Sdílet prostřednictvím

Co jsou protokoly přihlašování Microsoft Entra?

  • Článek

Microsoft Entra protokoluje všechna přihlášení do tenanta Azure, který zahrnuje vaše interní aplikace a prostředky. Jako správce IT potřebujete vědět, co znamenají hodnoty v protokolech přihlašování, abyste mohli hodnoty protokolu správně interpretovat.

Kontrola chyb přihlášení a vzorů poskytuje cenný přehled o tom, jak uživatelé přistupují k aplikacím a službám. Protokoly přihlašování poskytované ID Microsoft Entra jsou výkonným typem protokolu aktivit, který můžete analyzovat. Tento článek vysvětluje, jak získat přístup k protokolům přihlašování a využívat je.

Zobrazení náhledu protokolů přihlašování zahrnuje interaktivní a neinteraktivní přihlášení uživatelů a také instanční objekt a přihlášení spravované identity. Stále můžete zobrazit klasické protokoly přihlašování, které obsahují jenom interaktivní přihlášení.

K dispozici jsou také dva další protokoly aktivit, které vám pomůžou monitorovat stav vašeho tenanta:

  • Audit – Informace o změnách použitých u vašeho tenanta, jako jsou uživatelé a správa skupin nebo aktualizace použité u prostředků vašeho tenanta.
  • Zřizování – Aktivity prováděné službou zřizování, jako je vytvoření skupiny v ServiceNow nebo uživatel importovaný z Workday.

Požadavky na licenci a roli

Požadované role a licence se liší v závislosti na sestavě. Pro přístup k datům monitorování a stavu v Microsoft Graphu se vyžadují samostatná oprávnění. K zajištění souladu s pokyny k nulová důvěra (Zero Trust) doporučujeme použít roli s přístupem s nejnižšími oprávněními.

Protokol / sestava Role Licence
Audit Čtenář sestav
Čtenář zabezpečení
Správce zabezpečení
Globální čtenář
 Všechny edice Microsoft Entra ID
Přihlášení Čtenář sestav
Čtenář zabezpečení
Správce zabezpečení
Globální čtenář
 Všechny edice Microsoft Entra ID
Zřizování Čtenář sestav
Čtenář zabezpečení
Správce zabezpečení
Globální čtenář
Operátor zabezpečení
Správce aplikace
Cloud App Správa istrator
 Microsoft Entra ID P1 nebo P2
Protokoly auditu vlastních atributů zabezpečení* Protokol atributů Správa istrator
Čtenář protokolu atributů		 Všechny edice Microsoft Entra ID
Přehledy a využití Čtenář sestav
Čtenář zabezpečení
Správce zabezpečení		 Microsoft Entra ID P1 nebo P2
Identity Protection** Správce zabezpečení
Operátor zabezpečení
Čtenář zabezpečení
Globální čtenář
 Microsoft Entra ID zdarma
Aplikace Microsoft 365
Microsoft Entra ID P1 nebo P2
Protokoly aktivit Microsoft Graphu Správce zabezpečení
Oprávnění pro přístup k datům v odpovídajícím cíli protokolu		 Microsoft Entra ID P1 nebo P2

*Zobrazení vlastních atributů zabezpečení v protokolech auditu nebo vytvoření nastavení diagnostiky pro vlastní atributy zabezpečení vyžaduje jednu z rolí protokolu atributů. K zobrazení standardních protokolů auditu potřebujete také příslušnou roli.

**Úroveň přístupu a možností služby Identity Protection se liší podle role a licence. Další informace najdete v licenčních požadavcích pro Službu Identity Protection.

Co můžete dělat s protokoly přihlašování?

Protokoly přihlašování můžete použít k zodpovězení otázek, jako jsou:

  • Kolikuživatelůch
  • Kolik neúspěšných pokusů o přihlášení proběhlo za posledních 24 hodin?
  • Přihlašují se uživatelé z konkrétních prohlížečů nebo operačních systémů?
  • Ke kterému z mých prostředků Azure přistupovaly spravované identity a instanční objekty?

Aktivitu přidruženou k žádosti o přihlášení můžete také popsat tak, že zjistíte následující podrobnosti:

  • Kdo – identita (uživatel) provádějící přihlášení.
  • How – Klient (aplikace) používaný pro přihlášení
  • What – cíl (prostředek) přístupný identitou.

Jaké jsou typy protokolů přihlašování?

V protokolech přihlašování ve verzi Preview existují čtyři typy protokolů:

  • Interaktivní přihlášení uživatelů
  • Neinteraktivní přihlášení uživatelů
  • Přihlášení instančního objektu
  • Přihlášení spravovaných identit

Mezi klasické protokoly přihlašování patří pouze interaktivní přihlášení uživatelů.

Poznámka:

Položky v protokolech přihlašování se generují systémem a nelze je změnit ani odstranit.

Interaktivní přihlášení uživatelů

Interaktivní přihlášení provádí uživatel. Poskytují ověřovací faktor pro ID Microsoft Entra. Tento ověřovací faktor může také interagovat s pomocnou aplikací, například s aplikací Microsoft Authenticator. Uživatelé můžou poskytovat hesla, odpovědi na výzvy vícefaktorového ověřování, biometrické faktory nebo kódy QR pro Microsoft Entra ID nebo pomocnou aplikaci. Tento protokol obsahuje také federovaná přihlášení od zprostředkovatelů identity, které jsou federované s ID Microsoft Entra.

Screenshot of the interactive user sign-in log.

Velikost sestavy: malé
příklady:

  • Uživatel poskytuje uživatelské jméno a heslo na přihlašovací obrazovce Microsoft Entra.
  • Uživatel předá výzvu vícefaktorového ověřování SMS.
  • Uživatel poskytuje biometrické gesto k odemknutí počítače s Windows pomocí Windows Hello pro firmy.
  • Uživatel je federován s Microsoft Entra ID s kontrolním výrazem SAML služby AD FS.

Kromě výchozích polí se také zobrazuje interaktivní přihlašovací protokol:

  • Umístění přihlášení
  • Zda se použil podmíněný přístup

Speciální předpoklady

Neinteraktivní přihlášení v protokolech interaktivního přihlašování

Dříve byly některé neinteraktivní přihlášení z klientů Microsoft Exchange zahrnuty do interaktivního protokolu přihlašování uživatelů pro lepší viditelnost. Tato zvýšená viditelnost byla nutná před zavedením neinteraktivních protokolů přihlašování uživatelů v listopadu 2020. Je ale důležité si uvědomit, že některé neinteraktivní přihlašování, například ty, které používají klíče FIDO2, můžou být stále označené jako interaktivní kvůli způsobu, jakým byl systém nastavený před zavedením samostatných neinteraktivních protokolů. Tato přihlášení můžou zobrazovat interaktivní podrobnosti, jako je typ přihlašovacích údajů klienta a informace o prohlížeči, i když jsou technicky neinteraktivní přihlášení.

Přihlášení předávacího hesla

Microsoft Entra ID vydává tokeny pro ověřování a autorizaci. V některých situacích se uživatel, který je přihlášený k tenantovi Contoso, může pokusit o přístup k prostředkům v tenantovi Fabrikam, kde nemá přístup. Token bez autorizace označovaný jako předávací token se vydává tenantovi Fabrikam. Token předávání neumožňuje uživateli přístup k žádným prostředkům.

Při kontrole protokolů pro tuto situaci se v protokolech přihlášení pro domácího tenanta (v tomto scénáři Contoso) nezobrazit pokus o přihlášení, protože token neuděloval přístup k prostředku s žádnými deklaracemi identity. Přihlašovací token se použil pouze k zobrazení příslušné chybové zprávy.

Pokusy o přihlášení k předávacím datům se teď zobrazují v protokolech přihlášení domovského tenanta a všech relevantních protokolech přihlášení k omezení tenanta. Tato aktualizace poskytuje lepší přehled o pokusech o přihlášení uživatelů od uživatelů a hlubší přehled o zásadách omezení tenanta.

Tato crossTenantAccessType vlastnost se teď zobrazuje passthrough k rozlišení předávacích přihlášení a je dostupná v Centru pro správu Microsoft Entra a v Microsoft Graphu.

Přihlášení instančního objektu jen pro první stranu

Protokoly přihlášení instančního objektu nezahrnují přihlašovací aktivitu jen pro první stranu. K tomuto typu aktivity dochází, když aplikace první strany získávají tokeny pro interní úlohu Microsoftu, kde uživatel nemá žádný směr ani kontext. Tyto protokoly vyloučíme, takže neplatíte za protokoly související s interními tokeny Microsoftu ve vašem tenantovi.

Pokud směrujete do MicrosoftGraphActivityLogsSignInLogs stejného pracovního prostoru služby Log Analytics, můžete identifikovat události Microsoft Graphu, které korelují s přihlášením instančního objektu. Tato integrace umožňuje křížový odkaz na token vydaný pro volání rozhraní Microsoft Graph API s aktivitou přihlašování. V UniqueTokenIdentifier protokolech přihlašování instančního objektu by v protokolech přihlášení instančního objektu chyběly protokoly SignInActivityId aktivit Microsoft Graphu.

Neinteraktivní přihlášení uživatelů

Neinteraktivní přihlášení se provádí jménem uživatele. Tyto delegované přihlašování prováděla klientská aplikace nebo komponenty operačního systému jménem uživatele a nevyžadují, aby uživatel zadal ověřovací faktor. Místo toho Microsoft Entra ID rozpozná, kdy je potřeba token uživatele aktualizovat, a provede to na pozadí bez přerušení relace uživatele. Obecně platí, že uživatel vidí tyto přihlášení jako na pozadí.

Screenshot of the non-interactive user sign-in log.

Velikost sestavy: Velké
příklady:

  • Klientská aplikace k získání přístupového tokenu používá obnovovací token OAuth 2.0.
  • Klient používá autorizační kód OAuth 2.0 k získání přístupového tokenu a obnovovacího tokenu.
  • Uživatel provádí jednotné přihlašování k webové aplikaci nebo aplikaci pro Windows na počítači připojeném k Microsoft Entra (bez poskytnutí ověřovacího faktoru nebo interakce s výzvou Microsoft Entra).
  • Uživatel se přihlásí k druhé systém Microsoft Office aplikaci, když má relaci na mobilním zařízení pomocí FOCI (řada ID klientů).

Kromě výchozích polí se zobrazí také neinteraktivní přihlašovací protokol:

  • ID zdroje
  • Počet seskupených přihlášení

Pole zobrazená v této sestavě nemůžete přizpůsobit.

Aby se data snadněji vysouhlasila, jsou neinteraktivní události přihlašování seskupené. Klienti často vytvářejí mnoho neinteraktivních přihlášení jménem stejného uživatele za krátkou dobu. Neinteraktivní přihlášení sdílejí stejné vlastnosti s výjimkou času pokusu o přihlášení. Klient může například za uživatele získat přístupový token jednou za hodinu. Pokud se stav uživatele nebo klienta nezmění, IP adresa, prostředek a všechny ostatní informace jsou pro každou žádost o přístupový token stejné. Jediným stavem, který se změní, je datum a čas přihlášení.

Screenshot of an aggregate sign-in expanded to show all rows.

Když Microsoft Entra zaznamená více přihlášení, které jsou identické kromě času a data, jsou tyto přihlášení ze stejné entity a agregují se do jednoho řádku. Řádek s více identickými přihlášeními (s výjimkou data a času vystaveného) má ve sloupci přihlášení # hodnotu větší než jedna. Může se také zdát, že tyto agregované přihlášení mají stejná časová razítka. Filtr Agregace času může být nastavený na 1 hodinu, 6 hodin nebo 24 hodin. Rozbalením řádku můžete zobrazit všechna různá přihlášení a jejich různá časová razítka.

Přihlášení se agregují v neinteraktivních uživatelích, pokud se shodují následující data:

  • Aplikace
  • Uživatelská
  • IP adresa
  • Stav
  • ID zdroje

Poznámka:

IP adresa neinteraktivních přihlášení prováděných důvěrnými klienty neodpovídá skutečné zdrojové IP adrese, ze které pochází požadavek na obnovovací token. Místo toho zobrazuje původní IP adresu použitou pro vystavení původního tokenu.

Přihlášení instančního objektu

Na rozdíl od interaktivních a neinteraktivních přihlášení uživatelů se přihlášení instančního objektu nezabíjí uživatele. Místo toho se přihlašují libovolným účtem bez uživatele, jako jsou aplikace nebo instanční objekty (s výjimkou přihlášení spravované identity, které jsou zahrnuté jenom v protokolu přihlašování spravované identity). V těchto přihlášeních poskytuje aplikace nebo služba své vlastní přihlašovací údaje, jako je certifikát nebo tajný klíč aplikace pro ověřování nebo přístup k prostředkům.

Screenshot of the service principal sign-in log.

Velikost sestavy: Velké
příklady:

  • Instanční objekt používá k ověření a přístupu k Microsoft Graphu certifikát.
  • Aplikace používá tajný klíč klienta k ověření v toku přihlašovacích údajů klienta OAuth.

Pole zobrazená v této sestavě nemůžete přizpůsobit.

Aby bylo snazší data v protokolech přihlašování instančního objektu zjednodušit, jsou seskupené události přihlášení instančního objektu. Přihlášení ze stejné entity se za stejných podmínek agregují do jednoho řádku. Rozbalením řádku můžete zobrazit všechna různá přihlášení a jejich různá časová razítka. Přihlášení se agregují v sestavě instančního objektu, když se shodují následující data:

  • Název nebo ID instančního objektu
  • Stav
  • IP adresa
  • Název nebo ID prostředku

Přihlášení spravovaných identit

Spravované identity pro přihlašování k prostředkům Azure jsou přihlášení, která byla provedena prostředky, které mají své tajné kódy spravované v Azure, aby zjednodušily správu přihlašovacích údajů. Virtuální počítač se spravovanými přihlašovacími údaji používá k získání přístupového tokenu ID Microsoft Entra.

Screenshot of the managed identity sign-in log.

Velikost sestavy: Malé
příklady:

Pole zobrazená v této sestavě nemůžete přizpůsobit.

Aby bylo snazší data zjednodušit, spravované identity pro protokoly přihlašování k prostředkům Azure se seskupují neinteraktivní události přihlašování. Přihlášení ze stejné entity se agregují do jednoho řádku. Rozbalením řádku můžete zobrazit všechna různá přihlášení a jejich různá časová razítka. Přihlášení se agregují v sestavě spravovaných identit, když se shodují všechna následující data:

  • Název nebo ID spravované identity
  • Stav
  • Název nebo ID prostředku

Výběrem položky v zobrazení seznamu zobrazíte všechna přihlášení seskupené pod uzlem. Výběrem seskupené položky zobrazíte všechny podrobnosti o přihlášení.

Přihlašovací data používaná jinými službami

Přihlašovací data používají několik služeb v Azure k monitorování rizikových přihlášení, poskytování přehledu o využití aplikací a dalších možnostech.

Ochrana Microsoft Entra ID

Vizualizace dat protokolu přihlašování, která souvisí s rizikovými přihlášeními, je k dispozici v přehledu služby Microsoft Entra ID Protection , která používá následující data:

  • Rizikoví uživatelé
  • Riziková přihlášení uživatelů
  • Identity rizikových úloh

Další informace o nástrojích Microsoft Entra ID Protection naleznete v přehledu služby Microsoft Entra ID Protection.

Microsoft Entra Usage and Insights

Pokud chcete zobrazit přihlašovací data specifická pro konkrétní aplikace, přejděte do microsoft Entra ID>Monitoring &health>Usage &insights. Tyto sestavy poskytují bližší pohled na přihlášení pro aktivity aplikací Microsoft Entra a aktivitu aplikací služby AD FS. Další informace najdete v tématu Microsoft Entra Usage &insights.

Screenshot of the Usage & insights report.

V přehledech využití a přehledech je k dispozici několik sestav. Některé z těchto sestav jsou ve verzi Preview.

  • Aktivita aplikace Microsoft Entra (Preview)
  • Aktivita aplikace služby AD FS
  • Aktivita metod ověřování
  • Aktivita přihlášení instančního objektu
  • Aktivita přihlašovacích údajů aplikace

Protokoly aktivit Microsoftu 365

Protokoly aktivit Microsoftu 365 můžete zobrazit z Centrum pro správu Microsoftu 365. Aktivita Microsoftu 365 a protokoly aktivit Microsoft Entra sdílejí velký počet adresářových prostředků. Pouze Centrum pro správu Microsoftu 365 poskytuje úplné zobrazení protokolů aktivit Microsoftu 365.

K protokolům aktivit Microsoftu 365 můžete přistupovat prostřednictvím kódu programu pomocí rozhraní API pro správu Office 365.