管理员可以在 Azure 门户或 onPremisesSyncBehavior Microsoft Graph API 中使用 审核日志 来监视和报告其环境中的 SOA 更改。 它们还可以将 SOA 更改与第三方监视系统集成。 有关详细信息,请参阅 onPremisesSyncBehavior。
如何使用审核日志查看 SOA 更改
可以在 Azure 门户中访问审核日志。 他们保留过去 30 天内 SOA 更改的记录。
如何使用 Microsoft 图形 API 为 SOA 创建报表
可以使用 Microsoft Graph 报告数据,例如:
- 报告已完成 SOA 转换的对象数量
- 筛选已转换群组的数据
- 标识那些已进行 SOA 转换及其后被回滚的对象
筛选和计数转换的对象
onPremisesSyncBehavior API 可帮助你查看组的 isCloudManaged 属性。 可以将 isCloudManaged 属性设置为 true 转换组 SOA。
还可以调用 onPremisesSyncBehavior API 来查询其 SOA 转换为云管理的组数:
GET groups/{ID}/onPremisesSyncBehavior?$select=id,isCloudManaged
可以使用$search和$count查看所有具有转换的 SOA 的组对象。 在使用 $filter 或 $count 之前,需要在 Microsoft Graph 资源管理器的请求 标头 中设置 consistencyLevel = eventual:
GET groups?$filter=onPremisesSyncBehavior/isCloudManaged eq true&$select=id,displayName,isCloudManaged&$count=true
如何使用 Azure Monitor 通过 Log Analytics 创建工作簿和报表
可以将审核日志与 Azure 监控集成,并搜索以下事件以获取 SOA 操作:
如果对象未同步到云,则会记录事件 ID 6956,因为对象的 SOA 是云管理的。
当 SOA 传输回滚到本地时,对 AD DS 的组预配会停止同步更改,而无需删除 AD DS 组。 AD DS 组也会从配置范围中删除。 AD DS 组保持不变,AD DS 在下一个同步周期中恢复控制。 可以在 审核日志 中验证此对象不会发生同步,因为它在本地托管。
有关如何创建自定义查询的详细信息,请参阅 了解如何预配与 Azure Monitor 日志集成。