Microsoft Entra 稽核記錄是什麼？

Microsoft Entra 活動記錄包括稽核記錄，這是 Microsoft Entra ID 中每個記錄事件的完整報告。 應用程式、群組、使用者和授權的變更全都會在 Microsoft Entra 稽核記錄中擷取。

另外還有兩個活動記錄可用來協助監視租用戶的健康情況：

• 登入：登入及使用者如何使用您資源的相關資訊。
• 佈建 – 佈建服務執行的活動，例如在 ServiceNow 中建立群組，或從 Workday 匯入的使用者。

本文提供稽核記錄的概觀，例如其提供的資訊，以及他們可以回答的問題種類。

稽核記錄能讓您做什麼？

Microsoft Entra ID 中的稽核記錄可提供系統活動記錄的存取權，通常需要遵守合規性。 您可以取得使用者、群組和應用程式相關問題的解答。

使用者：

• 最近對使用者套用了哪些類型的變更？
• 已變更多少個使用者？
• 已變更多少個密碼？

群組:

• 最近新增了哪些群組？
• 是否已變更群組擁有者？
• 群組或使用者有哪些授權？

應用程式︰

• 已更新或移除哪些應用程式？
• 應用程式的服務主體變更了嗎？
• 應用程式的名稱變更了嗎？

自訂安全性屬性：

• 對自訂安全性屬性定義或指派進行了哪些變更？
• 對屬性集進行了哪些更新？
• 已將哪些自訂屬性值指派給使用者？

記錄內容為何？

稽核記錄預設為 [目錄] 索引標籤，其中顯示下列資訊：

• 發生的日期和時間
• 記錄發生的服務
• 活動分類和名稱 ([事件])
• 活動狀態 (成功或失敗)

[自訂安全性] 的第二個索引標籤會顯示自訂安全性屬性的稽核記錄。 若要檢視此索引標籤上的資料，您必須具有 [屬性記錄管理員] 或 [屬性記錄讀取器] 角色。 此稽核記錄會顯示與自訂安全性屬性相關的所有活動。 如需詳細資訊，請參閱什麼是自訂安全性屬性。

Microsoft 365 活動記錄

您可以從 Microsoft 365 系統管理中心中檢視 Microsoft 365 的活動記錄。 雖然 Microsoft 365 活動和 Microsoft Entra 活動記錄共用許多目錄資源，但只有 Microsoft 365 系統管理中心提供 Microsoft 365 活動記錄的完整檢視。

您也可以使用 Office 365 管理 API，以程式設計的方式存取 Microsoft 365 活動記錄。

大部分獨立或搭售的 Microsoft 365 訂用帳戶對 Microsoft 365 資料中心界限內的某些子系統具有後端相依性。 這些相依性需要一些資訊回寫才能保持目錄同步，而且本質上有助於在選擇加入 Exchange Online 的訂用帳戶的上線方面更不費力。 針對這些寫入備份，稽核記錄項目會顯示 Microsoft Substrate Management 所採取的動作。 這些稽核記錄項目是指 Exchange Online 對 Microsoft Entra ID 執行的建立/更新/刪除作業。 這些項目是參考資訊，不需要任何動作。