Så här analyserar du aktivitetsloggar med Microsoft Graph

Microsoft Entra-rapporterings-API :er ger dig programmatisk åtkomst till data via en uppsättning REST-API:er. Du kan anropa dessa API:er från många programmeringsspråk och verktyg. Microsoft Graph API är inte utformat för att hämta stora mängder aktivitetsdata. Att hämta stora mängder aktivitetsdata med hjälp av API:et kan leda till problem med sidnumrering och prestanda.

Den här artikeln beskriver hur du analyserar Microsoft Entra-aktivitetsloggar med Microsoft Graph Explorer och Microsoft Graph PowerShell.

Förutsättningar

• Licens- och rollkrav finns i Microsoft Entra-övervakning och hälsolicensiering.
• Om du vill godkänna de behörigheter som krävs behöver du den globala administratören.

Om du vill göra begäranden till Microsoft Graph-API:et måste du först:

• Registrera din app
• Hämta autentiseringstoken för en användare eller tjänst

Få åtkomst till rapporter med Microsoft Graph Explorer

Med alla förutsättningar konfigurerade kan du köra aktivitetsloggfrågor i Microsoft Graph. Mer information om Microsoft Graph-frågor för aktivitetsloggar finns i Översikt över API för aktivitetsrapporter.

1. Starta Microsoft Graph Explorer-verktyget.

2. Välj din profil och välj sedan Ändra behörigheter.

3. Medgivande till följande behörigheter som krävs:

   • AuditLog.Read.All
   • Directory.Read.All

4. Använd någon av följande frågor för att börja använda Microsoft Graph för att komma åt aktivitetsloggar:

   • GET https://graph.microsoft.com/v1.0/auditLogs/directoryAudits
   • GET https://graph.microsoft.com/v1.0/auditLogs/signIns
   • GET https://graph.microsoft.com/v1.0/auditLogs/provisioning

   

Finjustera dina frågor

Om du vill söka efter specifika aktivitetsloggposter använder du frågeparametrarna $filter och createdDateTime med någon av de tillgängliga egenskaperna. Några av följande frågor använder beta slutpunkten. Betaslutpunkten kan komma att ändras och rekommenderas inte för produktionsanvändning.

• Inloggningsloggegenskaper
• Egenskaper för granskningslogg

Prova att använda följande frågor:

• För inloggningsförsök där villkorsstyrd åtkomst misslyckades:

  • GET https://graph.microsoft.com/v1.0/auditLogs/signIns?&$filter=conditionalAccessStatus eq 'failure'

• Så här hittar du inloggningar till ett specifikt program:

  • GET https://graph.microsoft.com/v1.0/auditLogs/signIns?&$filter=(createdDateTime ge 2024-01-13T14:13:32Z and createdDateTime le 2024-01-14T17:43:26Z) and appId eq 'APP ID'

• För icke-interaktiva inloggningar:

  • GET https://graph.microsoft.com/beta/auditLogs/signIns?&$filter=(createdDateTime ge 2024-01-13T14:13:32Z and createdDateTime le 2024-01-14T17:43:26Z) and signInEventTypes/any(t: t eq 'nonInteractiveUser')

• För inloggningar med tjänstens huvudnamn:

  • GET https://graph.microsoft.com/beta/auditLogs/signIns?&$filter=(createdDateTime ge 2024-01-13T14:13:32Z and createdDateTime le 2024-01-14T17:43:26Z) and signInEventTypes/any(t: t eq 'servicePrincipal')

• För inloggningar med hanterad identitet:

  • GET https://graph.microsoft.com/beta/auditLogs/signIns?&$filter=(createdDateTime ge 2024-01-13T14:13:32Z and createdDateTime le 2024-01-14T17:43:26Z) and signInEventTypes/any(t: t eq 'managedIdentity')

• Så här hämtar du autentiseringsmetoden för en användare:

  • GET https://graph.microsoft.com/beta/users/{userObjectId}/authentication/methods
  • Kräver UserAuthenticationMethod.Read.All behörighet

• Så här visar du rapporten med användarregistreringsinformation:

  • GET https://graph.microsoft.com/beta/reports/authenticationMethods/userRegistrationDetails
  • Kräver UserAuthenticationMethod.Read.All behörighet

• För registreringsinformation för specifik användare:

  • GET https://graph.microsoft.com/beta/reports/authenticationMethods/userRegistrationDetails/{userId}
  • Kräver UserAuthenticationMethod.Read.All behörighet

Relaterade API:er

När du är bekant med standardloggarna för inloggning och granskning kan du prova att utforska dessa andra API:er:

• API:er för identitetsskydd
• API för etableringsloggar

Få åtkomst till rapporter med Microsoft Graph PowerShell

Du kan använda PowerShell för att komma åt Microsoft Entra-rapporterings-API:et. Mer information finns i Översikt över Microsoft Graph PowerShell.

Microsoft Graph PowerShell-cmdletar:

• GranskningsloggarGet-MgAuditLogDirectoryAudit:
• InloggningsloggarGet-MgAuditLogSignIn:
• Etableringsloggar:Get-MgAuditLogProvisioning
• Utforska den fullständiga listan över rapporteringsrelaterade Microsoft Graph PowerShell-cmdletar.

Vanliga fel

Fel: Varken klientorganisationen är B2C eller så har klientorganisationen ingen premiumlicens: För åtkomst till inloggningsrapporter krävs en Microsoft Entra ID P1- eller P2-licens. Om du ser det här felmeddelandet vid åtkomst till inloggningar kontrollerar du att din klientorganisation är licensierad med en Microsoft Entra ID P1-licens.

Fel: Användaren har inte de tillåtna rollerna: Om du ser det här felmeddelandet när du försöker komma åt granskningsloggar eller inloggningar med hjälp av API:et kontrollerar du att ditt konto ingår i rollen Säkerhetsläsare eller Rapportläsare i din Microsoft Entra-klientorganisation.

Fel: Programmet saknar Microsoft Entra-ID:t "Läs katalogdata" eller "Läs alla granskningsloggdata"-behörighet: Programmet måste ha antingen AuditLog.Read.All eller Directory.Read.All behörighet att komma åt aktivitetsloggarna med Microsoft Graph.

Nästa steg

• Kom igång med Microsoft Entra ID Protection och Microsoft Graph
• Granska API-referens
• API signIn-referens