Tudnivalók a bejelentkezési naplótevékenység részleteiről

A Microsoft Entra megfelelőségi célból naplózza az összes bejelentkezést egy Azure-bérlőbe. Rendszergazdaként tudnia kell, mit jelentenek a bejelentkezési naplók értékei, hogy megfelelően értelmezhesse a naplóértékeket.

• Tudnivalók a bejelentkezési naplókról
• A bejelentkezési naplók testreszabása és szűrése

Ez a cikk a bejelentkezési naplókban található értékeket ismerteti. Ezek az értékek értékes információkat nyújtanak a bejelentkezési hibák elhárításához.

Bejelentkezési tevékenység összetevői

A Microsoft Entra ID-ban a bejelentkezési tevékenység három fő összetevőből áll:

• Ki: A bejelentkezést végző identitás (felhasználó).
• Hogyan: A hozzáféréshez használt ügyfél (alkalmazás).
• Mi a teendő: Az identitás által elért cél (erőforrás).

A bejelentkezés vizsgálatakor a három összetevőre összpontosítva szűkítheti a keresést, így nem minden részletet tekinthet meg. A három összetevő mindegyikében vannak olyan kapcsolódó azonosítók, amelyek további információkat nyújthatnak. Minden bejelentkezés egyedi azonosítókat is tartalmaz, amelyek korrelálnak a bejelentkezési kísérlettel a társított tevékenységekhez.

Ki

A következő részletek vannak társítva a felhasználóval:

• User
• Felhasználónév
• Felhasználói azonosító
• Bejelentkezési azonosító
• Felhasználó típusa

Hogyan

Hogyan azonosítható a felhasználó bejelentkezése az alábbi részletekkel:

• Hitelesítési követelmény
• Ügyfélalkalmazás
• Ügyfél hitelesítő adatainak típusa
• Folyamatos hozzáférés-kiértékelés

Mi

A felhasználó által elérni kívánt erőforrást az alábbi részletekkel azonosíthatja:

• Alkalmazás
• Pályázat azonosítója
• Erőforrás
• Erőforrás-azonosító
• Erőforrás-bérlő azonosítója
• Erőforrás-szolgáltatás egyszerű azonosítója

Egyedi azonosítók

A bejelentkezési naplók számos egyedi azonosítót is tartalmaznak, amelyek további betekintést nyújtanak a bejelentkezési kísérletbe.

• Korrelációs azonosító: A korrelációs azonosító ugyanabból a bejelentkezési munkamenetből származó bejelentkezéseket csoportosítja. Az érték az ügyfél által átadott paramétereken alapul, így a Microsoft Entra ID nem tudja garantálni a pontosságát.
• Kérelem azonosítója: Egy kibocsátott jogkivonatnak megfelelő azonosító. Ha egy adott jogkivonattal rendelkező bejelentkezéseket keres, először ki kell nyernie a kérés azonosítóját a jogkivonatból.
• Egyedi jogkivonat-azonosító: A bejelentkezés során átadott jogkivonat egyedi azonosítója. Ezzel az azonosítóval korrelálhatja a bejelentkezést a jogkivonat-kéréssel.

Bejelentkezési tevékenység részletei

Minden bejelentkezési kísérlet tartalmazza a három fő összetevőhöz tartozó részleteket. A részletek több lapra vannak rendezve a bejelentkezés típusától függően.

Alapadatok

Az Alapszintű információ lap a bejelentkezési kísérlethez társított adatok nagy részét tartalmazza. Jegyezze fel az egyedi azonosítókat, mivel szükség lehet rájuk a bejelentkezési problémák elhárításához. Az Alapszintű információk lapon található adatok segítségével követheti a ki, hogyan és milyen mintát.

A bejelentkezési diagnosztikát az Alapszintű információ lapon is elindíthatja. További információ: A bejelentkezési diagnosztika használata.

Bejelentkezési hibakódok

Ha a bejelentkezés sikertelen volt, a kapcsolódó naplóelem Alapszintű információ lapján további információt kaphat az okról. A hibakód és a kapcsolódó hiba oka megjelenik a részletekben. További információ: Bejelentkezési hibák elhárítása.

Hely és eszköz

A Hely és eszköz információ lapjai a felhasználó helyével és IP-címével kapcsolatos általános információkat jelenítik meg. Az Eszközadatok lapon a bejelentkezéshez használt böngésző és operációs rendszer adatai találhatók. Ez a lap azt is ismerteti, hogy az eszköz megfelel-e a megfelelő, felügyelt vagy a Microsoft Entra hibrid csatlakoztatásának.

Hitelesítési részletek

A bejelentkezési napló részleteinek Hitelesítés részletei lapján az alábbi információk találhatók minden hitelesítési kísérlethez:

• Az alkalmazott hitelesítési szabályzatok listája, például a feltételes hozzáférés vagy a biztonsági alapértelmezett beállítások.
• A bejelentkezéshez használt hitelesítési módszerek sorozata.
• Ha a hitelesítési kísérlet sikeres volt, és ennek oka.

Ez az információ lehetővé teszi a felhasználói bejelentkezés minden lépésének hibaelhárítását. Kövesse nyomon ezeket a részleteket:

• Az MFA által védett bejelentkezések mennyisége.
• Az egyes hitelesítési módszerek használati és sikerességi arányai.
• Jelszó nélküli hitelesítési módszerek használata, például jelszó nélküli telefonos bejelentkezés és FIDO2.
• Milyen gyakran teljesítik a hitelesítési követelményeket a jogkivonat-jogcímek, például amikor a rendszer nem kéri a felhasználókat arra, hogy adjanak meg jelszót, vagy adjanak meg egy SMS OTP-t.

Feltételes hozzáférés

Ha a bérlőben feltételes hozzáférési (CA) szabályzatok vannak használatban, láthatja, hogy ezek a házirendek alkalmazva lettek-e a bejelentkezési kísérletre. A bejelentkezésre alkalmazható összes szabályzat megjelenik a listában. Megjelenik a szabályzat végeredménye, így gyorsan megállapíthatja, hogy a szabályzat hatással volt-e a bejelentkezési kísérletre.

• Sikeres: A ca-házirend sikeresen alkalmazva lett a bejelentkezési kísérletre.
• Hiba: A hitelesítésszolgáltatói szabályzatot alkalmazták a bejelentkezési kísérletre, de a bejelentkezési kísérlet sikertelen volt.
• Nem alkalmazva: A bejelentkezés nem felelt meg az alkalmazandó szabályzat feltételeinek.
• Letiltva: A házirend le lett tiltva a bejelentkezési kísérlet idején.

Csak jelentés

Mivel a feltételes hozzáférési (CA-) szabályzatok megváltoztathatják a felhasználók bejelentkezési élményét, és megzavarhatják a folyamataikat, érdemes meggyőződni arról, hogy a szabályzat megfelelően van konfigurálva. A csak jelentéskészítési móddal konfigurálhat egy szabályzatot, és értékelheti annak lehetséges hatását a szabályzat engedélyezése előtt.

A bejelentkezési naplók ezen lapja megjeleníti a szabályzat hatókörébe tartozó bejelentkezési kísérletek eredményeit. További információ: Mi a feltételes hozzáférés jelentéskészítési módja? című cikk.

Bejelentkezési adatok és szempontok

A bejelentkezési naplók áttekintésekor fontos figyelembe venni az alábbi forgatókönyveket.

• IP-cím és hely: Nincs végleges kapcsolat az IP-cím és az adott címmel rendelkező számítógép fizikai helye között. A mobilszolgáltatók és a VPN-ek olyan központi készletekből adnak ki IP-címeket, amelyek gyakran távol vannak az ügyféleszköz használatától. Az IP-címek fizikai helyekké való konvertálása jelenleg a nyomkövetésen, a beállításjegyzék-adatokon, a névkeresésen és egyéb információkon alapuló legjobb lehetőség.

• Dátum és idő: A bejelentkezési kísérlet dátuma és időpontja a Microsoft Entra felügyeleti központba bejelentkezett személy időzónájára van honosítva, nem pedig a bejelentkezést megkísérlő felhasználóra.

• Feltételes hozzáférés:

  • Not applied: A bejelentkezés során nem alkalmazott házirend a felhasználóra és az alkalmazásra.
  • Success: Egy vagy több feltételes hozzáférési szabályzatot alkalmaztak vagy értékeltek ki a felhasználóra és az alkalmazásra (de nem feltétlenül a többi feltételre) a bejelentkezés során. Bár előfordulhat, hogy egy feltételes hozzáférési szabályzat nem alkalmazható, ha kiértékelték, a feltételes hozzáférés állapota sikeres lesz.
  • Failure: A bejelentkezés megfelelt legalább egy feltételes hozzáférési szabályzat felhasználó- és alkalmazásfeltételének, és az engedélyezési vezérlők vagy nem teljesülnek, vagy a hozzáférés letiltására vannak beállítva.
  • A feltételes hozzáférés nem vonatkozik a Windows-bejelentkezésre, például Vállalati Windows Hello. A feltételes hozzáférés a felhőbeli erőforrásokra irányuló bejelentkezési kísérleteket védi, nem pedig az eszköz bejelentkezési folyamatát.

• Folyamatos hozzáférés kiértékelése: Azt mutatja, hogy a bejelentkezési eseményre alkalmazták-e a folyamatos hozzáférés-kiértékelést (CAE).

  • Minden hitelesítéshez több bejelentkezési kérés is tartozik, amelyek az interaktív vagy nem interaktív lapon is megjelenhetnek.
  • A CAE csak az egyik kérés esetében jelenik meg igazként, és az interaktív vagy nem interaktív lapon is megjelenhet.
  • További információ: Bejelentkezések monitorozása és hibaelhárítása folyamatos hozzáférés-kiértékeléssel a Microsoft Entra ID-ban.

• Bérlők közötti hozzáférés típusa: Az erőforrás eléréséhez használt bérlőközi hozzáférés típusát ismerteti. A lehetséges értékek a következők:

  • none - Olyan bejelentkezési esemény, amely nem lépte át a Microsoft Entra-bérlő határait.
  • b2bCollaboration– Bérlőközi bejelentkezés, amelyet egy vendégfelhasználó a B2B-együttműködés használ.
  • b2bDirectConnect - B2B által végzett bérlőközi bejelentkezés.
  • microsoftSupport– Bérlők közötti bejelentkezés, amelyet egy Microsoft-támogatási ügynök végez egy Külső Microsoft-bérlőben.
  • serviceProvider - Bérlők közötti bejelentkezés, amelyet egy felhőszolgáltató (CSP) vagy hasonló rendszergazda hajt végre az adott CSP-ügyfél nevében egy bérlőben.
  • unknownFutureValue – Az MS Graph által használt sentinel érték, amellyel az ügyfelek kezelhetik az enumerálási listák változásait. További információ: Ajánlott eljárások a Microsoft Graph használatához.

• Bérlő: A bejelentkezési napló két bérlőazonosítót követ nyomon, amelyek relevánsak a bérlők közötti forgatókönyvekben:

  • Otthoni bérlő – A felhasználói identitást birtokbavevő bérlő. A Microsoft Entra ID nyomon követi az azonosítót és a nevet.
  • Erőforrás-bérlő – Az a bérlő, amely a (cél) erőforrás tulajdonosa.
  • Az adatvédelmi kötelezettségvállalások miatt a Microsoft Entra-azonosító nem tölti ki az otthoni bérlő nevét bérlők közötti forgatókönyvek során.
  • Ha szeretné megtudni, hogy a bérlőn kívüli felhasználók hogyan férnek hozzá az erőforrásokhoz, jelölje ki az összes olyan bejegyzést, amelyben az otthoni bérlő nem felel meg az erőforrás-bérlőnek.

• Többtényezős hitelesítés: Amikor egy felhasználó bejelentkezik az MFA-val, valójában több különálló MFA-esemény történik. Ha például egy felhasználó helytelen érvényesítési kódot ad meg, vagy nem válaszol időben, a rendszer további MFA-eseményeket küld a bejelentkezési kísérlet legújabb állapotának megfelelően. Ezek a bejelentkezési események egy sorelemként jelennek meg a Microsoft Entra bejelentkezési naplóiban. Ugyanez a bejelentkezési esemény az Azure Monitorban azonban több sorelemként jelenik meg. Ezek az események mind azonosak correlationId.

• Hitelesítési követelmény: A bejelentkezés sikerességéhez szükséges legmagasabb szintű hitelesítést jeleníti meg a bejelentkezéshez szükséges összes bejelentkezési lépéssel.

  • A Graph API támogatja $filter (eq és startsWith csak operátorok).

• Bejelentkezési eseménytípusok: Az esemény által képviselt bejelentkezési kategória.

  • A felhasználói bejelentkezések kategóriája lehet interactiveUser vagy nonInteractiveUser felel meg a bejelentkezési erőforrás isInteractive tulajdonságának .
  • A felügyelt identitáskategória a következő managedIdentity: .
  • A szolgáltatásnév kategória a servicePrincipal.
  • A Microsoft Graph API a következőket támogatja: $filter (eq csak operátor).
  • Az Azure Portal nem jeleníti meg ezt az értéket, de a bejelentkezési esemény a bejelentkezési esemény típusának megfelelő lapra kerül. A lehetséges értékek a következők:
    • interactiveUser
    • nonInteractiveUser
    • servicePrincipal
    • managedIdentity
    • unknownFutureValue

• Felhasználó típusa: Ilyenek például membera következők: , guestvagy external.

• Hitelesítési adatok:

  • Az OATH ellenőrzési kód a hitelesítési módszerként van naplózva mind az OATH hardveres, mind a szoftveres jogkivonatokhoz (például a Microsoft Authenticator alkalmazáshoz).
  • A Hitelesítés részletei lap kezdetben hiányos vagy pontatlan adatokat jeleníthet meg, amíg a naplóadatok teljes mértékben össze nem lesznek összesítve. Ismert példák:
    • A jogkivonat üzenetében a jogcímek által kielégített üzenet helytelenül jelenik meg a bejelentkezési események kezdeti naplózásakor.
    • Az elsődleges hitelesítési sor kezdetben nem lesz naplózva.
  • Ha nem biztos a naplók részleteiben, gyűjtse össze a kérésazonosítót és a korrelációs azonosítót a további elemzéshez vagy hibaelhárításhoz.
  • Ha a hitelesítési vagy munkamenet-élettartam feltételes hozzáférési szabályzatait alkalmazza, azok a bejelentkezési kísérletek fölött jelennek meg. Ha egyik beállítást sem látja, ezek a szabályzatok jelenleg nem lesznek alkalmazva. További információ: Feltételes hozzáférés munkamenet-vezérlői.