Jak přizpůsobit a filtrovat protokoly o aktivitách identit

Protokoly přihlašování jsou běžně používaným nástrojem pro řešení potíží s přístupem uživatelů a prošetřování rizikové přihlašovací aktivity. Protokoly auditu shromažďují každou protokolovanou událost v MICROSOFT Entra ID a dají se použít k prošetření změn ve vašem prostředí. Existuje více než 30 sloupců, ze kterých si můžete přizpůsobit zobrazení protokolů přihlašování v Centru pro správu Microsoft Entra. Protokoly auditu a protokoly zřizování je také možné přizpůsobit a filtrovat podle svých potřeb.

V tomto článku se dozvíte, jak přizpůsobit sloupce a potom vyfiltrovat protokoly, abyste našli informace, které potřebujete efektivněji.

Požadavky

• Funkční tenant Microsoft Entra s příslušnou licencí Microsoft Entra, která je k němu přidružená.
  • Pro kompletní seznam požadavků na licence, viz Licencování monitoringu a zdraví Microsoft Entra.
• Čtenář sestav je nejméně privilegovaná role požadovaná pro přístup k protokolům aktivit.
  • Úplný seznam rolí najdete v tématu Nejméně privilegovaná role podle úkolu.

Přístup k protokolům aktivit v Centru pro správu Microsoft Entra

Vždy máte přístup k vlastní historii přihlašování na adrese https://mysignins.microsoft.com. K protokolům přihlašování se dostanete také z aplikací Users a Enterprise v Microsoft Entra ID.

1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň čtenář sestav.
2. Přejděte na Entra ID>Monitorování a stav>Protokoly auditu/Protokoly přihlášení/Protokoly zřizování.

Protokoly auditu

S informacemi v protokolech auditu Microsoft Entra máte přístup ke všem záznamům systémových aktivit pro účely dodržování předpisů. Protokoly auditu jsou přístupné z části Monitorování a stav ID Microsoft Entra, kde můžete řadit a filtrovat podle každé kategorie a aktivity. K protokolům auditu můžete přistupovat také v oblasti Centra pro správu služby, kterou prošetřujete.

Pokud například hledáte změny ve skupinách Microsoft Entra, můžete přistupovat k protokolům auditu zeskupin>. Když z této služby přistupujete k protokolům auditu, filtr se automaticky upraví podle služby.

Přizpůsobení rozložení protokolů auditu

Sloupce v protokolech auditu můžete přizpůsobit tak, aby se zobrazily jenom informace, které potřebujete. Sloupce Služby, Kategorie a Aktivita spolu souvisejí, takže by měly být vždy viditelné.

Filtrování protokolů auditu

Při filtrování protokolů podle služby se automaticky změní podrobnosti o kategorii a aktivitě . V některých případech může existovat pouze jedna kategorie nebo aktivita. Podrobnou tabulku všech možných kombinací těchto podrobností najdete v tématu Aktivity auditu.

• Služba: Výchozí nastavení pro všechny dostupné služby, ale seznam můžete filtrovat na jednu nebo více výběrem možnosti z rozevíracího seznamu.

• Kategorie: Výchozí hodnota je pro všechny kategorie, ale můžete ji filtrovat a zobrazit kategorii aktivity, například změnit zásadu nebo aktivovat oprávněnou roli Microsoft Entra.

• Aktivita: Na základě vybrané kategorie a typu prostředku aktivity. Můžete vybrat konkrétní aktivitu, kterou chcete zobrazit, nebo zvolit všechny.

  Seznam všech aktivit auditu můžete získat pomocí rozhraní Microsoft Graph API: https://graph.windows.net/<tenantdomain>/activities/auditActivityTypesV2?api-version=beta

• Stav: Umožňuje podívat se na výsledek na základě toho, jestli aktivita byla úspěšná nebo neúspěšná.

• Cíl: Umožňuje vyhledat cíl nebo příjemce aktivity. Prohledejte několik prvních písmen jména nebo hlavního názvu uživatele (UPN). Cílový název a hlavní název uživatele (UPN) jsou citlivé na velikost písmen.

• Zahájeno: Umožňuje vyhledávat podle toho, kdo aktivitu zahájil, pomocí prvních několika písmen jejich jména nebo UPN. U názvu a uživatelského jména (UPN) se rozlišují malá a velká písmena.

• Rozsah dat: Umožňuje definovat časový rámec vrácených dat. Můžete vyhledat posledních 7 dní, 24 hodin nebo vlastní rozsah. Když vyberete vlastní časový rámec, můžete nakonfigurovat počáteční a koncový čas.

Protokoly přihlašování

Na stránce protokolů přihlašování můžete přepínat mezi čtyřmi typy protokolů přihlašování.

• Interaktivní přihlášení uživatelů: Přihlášení, kde uživatel poskytuje ověřovací faktor, například heslo, odpověď prostřednictvím aplikace MFA, biometrického faktoru nebo kódu QR.

• Neinteraktivní přihlášení uživatelů: Přihlášení prováděná klientem jménem uživatele Tato přihlášení nevyžadují od uživatele žádné interakce ani ověřovací faktor. Například ověřování a autorizace pomocí obnovovacích a přístupových tokenů, které nevyžadují, aby uživatel zadával přihlašovací údaje.

• Přihlášení instančního objektu: Přihlášení pomocí aplikací a instančních objektů, které nezahrnují žádného uživatele. V těchto přihlášeních aplikace nebo služba poskytuje přihlašovací údaje vlastním jménem pro ověřování nebo přístup k prostředkům.

• Spravované identity pro přihlašování k prostředkům Azure: Přihlášení pomocí prostředků Azure, které mají tajné kódy spravované v Azure. Další informace najdete v tématu Co jsou spravované identity pro prostředky Azure?.

Přizpůsobení rozložení protokolů přihlašování

Sloupce pro interaktivní protokol přihlášení uživatele můžete upravit s využitím více než 30 možností sloupců. Pokud chcete efektivněji zobrazit protokol přihlašování, věnujte chvilku přizpůsobení zobrazení podle svých potřeb.

1. Z nabídky v horní části protokolu vyberte sloupce.
2. Vyberte sloupce, které chcete zobrazit, a v dolní části okna vyberte tlačítko Uložit .

Filtrování protokolů přihlašování

Filtrování protokolů přihlašování je užitečný způsob, jak rychle najít protokoly, které odpovídají konkrétnímu scénáři. Seznam můžete například filtrovat tak, aby zobrazoval jenom přihlášení, ke kterým došlo v určitém geografickém umístění, z konkrétního operačního systému nebo z konkrétního typu přihlašovacích údajů.

Některé možnosti filtru vás vyzve k výběru dalších možností. Podle pokynů proveďte výběr, který potřebujete pro filtr. Můžete přidat více filtrů.

1. Vyberte tlačítko Přidat filtry , zvolte možnost filtru a vyberte Použít.

   

2. Zadejte konkrétní podrobnosti , například ID požadavku, nebo vyberte jinou možnost filtru.

   

Můžete filtrovat podle několika podrobností. Následující tabulka popisuje některé běžně používané filtry. Nejsou popsány všechny možnosti filtru.

Filtr	Popis
ID požadavku	Jedinečný identifikátor žádosti o přihlášení
ID korelace	Jedinečný identifikátor všech žádostí o přihlášení, které jsou součástí pokusu o jednotné přihlašování
Uživatel	Hlavní název uživatele (UPN) uživatele
Aplikace	Aplikace, kterou cílí žádost o přihlášení
Stav	Možnosti jsou úspěch, selhání a přerušení
Prostředek	Název služby použité pro přihlášení
adresa IP	IP adresa klienta použitého pro přihlášení
Podmíněný přístup	Možnosti se nepoužívají, úspěch a selhání
Je agent	Zvolte Ano pro přihlášení prováděná agentem a ne pro přihlášení prováděná uživatelem.
Typ agenta	Mezi možnosti patří uživatel ID agenta, identita agenta, podrobný plán identit agenta, Tvůrce agentských aplikací a ne Agentic.

Teď, když je tabulka protokolů přihlašování naformátovaná podle vašich potřeb, můžete data efektivněji analyzovat. Další analýzy a uchovávání přihlašovacích dat je možné provést exportem protokolů do jiných nástrojů.

Přizpůsobení sloupců a úprava filtru pomáhá při pohledu na protokoly s podobnými vlastnostmi. Pokud se chcete podívat na podrobnosti přihlášení, vyberte řádek v tabulce a otevřete panel Podrobnosti o aktivitě . Na panelu je několik karet, které můžete prozkoumat. Další informace najdete v tématu Podrobnosti o aktivitě protokolu přihlášení.

Filtr klientské aplikace

Při kontrole původu přihlášení možná budete muset použít filtr klientské aplikace . Klientská aplikace má dvě podkategorie: moderní klienti ověřování a klienti starší verze ověřování. Klienti moderního ověřování mají dvě další podkategorie: Prohlížeče a mobilní aplikace a desktopové klienty. Existuje několik podkategorií pro klienty ověřování starší verze, které jsou definovány v tabulce podrobností klientů ověřování starší verze .

Přihlášení k prohlížeči zahrnují všechny pokusy o přihlášení z webových prohlížečů. Při zobrazení podrobností o přihlášení z prohlížeče se na kartě Základní informace zobrazí klientská aplikace: Prohlížeč.

Na kartě Informace o zařízeníprohlížeč zobrazuje podrobnosti webového prohlížeče. Typ a verze prohlížeče jsou uvedené, ale v některých případech není název prohlížeče a verze k dispozici. Může se zobrazit něco jako Rich Client 4.0.0.0.

Podrobnosti o starší verzi klienta ověřování

Následující tabulka obsahuje podrobnosti o jednotlivých možnostech ověřování starších klientů.

Název	Popis
Ověřený protokol SMTP	Používá se klienty POP a IMAP k odesílání e-mailových zpráv.
Automatické zjišťování	Používají se klienti Outlooku a EAS k vyhledání poštovních schránek v Exchangi Online a jejich připojení.
Exchange ActiveSync	Tento filtr zobrazuje všechny pokusy o přihlášení, ve kterých došlo k pokusu o protokol EAS.
Exchange ActiveSync	Zobrazuje všechny pokusy o přihlášení od uživatelů s klientskými aplikacemi pomocí protokol Exchange ActiveSync pro připojení k Exchangi Online.
Exchange Online PowerShell	Slouží k připojení k Exchangi Online pomocí vzdáleného PowerShellu. Pokud zablokujete základní ověřování pro Exchange Online PowerShell, musíte k připojení použít modul Exchange Online PowerShell. Pokyny najdete v tématu Připojení k Prostředí PowerShell Pro Exchange Online pomocí vícefaktorového ověřování.
Webové služby systému Exchange	Programovací rozhraní, které používá Outlook, Outlook pro Mac a jiné aplikace než Microsoft.
IMAP4	Starší poštovní klient používající protokol IMAP k načtení e-mailu.
MAPI přes HTTP	Používá se v Outlooku 2010 a novějším.
Offline adresář	Kopie kolekcí seznamu adres stažených a používaných aplikací Outlook.
Outlook Anywhere (RPC přes HTTP)	Používá se v Outlooku 2016 a starším.
Služba Outlook	Používá se v aplikaci Pošta a Kalendář pro Windows 10.
Protokol POP3	Starší poštovní klient využívající protokol POP3 k načtení e-mailu.
Zpráva webových služeb	Používá se k získání dat sestavy v Exchange Online.
Ostatní klienti	Zobrazuje všechny pokusy o přihlášení od uživatelů, u kterých klientská aplikace není zahrnutá nebo neznámá.

Protokoly zřizování

Pokud chcete efektivněji zobrazit protokol zřizování, věnujte chvilku přizpůsobení zobrazení vašim potřebám. Můžete určit, které sloupce se mají zahrnout a filtrovat, aby se věci zúžily.

Přizpůsobte rozvržení

Protokol zřizování má výchozí zobrazení, ale můžete přizpůsobit sloupce.

1. Z nabídky v horní části protokolu vyberte sloupce.
2. Vyberte sloupce, které chcete zobrazit, a v dolní části okna vyberte tlačítko Uložit .

Filtrování výsledků

Při filtrování zřizovacích dat se některé hodnoty filtru dynamicky vyplní na základě vašeho tenanta. Pokud například ve vašem tenantovi nemáte žádné události typu "vytvořit", filtr Vytvořit není k dispozici.

Filtr Identita umožňuje zadat název nebo identitu, na které vám záleží. Tato identita může být uživatel, skupina, role nebo jiný objekt.

Můžete hledat podle názvu nebo ID objektu. ID se liší podle scénáře.

• Pokud zřizujete objekt z Microsoft Entra ID do Salesforce, pak ID zdroje je ID objektu uživatele v Microsoft Entra ID. Cílové ID je ID uživatele v Salesforce.
• Pokud zajišťujete přístup z Workday do Microsoft Entra ID, zdrojové ID je ID zaměstnance Workday. Cílové ID je ID uživatele v Microsoft Entra ID.
• Pokud zřizujete uživatele pro synchronizaci mezi tenanty, ID zdroje je ID uživatele ve zdrojovém tenantu. ID cíle je ID uživatele v cílovém tenantovi.

Poznámka:

Jméno uživatele nemusí být vždy ve sloupci Identita . Vždy bude existovat jedno ID.

Filtr Data umožňuje definovat časový rámec vrácených dat. Možné hodnoty jsou:

• Jeden měsíc
• Sedm dní
• 30 dní
• 24 hodin
• Vlastní časový interval (konfigurace počátečního a koncového data)

Filtr Stav umožňuje vybrat:

• Vše
• Úspěch
• Selhání
• Přeskočeno

Filtr akcí umožňuje filtrovat tyto akce:

• Vytvořit
• Aktualizovat
• Smazat
• Zakázat
• Jiný

Kromě filtrů výchozího zobrazení můžete nastavit následující filtry.

• ID úlohy: Jedinečné ID úlohy je přidružené ke každé aplikaci, pro kterou jste povolili zřizování.

• ID cyklu: ID cyklu jednoznačně identifikuje zřizovací cyklus. Toto ID můžete sdílet s podporou produktů a vyhledat cyklus, ve kterém k této události došlo.

• ID změny: ID změny je jedinečný identifikátor události zřizování. Toto ID můžete sdílet s podporou produktů a vyhledat událost zřizování.

• Zdrojový systém: Můžete určit, odkud se identita zřizuje. Pokud například zřizujete objekt z Microsoft Entra ID pro ServiceNow, zdrojový systém je Microsoft Entra ID.

• Cílový systém: Můžete určit, kam se identita přiděluje. Když například zřizujete objekt z Microsoft Entra ID pro ServiceNow, cílový systém je ServiceNow.

• Aplikace: Můžete zobrazit pouze záznamy aplikací s zobrazovaným názvem nebo ID objektu, které obsahuje určitý řetězec. Pro synchronizaci mezi tenanty použijte ID objektu konfigurace, nikoli ID aplikace.

Související obsah

• Analýza chyby přihlášení
• Řešení chyb přihlašování
• Prozkoumání všech kategorií protokolu auditu a aktivit