管理员可以在 Azure 门户或 onPremisesSyncBehavior Microsoft Graph API 中使用 审核日志 来监视和报告其环境中的 SOA 更改。 它们还可以将 SOA 更改与第三方监视系统集成。 有关详细信息,请参阅 onPremisesSyncBehavior。
如何使用审核日志查看 SOA 更改
可以在 Azure 门户中访问审核日志。 他们保留过去 30 天内 SOA 更改的记录。
选择管理Microsoft Entra ID>监控>审核日志,或在搜索栏中搜索审核日志。
选择活动为 将权威来源从 AD DS 更改为云。
或者,还可以查看用户何时将其授权来源从云端转移的活动。
还可以通过进行以下 API 调用来获取已还原 SOA 的所有用户的完整列表:
GET https://graph.microsoft.com/v1.0/users?$count=true&$filter=OnPremisesSyncEnabled ne true and OnPremisesImmutableId ne null
如何使用 Azure Monitor 通过 Log Analytics 创建工作簿和报表
可以将审核日志集成到 Azure 监控,并搜索以下事件以获取 SOA操作。
如果对象未同步到云,则会记录事件 ID 6956,因为对象的 SOA 是云管理的。
当 SOA 传输回滚到本地时,对 AD DS 的用户预配会停止同步更改,而无需删除 AD DS 用户。 AD DS 用户也会从配置范围中删除。 AD DS 用户保持不变,AD DS 在下一个同步周期中恢复控制。 可以在 审核日志 中验证此对象不会发生同步,因为它在本地托管。
有关如何创建自定义查询的详细信息,请参阅 了解如何预配与 Azure Monitor 日志集成。