Protokoly přihlášení v Azure Active Directory

Kontrola chyb a vzorů přihlášení poskytuje cenný přehled o tom, jak uživatelé přistupují k aplikacím a službám. Protokoly přihlašování poskytované službou Azure Active Directory (Azure AD) představují výkonný typ protokolu aktivit, který můžou analyzovat správci IT. Tento článek vysvětluje, jak získat přístup k protokolům přihlašování a jak je využívat.

K dispozici jsou také dva další protokoly aktivit, které pomáhají monitorovat stav vašeho tenanta:

  • Audit – informace o změnách použitých ve vašem tenantovi, například o uživatelích a správě skupin nebo o aktualizacích použitých u prostředků tenanta.
  • Zřizování – aktivity prováděné službou zřizování, jako je vytvoření skupiny v ServiceNow nebo uživatel importovaný z Workday.

Co můžete dělat s protokoly přihlašování?

Protokoly přihlašování vám můžou pomoct najít odpovědi na otázky typu:

  • Jaký je vzorec přihlašování uživatele?

  • Kolik uživatelů se přihlásilo za týden?

  • Jaký je stav těchto přihlášení?

Jak se dostanete k protokolům přihlašování?

K historii vlastních přihlášení můžete kdykoli přistupovat na adrese https://mysignins.microsoft.com.

Pokud chcete získat přístup k protokolu přihlášení tenanta, musíte mít jednu z následujících rolí:

  • Globální správce
  • Správce zabezpečení
  • Čtenář zabezpečení
  • Globální čtenář
  • Čtenář sestav

Sestava aktivit přihlašování je k dispozici ve všech edicích Azure AD. Pokud máte licenci Azure Active Directory P1 nebo P2, můžete k sestavě aktivit přihlašování přistupovat prostřednictvím Graph API Microsoftu. Informace o upgradu edice Azure Active Directory najdete v tématu Začínáme s Azure Active Directory Premium. Po upgradu na prémiovou licenci bez datových aktivit před upgradem bude trvat několik dní, než se data zobrazí v Graphu.

Přístup k protokolu přihlášení Azure AD:

  1. Přihlaste se k Azure Portal pomocí příslušné nejméně privilegované role.

  2. Přejděte doprotokolu přihlášeník Azure Active Directory>.

    Snímek obrazovky boční nabídky Monitorování se zvýrazněnými protokoly přihlášení

K protokolům přihlášení můžete přistupovat také z následujících oblastí Azure AD:

  • Uživatelé
  • Skupiny
  • Podnikové aplikace

Zobrazení protokolu přihlášení

Pokud chcete protokol přihlášení zobrazit efektivněji, věnujte několik okamžiků přizpůsobení zobrazení vašim potřebám. Můžete zadat sloupce, které se mají zahrnout, a filtrovat data, abyste zúžili obsah.

Přizpůsobení rozložení

Protokol přihlášení má výchozí zobrazení, ale zobrazení můžete přizpůsobit pomocí více než 30 možností sloupců.

  1. V nabídce v horní části protokolu vyberte Sloupce .
  2. Vyberte sloupce, které chcete zobrazit, a v dolní části okna vyberte tlačítko Uložit .

Snímek obrazovky se stránkou protokolů přihlášení se zvýrazněnou možností Sloupce

Filtrování výsledků

Filtrování protokolu přihlášení je užitečný způsob, jak rychle najít protokoly, které odpovídají konkrétnímu scénáři. Seznam můžete například filtrovat tak, aby zobrazoval jenom přihlášení, ke kterým došlo v určitém zeměpisném umístění, z určitého operačního systému nebo z určitého typu přihlašovacích údajů.

Některé možnosti filtru vás vyzve k výběru dalších možností. Podle pokynů proveďte výběr, který potřebujete pro filtr. Můžete přidat více filtrů.

Začněte výběrem možnosti Přidat filtry v horní části tabulky.

Snímek obrazovky se stránkou protokolů přihlášení se zvýrazněnou možností Přidat filtry

Můžete si vybrat z několika možností filtru. Níže jsou uvedeny některé z náděných možností a podrobností.

  • Uživatele:Hlavní název uživatele (UPN) příslušného uživatele.
  • Stav: Možnosti: Úspěch, Selhání a Přerušení.
  • Zdrojů: Název služby použité pro přihlášení.
  • Podmíněný přístup: Stav zásad podmíněného přístupu Dostupné možnosti:
    • Nepoužívá se: Při přihlašování se na uživatele a aplikaci nepoužijí žádné zásady.
    • Úspěch: Jedna nebo více zásad certifikační autority použitých pro uživatele a aplikaci (ale nemusí to být nutně další podmínky) během přihlašování.
    • Selhání: Přihlášení splnilo podmínku uživatele a aplikace alespoň jedné zásady podmíněného přístupu a ovládací prvky udělení oprávnění buď nejsou splněné, nebo jsou nastavené na blokování přístupu.
  • IP adresy: Neexistuje žádné konečné spojení mezi IP adresou a místem, kde se počítač s danou adresou fyzicky nachází. Mobilní poskytovatelé a sítě VPN vydávají IP adresy z centrálních fondů, které jsou často daleko od místa, kde se klientské zařízení skutečně používá. Převod IP adresy na fyzické umístění je v současné době nejlepším úsilím na základě trasování, dat registru, zpětného vyhledávání a dalších informací.

Následující tabulka obsahuje možnosti a popisy pro možnost filtru klientské aplikace .

Poznámka

Z důvodu závazku k ochraně osobních údajů Azure AD nenaplní toto pole do domovského tenanta v případě scénáře mezi tenanty.

Name Moderní ověřování Description
Ověřený protokol SMTP Používá se klienty POP a IMAP k odesílání e-mailových zpráv.
Autodiscover Používá se klienty Outlooku a EAS k vyhledání poštovních schránek v Exchange Online a připojení k nich.
Exchange ActiveSync Tento filtr zobrazuje všechny pokusy o přihlášení, u kterých došlo k pokusu o použití protokolu EAS.
Prohlížeč Modrá značka zaškrtnutí. Zobrazuje všechny pokusy o přihlášení od uživatelů pomocí webových prohlížečů.
Exchange ActiveSync Zobrazuje všechny pokusy o přihlášení od uživatelů s klientskými aplikacemi, které používají protokol Exchange ActiveSync pro připojení k Exchange Online
Exchange Online PowerShellu Používá se k připojení k Exchange Online pomocí vzdáleného PowerShellu. Pokud pro Exchange Online PowerShell zablokujete základní ověřování, musíte k připojení použít modul Exchange Online PowerShellu. Pokyny najdete v tématu Připojení k Exchange Online PowerShellu pomocí vícefaktorového ověřování.
Webové služby Exchange Programovací rozhraní, které používá Outlook, Outlook pro Mac a aplikace třetích stran.
IMAP4 Starší poštovní klient, který k načítání e-mailů používá protokol IMAP.
MAPI přes HTTP Používá se v Outlooku 2010 a novějších verzích.
Mobilní aplikace a desktopoví klienti Modrá značka zaškrtnutí. Zobrazuje všechny pokusy o přihlášení od uživatelů používajících mobilní aplikace a desktopové klienty.
Offline adresář Kopie kolekcí seznamů adres, které aplikace Outlook stahuje a používá.
Outlook Anywhere (RPC přes HTTP) Používá Outlook 2016 a dřívější.
Služba Outlook Používá aplikace Pošta a Kalendář pro Windows 10.
POP3 Starší poštovní klient, který k načtení e-mailů používá protokol POP3.
Webové služby pro vytváření sestav Používá se k načtení dat sestavy v Exchange Online.
Ostatní klienti Zobrazuje všechny pokusy o přihlášení od uživatelů, u kterých klientská aplikace není zahrnutá nebo neznámá.

Analýza protokolů přihlašování

Teď, když je tabulka protokolů přihlášení správně naformátovaná, můžete data efektivněji analyzovat. Tady jsou popsané některé běžné scénáře, ale nejsou jedinými způsoby, jak analyzovat přihlašovací data. Další analýzu a uchovávání přihlašovacích dat můžete provést exportem protokolů do jiných nástrojů.

Kódy chyb přihlašování

Pokud se přihlášení nezdařilo, můžete získat další informace o důvodu v části Základní informace související položky protokolu. V podrobnostech se zobrazí kód chyby a související důvod selhání. Vzhledem ke složitosti některých Azure AD prostředí nemůžeme zdokumentovat všechny možné kódy chyb a jejich řešení. Některé chyby můžou vyžadovat odeslání žádosti o podporu , aby se problém vyřešil.

Snímek obrazovky s kódem chyby přihlášení

Seznam kódů chyb souvisejících s ověřováním a autorizací Azure AD najdete v článku Azure AD kódy chyb ověřování a autorizace. V některých případech může nástroj pro vyhledávání chyb přihlášení poskytovat nápravné kroky. Do nástroje zadejte kód chyby uvedený v podrobnostech protokolu přihlášení a vyberte tlačítko Odeslat .

Snímek obrazovky s nástrojem pro vyhledávání kódu chyby

Podrobnosti o ověřování

Karta Podrobnosti ověřování v podrobnostech protokolu přihlášení poskytuje následující informace pro každý pokus o ověření:

  • Seznam použitých zásad ověřování, jako je podmíněný přístup nebo výchozí nastavení zabezpečení.
  • Seznam použitých zásad životnosti relací, jako je frekvence přihlašování nebo Zapamatovat vícefaktorové ověřování.
  • Posloupnost metod ověřování používaných k přihlášení
  • Pokud byl pokus o ověření úspěšný a důvod.

Tyto informace umožňují řešit potíže s jednotlivými kroky přihlášení uživatele. Ke sledování použijte tyto podrobnosti:

  • Objem přihlášení chráněných vícefaktorovým ověřováním
  • Důvod výzvy k ověření na základě zásad životnosti relace.
  • Míra využití a úspěšnosti pro každou metodu ověřování
  • Použití metod ověřování bez hesla, jako je přihlášení pomocí telefonu bez hesla, FIDO2 a Windows Hello pro firmy.
  • Jak často deklarace identity tokenů splňují požadavky na ověřování, například když se uživatelům interaktivně nezobrazí výzva k zadání hesla nebo zadání jednorázového hesla SMS.

Při prohlížení protokolu přihlášení vyberte událost přihlášení a pak vyberte kartu Podrobnosti ověřování .

Snímek obrazovky s kartou Podrobnosti ověřování

Při analýze podrobností o ověřování si poznamenejte následující podrobnosti:

  • Ověřovací kód OATH se protokoluje jako metoda ověřování pro hardwarové i softwarové tokeny OATH (například aplikace Microsoft Authenticator).
  • Karta Podrobnosti ověřování může zpočátku zobrazovat neúplná nebo nepřesná data, dokud nebudou informace protokolu plně agregované. Mezi známé příklady patří:
    • Při počátečním protokolování událostí přihlášení se ve zprávě tokenu nesprávně zobrazí spokojená deklarace identity .
    • Řádek primárního ověřování se zpočátku nezaprotokoluje.
  • Pokud si nejste jisti podrobnostmi v protokolech, shromážděte ID požadavku a ID korelace , které můžete použít k další analýze nebo řešení potíží.

Přihlašovací data používaná jinými službami

Přihlašovací data používá několik služeb v Azure k monitorování rizikových přihlášení a poskytování přehledu o využití aplikací.

Riziková přihlašovací data ve službě Azure AD Identity Protection

Vizualizace dat protokolu přihlášení, která souvisí s rizikovými přihlášeními, je k dispozici v přehledu služby Azure AD Identity Protection, která používá následující data:

  • Rizikoví uživatelé
  • Riziková přihlášení uživatelů
  • Rizikové instanční objekty
  • Riziková přihlášení instančního objektu

Další informace o nástrojích Azure AD Identity Protection najdete v přehledu služby Azure AD Identity Protection.

Snímek obrazovky s rizikovými uživateli ve službě Identity Protection

Azure AD přihlašovací aktivity aplikace a ověřování

Pokud chcete zobrazit přihlašovací data specifická pro aplikaci, přejděte na Azure AD a v části Monitorování vyberte Přehledy využití&. Tyto sestavy poskytují podrobnější přehled o přihlášeních pro Azure AD aktivity aplikací a aktivity aplikací služby AD FS. Další informace najdete v tématu Azure AD Přehledy využití&.

Snímek obrazovky se sestavou aktivit aplikace Azure AD

Azure AD Usage & Insights také poskytuje sestavu aktivity Metody ověřování, která rozděluje ověřování podle použité metody. Pomocí této sestavy zjistíte, kolik uživatelů má nastavené vícefaktorové ověřování nebo ověřování bez hesla.

Snímek obrazovky se sestavou Metody ověřování

Protokoly aktivit Microsoftu 365

Protokoly aktivit Microsoftu 365 můžete zobrazit z Centrum pro správu Microsoftu 365. Protokoly aktivit Microsoftu 365 a Azure AD aktivit sdílejí významný počet adresářových prostředků. Úplné zobrazení protokolů aktivit Microsoftu 365 poskytuje pouze Centrum pro správu Microsoftu 365.

K protokolům aktivit Microsoftu 365 můžete přistupovat programově pomocí rozhraní API pro správu Office 365.

Další kroky