶啟用稽核。 無法將其停用。

誰可以存取數據？

具有下列許可權的使用者可以檢閱稽核記錄：

• Intune 系統管理員Microsoft Entra 角色
• 指派給具有 稽核數據 - 讀 取許可權之 Intune 角色的系統管理員。 如需具有此許可權的內建 Intune 角色清單，請移至 Microsoft Intune 的內建角色許可權。

檢視稽核記錄

您可以檢閱監視群組中每個 Intune 工作負載的稽核記錄，例如合規性或條件式存取。

1. 登入 Microsoft Intune 系統管理中心。

2. 選取 [租使用者管理>稽核記錄]。

3. 系統會顯示記錄的清單。 從清單中選取記錄以查看活動詳細數據。

4. 如果有許多記錄，您可以：

   1. 選 取 [日期 ]，然後輸入開始和結束日期。 此日期範圍可以顯示上個月、周或日的記錄。

      

   2. 選 取 [新增篩選類別>]。 從清單中選取類別，例如 [合規性]、[ 裝置] 或 [角色]。 然後，選取 [ 套用]。

   3. 選 取 [新增篩選>活動]。 可用的選項取決於您選取的 [類別 ]。 然後，選取 [ 套用]。

      例如，如果您選取 [合規性 ] 類別，您的 活動 篩選選項看起來會類似下圖：

      

如需稽核記錄的相關信息，請移至：

• Intune 中的數據儲存和處理
• 在整個 Intune 中使用稽核記錄
• 在 Intune 中稽核、匯出或刪除個人資料

將記錄路由至 Azure 監視器

稽核記錄和作業記錄也可以路由傳送至 Azure 監視器。 在 Intune 系統管理中心中，選取 [租使用者管理>稽核記錄導出>]：

當您匯出時， .csv 檔案會在本機建立並儲存，可能在 中 C:\Users\UserName\AppData\Local\Temp\MicrosoftEdgeDownloads\GUID。

檢視 .csv 檔案時：

• 由 (動作專案) 所起 始，包含執行工作的人員及其執行位置的相關信息。

  例如，如果您在 Azure 入口網站的 Intune 中執行活動 ，則應用程式 一律 會列出 Microsoft Intune 入口網站擴充功能，而應用程式 識別碼 一律會使用相同的 GUID。

• [目標 (的 [) ] 區段會列出多個目標和已變更的屬性。

如需這項功能的詳細資訊，包括必要條件，請移至 將記錄數據傳送至記憶體、事件中樞或記錄分析。

使用圖形 API 擷取稽核事件

您也可以使用圖形 API 來取得一年的稽核事件。 如需詳細資訊，請移至 列出 auditEvents。

相關文章

• 將記錄數據傳送至記憶體、事件中樞或記錄分析
• 檢閱用戶端應用程式保護記錄