审核 Microsoft Entra Connect Sync 中的管理员事件(公共预览版)

2025 年 1 月,我们发布了 Microsoft Entra Connect Sync 的新版本 (2.4.129.0)。此版本包含默认启用的审核更新。 通过此更新,现在可以监视管理员事件和活动。 以下文章介绍如何禁用审核功能。

如何手动禁用管理员事件审核

若要禁用管理员事件的审核,请使用以下步骤:

  1. 打开注册表编辑器 - 按 Win + R 打开运行对话框。
  2. 键入 regedit,然后按 Enter 启动注册表编辑器。 确认所有安全提示以继续。
  3. 导航到以下路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Azure AD Connect
  4. 右键单击 Azure AD Connect 密钥,修改或创建 AuditEventLogging 值,如果 AuditEventLogging 值不存在,请选择“新建 ” ->DWORD (32 位) 值。
  5. 将新的 DWORD 命名为 审核事件日志记录
  6. 双击 AuditEventLogging 条目,然后输入 0 以禁用审核事件日志记录。 输入 1 以重新启用它。

新的 AuditEventLogging 注册表项的屏幕截图。

如何使用 PowerShell 禁用管理员事件的审核

还可以使用 PowerShell 禁用管理员事件的审核日志记录。 使用以下脚本。

#Declare variables
$registryPath = 'HKLM:\SOFTWARE\Microsoft\Azure AD Connect'
$valueName = 'AuditEventLoggging'
$newValue = '0'

#Create the AuditEventLogging key if it doesn't exist
if (!(Test-Path $registryPath)) {New-Item -Path $registryPath -Force}

#Set the value of the new AuditEventLogging key
Set-ItemProperty -Path $registryPath -Name $valueName -Value $newValue

记录的事件列表

下表是使用新的审核功能记录的事件列表。 若要查看事件,请使用事件查看器并查看应用程序日志。

事件查看器的屏幕截图。

EventID 活动名称 描述
2503 添加/更新/删除目录 提供受影响目录的名称
2504 启用快速设置模式 管理员选择“快速设置”时,将记录此事件
2505 启用/禁用域和 OU 以进行同步 显示连接到 Connect 同步的所有域的列表
2506 启用/禁用 PHS 同步 显示密码哈希同步已启用或禁用
2507 安装后启用/禁用同步启动 在安装完成后启用或禁用同步时,将记录事件
2508 创建 ADDS 帐户 显示连接到已添加的新目录所需的已创建帐户
2509 使用现有 ADDS 帐户 显示用于连接到目录的帐户的名称
2510 创建/更新/删除自定义同步规则 显示已更改的同步规则的名称以及更改内容的信息
2511 启用/禁用基于域的筛选 显示已选择域过滤功能并列出选定的域
2512 启用/禁用基于 OU 的筛选 显示已选择基于 OU 的筛选,并列出选定的 OU
2513 用户 Sign-In 方法已更改 显示旧登录方法和新登录方法
2514 配置新的 ADFS 服务器场 显示联合身份验证服务名称
2515 启用/禁用单一登录 显示单一登录更改
2516 安装 Web 应用程序代理服务器 显示选定的 ADFS 服务器和域管理员用户名
2517 设置权限 显示已更改的特定 AD Sync 权限
2518 更改 ADDS 连接器凭据 显示 ADDS 连接器凭据已更改
2519 重新初始化 Entra ID 连接器帐户密码 显示 AD Sync 服务帐户密码已重置
2520 安装 ADFS 服务器 显示所选服务器
2521 设置 ADFS 服务帐户 指定是组托管的用户还是域用户。 包括管理员用户名

后续步骤