ما هي سجلات تسجيل الدخول إلى Microsoft Entra؟

  • مقالة

يسجل Microsoft Entra جميع عمليات تسجيل الدخول إلى مستأجر Azure، والذي يتضمن تطبيقاتك ومواردك الداخلية. كمسؤول تكنولوجيا المعلومات، تحتاج إلى معرفة ماذا تعني القيم في سجلات تسجيل الدخول، بحيث يمكنك تفسير قيم السجل بشكل صحيح.

توفر مراجعة أخطاء وأنماط تسجيل الدخول نظرة ثاقبة قيمة حول كيفية وصول المستخدمين إلى التطبيقات والخدمات. سجلات تسجيل الدخول التي يوفرها معرف Microsoft Entra هي نوع قوي من سجل النشاط الذي يمكنك تحليله. توضح هذه المقالة كيفية الوصول إلى سجلات تسجيل الدخول واستخدامها.

تتضمن طريقة عرض المعاينة لسجلات تسجيل الدخول عمليات تسجيل دخول مستخدم تفاعلية وغير تفاعلية بالإضافة إلى كيان الخدمة وتسجيلات الدخول إلى الهوية المدارة. لا يزال بإمكانك عرض سجلات تسجيل الدخول الكلاسيكية، والتي تتضمن عمليات تسجيل الدخول التفاعلية فقط.

يتوفر سجلان آخران للنشاط للمساعدة في مراقبة صحة المستأجر الخاص بك:

  • التدقيق – معلومات حول التغييرات المطبقة على المستأجر، مثل المستخدمين وإدارة المجموعة أو التحديثات المطبقة على موارد المستأجر.
  • التزويد – الأنشطة التي تنفذها خدمة التزويد، مثل إنشاء مجموعة في ServiceNow أو مستخدم تم استيراده من Workday.

ماذا يمكنك أن تفعل بسجلات تسجيل الدخول؟

يمكنك استخدام سجلات تسجيل الدخول للإجابة عن أسئلة مثل:

  • كم عدد المستخدمين الذين سجلوا الدخول إلى تطبيق معين هذا الأسبوع؟
  • كم عدد محاولات تسجيل الدخول الفاشلة التي حدثت في آخر 24 ساعة؟
  • هل يقوم المستخدمون بتسجيل الدخول من مستعرضات أو أنظمة تشغيل معينة؟
  • أي من موارد Azure الخاصة بي يتم الوصول إليها بواسطة الهويات المدارة وكيانات الخدمة؟

يمكنك أيضا وصف النشاط المقترن بطلب تسجيل الدخول عن طريق تحديد التفاصيل التالية:

  • مَنْ – الهوية (المستخدم) الذي يؤدي تسجيل الدخول.
  • الكيفية - العميل (التطبيق) المستخدم لتسجيل الدخول.
  • ماذا – الهدف (المورد) الذي يتم الوصول إليه عن طريق الهوية.

ما هي أنواع سجلات تسجيل الدخول؟

هناك أربعة أنواع من السجلات في معاينة سجلات تسجيل الدخول:

  • تسجيل دخول المستخدم غير التفاعلي
  • تسجيل الدخول غير التفاعلي للمستخدم
  • تَسجيل الدخول الأساسي للخدمة
  • عمليات تسجيل الدخول للهوية المدارة

تتضمن سجلات تسجيل الدخول الكلاسيكية فقط عمليات تسجيل دخول المستخدم التفاعلية.

إشعار

يتم إنشاء إدخالات في سجلات تسجيل الدخول بواسطة النظام ولا يمكن تغييرها أو حذفها.

تسجيل دخول المستخدم غير التفاعلي

يتم تنفيذ عمليات تسجيل الدخول التفاعلية من قبل المستخدم. وهي توفر عامل مصادقة لمعرف Microsoft Entra. يمكن أن يتفاعل عامل المصادقة هذا أيضا مع تطبيق مساعد، مثل تطبيق Microsoft Authenticator. يمكن للمستخدمين توفير كلمات المرور أو الاستجابات لتحديات المصادقة متعددة العوامل أو العوامل البيومترية أو رموز الاستجابة السريعة لمعرف Microsoft Entra أو إلى تطبيق مساعد. يتضمن هذا السجل أيضا عمليات تسجيل الدخول الموحدة من موفري الهوية الذين يتم توحيدهم مع معرف Microsoft Entra.

Screenshot of the interactive user sign-in log.

حجم التقرير: أمثلة صغيرة
:

  • يوفر المستخدم اسم المستخدم وكلمة المرور في شاشة تسجيل الدخول إلى Microsoft Entra.
  • يجتاز المستخدم تحدي مصادقة متعددة العوامل (MFA) لرسائل SMS MFA.
  • يوفر المستخدم علامة بيومترية لفتح جهاز الكمبيوتر Windows الخاص به باستخدام Windows Hello للأعمال.
  • يتم توحيد المستخدم مع معرف Microsoft Entra مع تأكيد AD FS SAML.

بالإضافة إلى الحقول الافتراضية، يُظهِر سجل تسجيل الدخول التفاعلي أيضًا:

  • موقِع تسجيل الدخول
  • ما إذا كان قد تم تطبيق الوصول المشروط

القيود المعروفة

عمليات تسجيل الدخول غير التفاعلية على سجلات تسجيل الدخول التفاعلية

في السابق، تم تضمين بعض عمليات تسجيل الدخول غير التفاعلية من عملاء Microsoft Exchange في سجل تسجيل دخول المستخدم التفاعلي للحصول على رؤية أفضل. كان هذا الوضوح المتزايد ضروريا قبل إدخال سجلات تسجيل دخول المستخدم غير التفاعلية في نوفمبر 2020. ومع ذلك، من المهم ملاحظة أن بعض عمليات تسجيل الدخول غير التفاعلية، مثل تلك التي تستخدم مفاتيح FIDO2، قد تظل مميزة على أنها تفاعلية بسبب الطريقة التي تم بها إعداد النظام قبل تقديم السجلات المنفصلة غير التفاعلية. قد تعرض عمليات تسجيل الدخول هذه تفاصيل تفاعلية مثل نوع بيانات اعتماد العميل ومعلومات المتصفح، على الرغم من أنها عمليات تسجيل دخول غير تفاعلية من الناحية الفنية.

عمليات تسجيل الدخول إلى Passthrough

يصدر Microsoft Entra ID الرموز المميزة للمصادقة والتخويل. في بعض الحالات، قد يحاول المستخدم الذي قام بتسجيل الدخول إلى مستأجر Contoso الوصول إلى الموارد في مستأجر Fabrikam، حيث لا يكون لديه حق الوصول. يتم إصدار رمز مميز بدون تخويل يسمى رمز مرور مميز إلى مستأجر Fabrikam. لا يسمح الرمز المميز للمرور للمستخدم بالوصول إلى أي موارد.

عند مراجعة سجلات هذه الحالة، لا تظهر سجلات تسجيل الدخول لمستأجر المنزل (في هذا السيناريو، Contoso) محاولة تسجيل الدخول لأنه لم يتم تقييم الرمز المميز مقابل نهج مستأجر المنزل. تم استخدام الرمز المميز لتسجيل الدخول فقط لعرض رسالة الفشل المناسبة. لن ترى محاولة تسجيل الدخول في سجلات المستأجر الرئيسي.

عمليات تسجيل الدخول الرئيسية لخدمة الطرف الأول والتطبيق فقط

لا تتضمن سجلات تسجيل الدخول الأساسية للخدمة نشاط تسجيل الدخول إلى الطرف الأول والتطبيق فقط. يحدث هذا النوع من النشاط عندما تحصل تطبيقات الطرف الأول على رموز مميزة لوظيفة Microsoft داخلية حيث لا يوجد اتجاه أو سياق من المستخدم. نحن نستبعد هذه السجلات حتى لا تدفع مقابل السجلات المتعلقة بالرموز المميزة الداخلية ل Microsoft داخل المستأجر الخاص بك.

يمكنك تحديد أحداث Microsoft Graph التي لا ترتبط بتسجيل الدخول الأساسي للخدمة إذا كنت تقوم للتوجيه MicrosoftGraphActivityLogs إلى SignInLogs نفس مساحة عمل Log Analytics. يسمح لك هذا التكامل بالرمز المميز الصادر لاستدعاء Microsoft Graph API مع نشاط تسجيل الدخول. UniqueTokenIdentifier بالنسبة لسجلات تسجيل الدخول و SignInActivityId في سجلات نشاط Microsoft Graph ستكون مفقودة من سجلات تسجيل الدخول الأساسية للخدمة.

تسجيل الدخول غير التفاعلي للمستخدم

يتم تسجيل الدخول غير التفاعلي نيابة عن مستخدم. تم تنفيذ عمليات تسجيل الدخول المفوضة هذه بواسطة تطبيق عميل أو مكونات نظام التشغيل نيابة عن مستخدم ولا تتطلب من المستخدم توفير عامل مصادقة. بدلا من ذلك، يتعرف معرف Microsoft Entra على الوقت الذي يحتاج فيه الرمز المميز للمستخدم إلى التحديث ويقوم بذلك خلف الكواليس، دون مقاطعة جلسة عمل المستخدم. بشكل عام، يرى المستخدم أن عمليات تسجيل الدخول هذه تحدث في الخلفية.

Screenshot of the non-interactive user sign-in log.

حجم التقرير: أمثلة كبيرة
:

  • يَستخدم تطبيق العميل رمز تحديث OAuth 2.0 للحصول على رمز مميز للوصول.
  • يستخدم العميل رمز تخويل OAuth 2.0 للحصول على رمز مميز للوصول وتحديث الرمز المميز.
  • يقوم المستخدم بتسجيل الدخول الأحادي (SSO) إلى تطبيق ويب أو Windows على كمبيوتر Microsoft Entra منضم (دون توفير عامل مصادقة أو التفاعل مع مطالبة Microsoft Entra).
  • يقوم المستخدم بتسجيل الدخول إلى تطبيق Microsoft Office ثانٍ خلال وجود جلسة على جهاز محمول باستخدام FOCI (مجموعة من معرفات العميل).

بالإضافَة إلى الحقول الافتراضية، يُظهِر سجل تسجيل الدخول التفاعلي أيضًا:

  • معرف المورد
  • عدد عمليات تسجيل الدخول المُجمعة

لا يُمكِنك تخصيص الحقول المعروضة في هذا التقرير.

لتسهيل عملية تشفير البيانات، يتم تجميع أحداث تسجيل الدخول غير التفاعلية. غالبا ما يقوم العملاء بإنشاء العديد من عمليات تسجيل الدخول غير التفاعلية نيابة عن نفس المستخدم في فترة زمنية قصيرة. تشترك عمليات تسجيل الدخول غير التفاعلية في نفس الخصائص باستثناء وقت محاولة تسجيل الدخول. على سبيل المثال، يحصل عميل على رمز مميز للوصول مرة واحدة في الساعة نيابةً عن مستخدم. إذا لم تتغير حالة المستخدم أو العميل، فإن عنوان IP والمورد وجميع المعلومات الأخرى هي نفسها لكل طلب رمز مميز للوصول. الحالة الوحيدة التي تتغير هي تاريخ ووقت تسجيل الدخول.

Screenshot of an aggregate sign-in expanded to show all rows.

عندما يسجل Microsoft Entra عمليات تسجيل دخول متعددة متطابقة غير الوقت والتاريخ، تكون عمليات تسجيل الدخول هذه من نفس الكيان ويتم تجميعها في صف واحد. يحتوي الصف الذي يحتوي على العديد من عمليات تسجيل الدخول المتطابقة (باستثناء التاريخ والوقت الصادر) على قيمة أكبر من واحد في عمود #sign-ins . قد يبدو أن عمليات تسجيل الدخول المجمعة هذه لها نفس الطوابع الزمنية. يمكن تعيين عامل التصفية تجميع الوقت إلى ساعة واحدة أو 6 ساعات أو 24 ساعة. يُمكِنك توسيع الصف لمشاهدة كافة عمليات تسجيل الدخول المختلفة وطوابعها الزمنية المختلفة.

يتم تجميع عمليات تسجيل الدخول في المستخدمين غير التفاعليين عند تطابق البيانات التالية:

  • التطبيق
  • المستخدم
  • عنوان IP
  • الحالة
  • معرف المورد

إشعار

لا يتطابق عنوان IP لتسجيل الدخول غير التفاعلي الذي يقوم به العملاء السريون مع عنوان IP المصدر الفعلي للمكان الذي يأتي منه طلب رمز التحديث المميز. بدلاً من ذلك، فإنه يظهر عنوان IP الأصلي المستخدم لإصدار الرمز المميز الأصلي.

تَسجيل الدخول الأساسي للخدمة

على عكس عمليات تسجيل دخول المستخدم التفاعلية وغير التفاعلية، لا تتضمن عمليات تسجيل الدخول الأساسية للخدمة مستخدما. بدلا من ذلك، يتم تسجيل الدخول بواسطة أي حساب غير مستخدم، مثل التطبيقات أو كيانات الخدمة (باستثناء تسجيل الدخول إلى الهوية المدارة، والتي يتم تضمينها فقط في سجل تسجيل الدخول إلى الهوية المدارة). في تسجيل الدخول هذا، يوفر التطبيق أو الخدمة بيانات الاعتماد الخاصة به، مثل شهادة أو البيانات السرية للتطبيق لمصادقة الموارد أو الوصول إليها.

Screenshot of the service principal sign-in log.

حجم التقرير: أمثلة كبيرة
:

  • يستخدم كيان الخدمة شهادة لمصادقة والوصول إلى Microsoft Graph.
  • يستخدم التطبيق البيانات السرية للعميل للمصادقة في تدفق بيانات اعتماد العميل OAuth.

لا يُمكِنك تخصيص الحقول المعروضة في هذا التقرير.

لتسهيل عملية تشفير البيانات في سجلات تسجيل الدخول الأساسية للخدمة، يتم تجميع أحداث تسجيل الدخول الرئيسية للخدمة. يتم تجميع عمليات تسجيل الدخول من نفس الكيان في نفس الظروف في صف واحد. يُمكِنك توسيع الصف لمشاهدة كافة عمليات تسجيل الدخول المختلفة وطوابعها الزمنية المختلفة. يتم تَجميع عمليات تسجيل الدخول في التقرير الأساسي للخدمة عند تطابق البيانات التالية:

  • اسم أو معرف كيان الخدمة
  • الحالة
  • عنوان IP
  • اسم أو معرف المورد

عمليات تسجيل الدخول للهوية المدارة

الهويات المدارة لتسجيل الدخول إلى موارد Azure هي عمليات تسجيل الدخول التي تم إجراؤها بواسطة الموارد التي تدير بياناتها السرية بواسطة Azure لتبسيط إدارة بيانات الاعتماد. يستخدم الجهاز الظاهري مع بيانات الاعتماد المدارة معرف Microsoft Entra للحصول على رمز مميز للوصول.

Screenshot of the managed identity sign-in log.

حجم التقرير: أمثلة صغيرة
:

لا يُمكِنك تخصيص الحقول المعروضة في هذا التقرير.

لتسهيل تجزئة البيانات، يتم تجميع الهويات المدارة لسجلات تسجيل الدخول لموارد Azure، يتم تجميع أحداث تسجيل الدخول غير التفاعلية. يتم تَجميع عمليات تسجيل الدخول من نفس الكيان في صف واحد. يُمكِنك توسيع الصف لمشاهدة كافة عمليات تسجيل الدخول المختلفة وطوابعها الزمنية المختلفة. يتم تَجميع عمليات تسجيل الدخول في تقرير الهويات المُدارة عند تطابق كافة البيانات التالية:

  • اسم الهوية المُدارة
  • الحالة
  • اسم أو معرف المورد

حدد عنصرًا في طريقة عرض القائمة لعرض كافة عمليات تسجيل الدخول المجمعة ضمن عقدة. حدد عنصرًا مجمعًا لعرض كافة تفاصيل تسجيل الدخول.

بيانات تسجيل الدخول المستخدمة من قبل خدمات أخرى

يتم استخدام بيانات تسجيل الدخول من قبل العديد من الخدمات في Azure لمراقبة عمليات تسجيل الدخول الخطرة، وتوفير نظرة ثاقبة حول استخدام التطبيق، والمزيد.

حماية معرف Microsoft Entra

تتوفر مرئيات بيانات سجل تسجيل الدخول المتعلقة بتسجيل الدخول المحفوفا بالمخاطر في نظرة عامة على Microsoft Entra ID Protection ، والتي تستخدم البيانات التالية:

  • مستخدمون معرضون للمخاطر
  • عمليات تسجيل دخول المستخدم المحفيفة بالمخاطر
  • هويات حمل العمل الخطرة

لمزيد من المعلومات حول أدوات Microsoft Entra ID Protection، راجع نظرة عامة على Microsoft Entra ID Protection.

استخدام Microsoft Entra ونتائج التحليلات

لعرض بيانات تسجيل الدخول الخاصة بالتطبيق، استعرض للوصول إلى Microsoft Entra ID>Monitoring & health>Usage & insights. توفر هذه التقارير نظرة فاحصة على عمليات تسجيل الدخول لنشاط تطبيق Microsoft Entra ونشاط تطبيق AD FS. لمزيد من المعلومات، راجع رؤى استخدام & Microsoft Entra.

Screenshot of the Usage & insights report.

هناك العديد من التقارير المتوفرة في تحليلات الاستخدام&. بعض هذه التقارير قيد المعاينة.

  • نشاط تطبيق Microsoft Entra (معاينة)
  • نشاط تطبيق AD FS
  • نشاط أساليب المصادقة
  • نشاط تسجيل الدخول الأساسي للخدمة (معاينة)
  • نشاط بيانات اعتماد التطبيق (معاينة)

سجلات أنشطة Microsoft 365

يمكنك عرض سجلات نشاط Microsoft 365 من مركز إدارة Microsoft 365. نشاط Microsoft 365 وسجلات نشاط Microsoft Entra تشترك في عدد كبير من موارد الدليل. يوفر مركز إدارة Microsoft 365 فقط رؤية كاملة لسجلات أنشطة Microsoft 365.

يمكنك الوصول إلى سجلات نشاط Microsoft 365 برمجيا باستخدام واجهات برمجة تطبيقات إدارة Office 365.

الخطوات التالية