Обзор API журналов аудита

Пространство имен: microsoft.graph

Важно!

API версии /beta в Microsoft Graph могут быть изменены. Использование этих API в производственных приложениях не поддерживается. Чтобы определить, доступен ли API в версии 1.0, используйте селектор версий.

Microsoft Entra предоставляет журнал аудита всех действий пользователей и приложений в клиенте, чтобы отслеживать все действия в клиенте, а также соответствовать требованиям. Эти журналы включают действия входа приложения и пользователя, а также изменения каталога.

Microsoft Entra политики хранения данных управляют доступностью этих отчетов о действиях.

Что такое отчеты об активности?

Microsoft Entra предоставляет следующие отчеты о действиях:

  • Журналы аудита каталога
  • Журналы аудита настраиваемых атрибутов безопасности
  • Самостоятельная регистрация (Внешняя идентификация Microsoft Entra)
  • Входы
  • Подготовка
  • Типы действий аудита
  • Сводка по событиям входа для каждого приложения
  • Количество событий входа в день
  • Сводные данные о входе в категорию

Доступные журналы аудита

Журналы аудита каталога

Журналы аудита каталога предоставляют доступ к журналу каждой задачи, выполняемой в клиенте пользователем или службой. Среди прочего, предоставленные данные позволяют решать распространенные сценарии, такие как:

  • Кто предоставил доступ группе администраторов к каталогу пользователя?
  • Какие пользователи входят в недавно приобретенное приложение?
  • Сколько сбросов паролей выполнено в каталоге?

Журналы аудита настраиваемых атрибутов безопасности

Журналы аудита настраиваемых атрибутов безопасности предоставляют журнал действий, связанных с настраиваемыми атрибутами безопасности, например добавление нового определения или назначение значения атрибута пользователю. Пользовательские журналы аудита атрибутов безопасности отделены от журналов аудита каталогов и имеют другую конечную точку. Чтобы просмотреть пользовательские журналы аудита атрибутов безопасности, необходимо назначить роль читателя журнала атрибутов или администратора журнала атрибутов. По умолчанию глобальный администратор не имеет доступа к этим журналам аудита.

Самостоятельная регистрация (Внешняя идентификация Microsoft Entra)

Отчет о регистрации поможет вам увидеть все попытки регистрации (неудачные и успешные) в Внешняя идентификация Microsoft Entra.

Входы

Журналы входа помогают определить, кто или что выполнял задачи, о которых сообщают журналы аудита каталогов. Журналы включают интерактивные входы пользователей, неинтерактивные входы пользователей, входы субъектов-служб и входы с управляемыми удостоверениями.

Отчет о входах помогает ответить на представленные ниже вопросы.

  • Какой шаблон входа использует пользователь?
  • Сколько пользователей выполнили вход за последнюю неделю?
  • Какое состояние у этих входов?

Подготовка

Журналы подготовки помогают просматривать все действия, выполняемые службой подготовки Microsoft Entra. Отчет о подготовке помогает ответить на представленные ниже вопросы.

  • Какие группы были успешно созданы в ServiceNow?
  • Какие роли были импортированы из Amazon Web Services?
  • Каких пользователей не удалось создать из Workday?

Типы действий аудита

AuditActivityType предоставляет список всех доступных типов действий аудита, а также соответствующие им службы и категории.

Сводка приложения "События входа"

SignInEventsAppActivity позволяет просмотреть общее количество событий входа для определенного приложения за последние 30 дней.

Сводка по событиям входа

SignInEventsActivity помогает просмотреть общее количество событий входа за определенный день.

Сводка по событиям входа

SummaryedSignIn позволяет просмотреть сводку по количеству событий входа для определенных категорий, сгруппированных по пользователю, приложению, IP-адресу и временному периоду.

Как можно использовать отчеты об активности в Microsoft Graph?

Ниже приведены популярные запросы для работы с данными отчетов.

Operation URL-адрес
Получение действий пользователей клиента https://graph.microsoft.com/beta/auditLogs/directoryAudits
Получение журналов аудита настраиваемых атрибутов безопасности https://graph.microsoft.com/beta/auditLogs/customSecurityAttributeAudits
Получение входов пользователей клиента https://graph.microsoft.com/beta/auditLogs/signIns
Получение журналов подготовки https://graph.microsoft.com/beta/auditLogs/provisioning
Регистрация пользователей клиента GET (самостоятельная) https://graph.microsoft.com/beta/auditLogs/signUps
Типы действий аудита GET https://graph.microsoft.com/beta/auditLogs/auditActivityTypes
Сводка по событиям входа GET https://graph.microsoft.com/beta/auditLogs/signInEventsAppSummary
Сводка по событиям входа в GET https://graph.microsoft.com/beta/auditLogs/signInEventsSummary
Сводка по событиям входа в субъект-службу GET https://graph.microsoft.com/beta/auditLogs/getSummarizedServicePrincipalSignIns
Сводка по событиям неинтерактивного входа в GET https://graph.microsoft.com/beta/auditLogs/getSummarizedNonInteractiveSignIns
Сводка по событиям входа в get managed service identity https://graph.microsoft.com/beta/auditLogs/getSummarizedMSISignIns

Требования лицензирования

Отчеты об активности доступны для компонентов, на которые у вас есть лицензии. Если у вас есть лицензия на определенный компонент, вам будет предоставлен доступ к соответствующим отчетам. Дополнительные сведения о требованиях к лицензиям для различных отчетов о действиях см. в разделе Microsoft Entra журналы аудита: требования к лицензиям и роли.

  • Last updated on