2025 年 1 月,我们发布了 Microsoft Entra Connect Sync 的新版本 (2.4.129.0)。此版本包含默认启用的审核更新。 通过此更新,现在可以监视管理员事件和活动。 以下文章介绍如何禁用审核功能。
如何手动禁用管理员事件审核
若要禁用管理员事件的审核,请使用以下步骤:
- 打开注册表编辑器 - 按 Win + R 打开运行对话框。
- 键入 regedit,然后按 Enter 启动注册表编辑器。 确认所有安全提示以继续。
- 导航到以下路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Azure AD Connect。
- 右键单击 Azure AD Connect 密钥,修改或创建 AuditEventLogging 值,如果 AuditEventLogging 值不存在,请选择“新建 ” ->DWORD (32 位) 值。
- 将新的 DWORD 命名为 审核事件日志记录。
- 双击 AuditEventLogging 条目,然后输入 0 以禁用审核事件日志记录。 输入 1 以重新启用它。
如何使用 PowerShell 禁用管理员事件的审核
还可以使用 PowerShell 禁用管理员事件的审核日志记录。 使用以下脚本。
#Declare variables
$registryPath = 'HKLM:\SOFTWARE\Microsoft\Azure AD Connect'
$valueName = 'AuditEventLoggging'
$newValue = '0'
#Create the AuditEventLogging key if it doesn't exist
if (!(Test-Path $registryPath)) {New-Item -Path $registryPath -Force}
#Set the value of the new AuditEventLogging key
Set-ItemProperty -Path $registryPath -Name $valueName -Value $newValue
记录的事件列表
下表是使用新的审核功能记录的事件列表。 若要查看事件,请使用事件查看器并查看应用程序日志。
| EventID | 活动名称 | 描述 |
|---|---|---|
| 2503 | 添加/更新/删除目录 | 提供受影响目录的名称 |
| 2504 | 启用快速设置模式 | 管理员选择“快速设置”时,将记录此事件 |
| 2505 | 启用/禁用域和 OU 以进行同步 | 显示连接到 Connect 同步的所有域的列表 |
| 2506 | 启用/禁用 PHS 同步 | 显示密码哈希同步已启用或禁用 |
| 2507 | 安装后启用/禁用同步启动 | 在安装完成后启用或禁用同步时,将记录事件 |
| 2508 | 创建 ADDS 帐户 | 显示连接到已添加的新目录所需的已创建帐户 |
| 2509 | 使用现有 ADDS 帐户 | 显示用于连接到目录的帐户的名称 |
| 2510 | 创建/更新/删除自定义同步规则 | 显示已更改的同步规则的名称以及更改内容的信息 |
| 2511 | 启用/禁用基于域的筛选 | 显示已选择域过滤功能并列出选定的域 |
| 2512 | 启用/禁用基于 OU 的筛选 | 显示已选择基于 OU 的筛选,并列出选定的 OU |
| 2513 | 用户 Sign-In 方法已更改 | 显示旧登录方法和新登录方法 |
| 2514 | 配置新的 ADFS 服务器场 | 显示联合身份验证服务名称 |
| 2515 | 启用/禁用单一登录 | 显示单一登录更改 |
| 2516 | 安装 Web 应用程序代理服务器 | 显示选定的 ADFS 服务器和域管理员用户名 |
| 2517 | 设置权限 | 显示已更改的特定 AD Sync 权限 |
| 2518 | 更改 ADDS 连接器凭据 | 显示 ADDS 连接器凭据已更改 |
| 2519 | 重新初始化 Entra ID 连接器帐户密码 | 显示 AD Sync 服务帐户密码已重置 |
| 2520 | 安装 ADFS 服务器 | 显示所选服务器 |
| 2521 | 设置 ADFS 服务帐户 | 指定是组托管的用户还是域用户。 包括管理员用户名 |