Azure AD Auditing

Question

Можно ли провести аудит удаления пользователя из Azure AD с точки зрения удаления пользователя? Т.е. если Джон Доу удаляется из AAD, можно ли искать в каталоге это удаление по имени Джон Доу?

Кажется, что можно видеть, что Джейн Доу удалила Джона Доу, но в этом случае вам нужно знать, кто удалил учетную запись, что для организации из нескольких сотен человек фактически невозможно.

Спасибо Касси

Может проверять, кто удалил учетную запись, а не удаленную учетную запись.

Answer 1

Можно ли провести аудит удаления пользователя из Azure AD с точки зрения удаления пользователя? Т.е. если Джон Доу удаляется из AAD, можно ли искать в каталоге это удаление по имени Джон Доу?

Конечно, перейдите в Azure Active Directory на портале -> Users -> Deleted users -> поиск по имени.

Кажется, что можно видеть, что Джейн Доу удалила Джона Доу, но в этом случае вам нужно знать, кто удалил учетную запись, что для организации из нескольких сотен человек фактически невозможно.

Я думаю, что это возможно. Вы можете перейти к Users -> Audit logs. Выберите фильтр, как на скриншоте: note цель должна быть идентификатором объекта учетной записи, которая была удалена, тогда INITIATED BY (ACTOR) - это тот, кто удалил учетную запись. Если у вас есть другие требования, просто замените фильтр.

Помимо , вы также можете использовать Microsoft Graph API: List directoryAudits , чтобы получить того, кто удалил учетную запись, 2a167196-12dxxxxxxx068824f2 является объектом идентификатор учетной записи, которая была удалена.

Sample

GET https://graph.microsoft.com/beta/auditLogs/directoryAudits?&filter=activityDisplayName eq 'Delete user' and targetResources/any(t:t/id eq '2a167196-12dxxxxxxx068824f2')  

Answer 2

Журналы аудита будут содержать информацию, которую вы ищете.Дата / время, активность, статус, целевой объект и информация об актере доступны.

Если перейти к экрану Azure AD, пользователи, в разделе «Активность» вы найдете параметр «Журналы аудита».

На этом экране вы также можете выполнить довольно продвинутую фильтрацию, чтобы отфильтровать конкретные типы действий (например, «Удалить пользователя») или выполнить поиск по цели или субъекту.

При поиске типов действий по удалению, если вы хотите указать цель, вам нужно будет искать ее по guid пользователя, а не по имени пользователя, так как тип действия удаления покажет составное значение guid+ имя пользователя.