如何在 Microsoft Entra ID 中下載記錄

Microsoft Entra 系統管理中心可讓您存取三種類型的活動記錄:

  • 登入:登入及使用者如何使用您資源的相關資訊。
  • 核:套用至租使用者之變更的相關信息,例如使用者和群組管理,或套用至租用戶資源的更新。
  • 布建:布建服務所執行的活動,例如在 ServiceNow 中建立群組,或從 Workday 匯入的使用者。

Microsoft Entra ID 會根據您的授權,儲存特定期間的活動記錄。 如需詳細資訊,請參閱 Microsoft Entra 數據保留。 藉由下載記錄,您可以控制儲存記錄的時間長度。 本文說明如何在 Microsoft Entra ID 中下載活動記錄。

必要條件

  • 如需授權和角色需求,請參閱 Microsoft Entra 監視和健康情況授權
  • 下載記錄的選項適用於所有版本的 Microsoft Entra ID。
  • 使用 Microsoft Graph 以程式設計方式下載記錄需要 進階授權
  • 報表讀者 是檢視 Microsoft Entra 活動記錄所需的最低特殊許可權角色。

記錄下載考慮

下載記錄之前,請先檢閱下列考慮和秘訣:

  • Microsoft Entra ID 支援下列格式的下載:
    • CSV
    • JSON
  • 所下載檔案中的時間戳是以UTC為基礎。
  • 您可以下載每個檔案最多 100,000 筆登入或布建記錄。
  • 每個檔案最多可以下載 250,000 筆稽核記錄。
  • 在您下載記錄以縮小數據集範圍之前,請先設定篩選條件。

注意

如果您嘗試下載大型數據集,Microsoft Entra 系統管理中心下載服務將會逾時。 一般而言,稽核記錄小於 250,000 的數據集,以及 100,000 個用於登入和布建記錄的數據集,適用於瀏覽器下載功能。

如果您在瀏覽器中完成大型下載時遇到問題,請使用 報告 API 來下載資料,或 透過診斷設定將記錄傳送至端點。

注意

下載記錄中的數據行不會變更。 不論您在 Microsoft Entra 系統管理中心自定義的數據行為何,輸出都會包含稽核或登入記錄的所有詳細數據。 不過,如果您設定自定義篩選條件,則下載記錄中的輸出只會包含符合篩選的結果。

如何下載活動記錄

您可以從 Microsoft Entra ID 的 [監視和健康情況] 區段,或從您正在工作的 Microsoft Entra ID 區域存取活動記錄。

例如,如果您位於 Microsoft Entra ID 的 [群組 ] 或 [授權] 區 段中,您可以直接從該區域存取這些特定活動的稽核記錄。 以這種方式存取稽核記錄時,會自動設定篩選類別。 如果您是在群組,稽核記錄篩選類別會設定為 GroupManagement

Microsoft Entra ID 授權區域的螢幕快照,其中已醒目提示 [稽核記錄] 選項。

稽核記錄

提示

本文中的步驟可能會根據您從開始的入口網站稍有不同。

  1. 以至少報表讀者身分登入 Microsoft Entra 系統管理中心

  2. 流覽至 [身分識別>監視與健康情況>稽核記錄]。

  3. 選取 [下載]。

  4. 在開啟的面板中,選取 [ 格式]。

  5. 選擇性地提供唯一的檔名。

  6. 選取下載按鈕。 下載會處理檔案,並將檔案傳送至您的預設下載位置。

    稽核記錄下載程序的螢幕快照。

登入記錄

本節涵蓋的選項與登入記錄的預覽體驗一致。

  1. 以至少報表讀者身分登入 Microsoft Entra 系統管理中心

  2. 流覽至 [身分>識別監視與健康情況>登入記錄]。

  3. 選取 [ 下載] 按鈕,然後選取 JSONCSV

    登入記錄的下載按鈕選項螢幕快照。

  4. 選擇性地為每個您需要下載的檔案提供唯一的檔名。

  5. 選取一或多個記錄的 [ 下載 ] 按鈕。 下載會處理檔案,並將檔案傳送至您的預設下載位置。

    登入記錄下載選項的螢幕快照。

佈建記錄

  1. 以至少報表讀者身分登入 Microsoft Entra 系統管理中心

  2. 流覽至 [身分>識別監視與健康情況>布建記錄]。

  3. 選取 [ 下載] 按鈕,然後選取 JSONCSV

  4. 選擇性地為每個您需要下載的檔案提供唯一的檔名。

  5. 選取一或多個記錄的 [ 下載 ] 按鈕。 下載會處理檔案,並將檔案傳送至您的預設下載位置。

    • 佈建記錄
    • 使用布建步驟布建記錄
    • 使用修改的屬性布建記錄

    布建記錄下載選項的螢幕快照。