Tudnivalók a bejelentkezési naplótevékenység részleteiről
A Microsoft Entra megfelelőségi célból naplózza az összes bejelentkezést egy Azure-bérlőbe. Rendszergazdaként tudnia kell, mit jelentenek a bejelentkezési naplók értékei, hogy megfelelően értelmezhesse a naplóértékeket.
Ez a cikk a bejelentkezési naplókban található értékeket ismerteti. Ezek az értékek értékes információkat nyújtanak a bejelentkezési hibák elhárításához.
Bejelentkezési tevékenység összetevői
A Microsoft Entra ID-ban a bejelentkezési tevékenység három fő összetevőből áll:
- Ki: A bejelentkezést végző identitás (felhasználó).
- Hogyan: A hozzáféréshez használt ügyfél (alkalmazás).
- Mi a teendő: Az identitás által elért cél (erőforrás).
A bejelentkezés vizsgálatakor a három összetevőre összpontosítva szűkítheti a keresést, így nem minden részletet tekinthet meg. A három összetevő mindegyikében vannak olyan kapcsolódó azonosítók, amelyek további információkat nyújthatnak. Minden bejelentkezés egyedi azonosítókat is tartalmaz, amelyek korrelálnak a bejelentkezési kísérlettel a társított tevékenységekhez.
Ki
A következő részletek vannak társítva a felhasználóval:
- User
- Felhasználónév
- Felhasználói azonosító
- Bejelentkezési azonosító
- Felhasználó típusa
Hogyan
Hogyan azonosítható a felhasználó bejelentkezése az alábbi részletekkel:
- Hitelesítési követelmény
- Ügyfélalkalmazás
- Ügyfél hitelesítő adatainak típusa
- Folyamatos hozzáférés-kiértékelés
Mi
A felhasználó által elérni kívánt erőforrást az alábbi részletekkel azonosíthatja:
- Alkalmazás
- Pályázat azonosítója
- Erőforrás
- Erőforrás-azonosító
- Erőforrás-bérlő azonosítója
- Erőforrás-szolgáltatás egyszerű azonosítója
Egyedi azonosítók
A bejelentkezési naplók számos egyedi azonosítót is tartalmaznak, amelyek további betekintést nyújtanak a bejelentkezési kísérletbe.
- Korrelációs azonosító: A korrelációs azonosító ugyanabból a bejelentkezési munkamenetből származó bejelentkezéseket csoportosítja. Az érték az ügyfél által átadott paramétereken alapul, így a Microsoft Entra ID nem tudja garantálni a pontosságát.
- Kérelem azonosítója: Egy kibocsátott jogkivonatnak megfelelő azonosító. Ha egy adott jogkivonattal rendelkező bejelentkezéseket keres, először ki kell nyernie a kérés azonosítóját a jogkivonatból.
- Egyedi jogkivonat-azonosító: A bejelentkezés során átadott jogkivonat egyedi azonosítója. Ezzel az azonosítóval korrelálhatja a bejelentkezést a jogkivonat-kéréssel.
Bejelentkezési tevékenység részletei
Minden bejelentkezési kísérlet tartalmazza a három fő összetevőhöz tartozó részleteket. A részletek több lapra vannak rendezve a bejelentkezés típusától függően.
Alapadatok
Az Alapszintű információ lap a bejelentkezési kísérlethez társított adatok nagy részét tartalmazza. Jegyezze fel az egyedi azonosítókat, mivel szükség lehet rájuk a bejelentkezési problémák elhárításához. Az Alapszintű információk lapon található adatok segítségével követheti a ki, hogyan és milyen mintát.
A bejelentkezési diagnosztikát az Alapszintű információ lapon is elindíthatja. További információ: A bejelentkezési diagnosztika használata.
Bejelentkezési hibakódok
Ha a bejelentkezés sikertelen volt, a kapcsolódó naplóelem Alapszintű információ lapján további információt kaphat az okról. A hibakód és a kapcsolódó hiba oka megjelenik a részletekben. További információ: Bejelentkezési hibák elhárítása.
Hely és eszköz
A Hely és eszköz információ lapjai a felhasználó helyével és IP-címével kapcsolatos általános információkat jelenítik meg. Az Eszközadatok lapon a bejelentkezéshez használt böngésző és operációs rendszer adatai találhatók. Ez a lap azt is ismerteti, hogy az eszköz megfelel-e a megfelelő, felügyelt vagy a Microsoft Entra hibrid csatlakoztatásának.
Hitelesítési részletek
A bejelentkezési napló részleteinek Hitelesítés részletei lapján az alábbi információk találhatók minden hitelesítési kísérlethez:
- Az alkalmazott hitelesítési szabályzatok listája, például a feltételes hozzáférés vagy a biztonsági alapértelmezett beállítások.
- A bejelentkezéshez használt hitelesítési módszerek sorozata.
- Ha a hitelesítési kísérlet sikeres volt, és ennek oka.
Ez az információ lehetővé teszi a felhasználói bejelentkezés minden lépésének hibaelhárítását. Kövesse nyomon ezeket a részleteket:
- Az MFA által védett bejelentkezések mennyisége.
- Az egyes hitelesítési módszerek használati és sikerességi arányai.
- Jelszó nélküli hitelesítési módszerek használata, például jelszó nélküli telefonos bejelentkezés és FIDO2.
- Milyen gyakran teljesítik a hitelesítési követelményeket a jogkivonat-jogcímek, például amikor a rendszer nem kéri a felhasználókat arra, hogy adjanak meg jelszót, vagy adjanak meg egy SMS OTP-t.
Feltételes hozzáférés
Ha a bérlőben feltételes hozzáférési (CA) szabályzatok vannak használatban, láthatja, hogy ezek a házirendek alkalmazva lettek-e a bejelentkezési kísérletre. A bejelentkezésre alkalmazható összes szabályzat megjelenik a listában. Megjelenik a szabályzat végeredménye, így gyorsan megállapíthatja, hogy a szabályzat hatással volt-e a bejelentkezési kísérletre.
- Sikeres: A ca-házirend sikeresen alkalmazva lett a bejelentkezési kísérletre.
- Hiba: A hitelesítésszolgáltatói szabályzatot alkalmazták a bejelentkezési kísérletre, de a bejelentkezési kísérlet sikertelen volt.
- Nem alkalmazva: A bejelentkezés nem felelt meg az alkalmazandó szabályzat feltételeinek.
- Letiltva: A házirend le lett tiltva a bejelentkezési kísérlet idején.
Csak jelentés
Mivel a feltételes hozzáférési (CA-) szabályzatok megváltoztathatják a felhasználók bejelentkezési élményét, és megzavarhatják a folyamataikat, érdemes meggyőződni arról, hogy a szabályzat megfelelően van konfigurálva. A csak jelentéskészítési móddal konfigurálhat egy szabályzatot, és értékelheti annak lehetséges hatását a szabályzat engedélyezése előtt.
A bejelentkezési naplók ezen lapja megjeleníti a szabályzat hatókörébe tartozó bejelentkezési kísérletek eredményeit. További információ: Mi a feltételes hozzáférés jelentéskészítési módja? című cikk.
Bejelentkezési adatok és szempontok
A bejelentkezési naplók áttekintésekor fontos figyelembe venni az alábbi forgatókönyveket.
IP-cím és hely: Nincs végleges kapcsolat az IP-cím és az adott címmel rendelkező számítógép fizikai helye között. A mobilszolgáltatók és a VPN-ek olyan központi készletekből adnak ki IP-címeket, amelyek gyakran távol vannak az ügyféleszköz használatától. Az IP-címek fizikai helyekké való konvertálása jelenleg a nyomkövetésen, a beállításjegyzék-adatokon, a névkeresésen és egyéb információkon alapuló legjobb lehetőség.
Dátum és idő: A bejelentkezési kísérlet dátuma és időpontja a Microsoft Entra felügyeleti központba bejelentkezett személy időzónájára van honosítva, nem pedig a bejelentkezést megkísérlő felhasználóra.
Feltételes hozzáférés:
Not applied
: A bejelentkezés során nem alkalmazott házirend a felhasználóra és az alkalmazásra.Success
: Egy vagy több feltételes hozzáférési szabályzatot alkalmaztak vagy értékeltek ki a felhasználóra és az alkalmazásra (de nem feltétlenül a többi feltételre) a bejelentkezés során. Bár előfordulhat, hogy egy feltételes hozzáférési szabályzat nem alkalmazható, ha kiértékelték, a feltételes hozzáférés állapota sikeres lesz.Failure
: A bejelentkezés megfelelt legalább egy feltételes hozzáférési szabályzat felhasználó- és alkalmazásfeltételének, és az engedélyezési vezérlők vagy nem teljesülnek, vagy a hozzáférés letiltására vannak beállítva.- A feltételes hozzáférés nem vonatkozik a Windows-bejelentkezésre, például Vállalati Windows Hello. A feltételes hozzáférés a felhőbeli erőforrásokra irányuló bejelentkezési kísérleteket védi, nem pedig az eszköz bejelentkezési folyamatát.
Folyamatos hozzáférés kiértékelése: Azt mutatja, hogy a bejelentkezési eseményre alkalmazták-e a folyamatos hozzáférés-kiértékelést (CAE).
- Minden hitelesítéshez több bejelentkezési kérés is tartozik, amelyek az interaktív vagy nem interaktív lapon is megjelenhetnek.
- A CAE csak az egyik kérés esetében jelenik meg igazként, és az interaktív vagy nem interaktív lapon is megjelenhet.
- További információ: Bejelentkezések monitorozása és hibaelhárítása folyamatos hozzáférés-kiértékeléssel a Microsoft Entra ID-ban.
Bérlők közötti hozzáférés típusa: Az erőforrás eléréséhez használt bérlőközi hozzáférés típusát ismerteti. A lehetséges értékek a következők:
none
- Olyan bejelentkezési esemény, amely nem lépte át a Microsoft Entra-bérlő határait.b2bCollaboration
– Bérlőközi bejelentkezés, amelyet egy vendégfelhasználó a B2B-együttműködés használ.b2bDirectConnect
- B2B által végzett bérlőközi bejelentkezés.microsoftSupport
– Bérlők közötti bejelentkezés, amelyet egy Microsoft-támogatási ügynök végez egy Külső Microsoft-bérlőben.serviceProvider
- Bérlők közötti bejelentkezés, amelyet egy felhőszolgáltató (CSP) vagy hasonló rendszergazda hajt végre az adott CSP-ügyfél nevében egy bérlőben.unknownFutureValue
– Az MS Graph által használt sentinel érték, amellyel az ügyfelek kezelhetik az enumerálási listák változásait. További információ: Ajánlott eljárások a Microsoft Graph használatához.
Bérlő: A bejelentkezési napló két bérlőazonosítót követ nyomon, amelyek relevánsak a bérlők közötti forgatókönyvekben:
- Otthoni bérlő – A felhasználói identitást birtokbavevő bérlő. A Microsoft Entra ID nyomon követi az azonosítót és a nevet.
- Erőforrás-bérlő – Az a bérlő, amely a (cél) erőforrás tulajdonosa.
- Az adatvédelmi kötelezettségvállalások miatt a Microsoft Entra-azonosító nem tölti ki az otthoni bérlő nevét bérlők közötti forgatókönyvek során.
- Ha szeretné megtudni, hogy a bérlőn kívüli felhasználók hogyan férnek hozzá az erőforrásokhoz, jelölje ki az összes olyan bejegyzést, amelyben az otthoni bérlő nem felel meg az erőforrás-bérlőnek.
Többtényezős hitelesítés: Amikor egy felhasználó bejelentkezik az MFA-val, valójában több különálló MFA-esemény történik. Ha például egy felhasználó helytelen érvényesítési kódot ad meg, vagy nem válaszol időben, a rendszer további MFA-eseményeket küld a bejelentkezési kísérlet legújabb állapotának megfelelően. Ezek a bejelentkezési események egy sorelemként jelennek meg a Microsoft Entra bejelentkezési naplóiban. Ugyanez a bejelentkezési esemény az Azure Monitorban azonban több sorelemként jelenik meg. Ezek az események mind azonosak
correlationId
.Hitelesítési követelmény: A bejelentkezés sikerességéhez szükséges legmagasabb szintű hitelesítést jeleníti meg a bejelentkezéshez szükséges összes bejelentkezési lépéssel.
- A Graph API támogatja
$filter
(eq
ésstartsWith
csak operátorok).
- A Graph API támogatja
Bejelentkezési eseménytípusok: Az esemény által képviselt bejelentkezési kategória.
- A felhasználói bejelentkezések kategóriája lehet
interactiveUser
vagynonInteractiveUser
felel meg a bejelentkezési erőforrás isInteractive tulajdonságának . - A felügyelt identitáskategória a következő
managedIdentity
: . - A szolgáltatásnév kategória a servicePrincipal.
- A Microsoft Graph API a következőket támogatja:
$filter
(eq
csak operátor). - Az Azure Portal nem jeleníti meg ezt az értéket, de a bejelentkezési esemény a bejelentkezési esemény típusának megfelelő lapra kerül. A lehetséges értékek a következők:
interactiveUser
nonInteractiveUser
servicePrincipal
managedIdentity
unknownFutureValue
- A felhasználói bejelentkezések kategóriája lehet
Felhasználó típusa: Ilyenek például
member
a következők: ,guest
vagyexternal
.Hitelesítési adatok:
- Az OATH ellenőrzési kód a hitelesítési módszerként van naplózva mind az OATH hardveres, mind a szoftveres jogkivonatokhoz (például a Microsoft Authenticator alkalmazáshoz).
- A Hitelesítés részletei lap kezdetben hiányos vagy pontatlan adatokat jeleníthet meg, amíg a naplóadatok teljes mértékben össze nem lesznek összesítve. Ismert példák:
- A jogkivonat üzenetében a jogcímek által kielégített üzenet helytelenül jelenik meg a bejelentkezési események kezdeti naplózásakor.
- Az elsődleges hitelesítési sor kezdetben nem lesz naplózva.
- Ha nem biztos a naplók részleteiben, gyűjtse össze a kérésazonosítót és a korrelációs azonosítót a további elemzéshez vagy hibaelhárításhoz.
- Ha a hitelesítési vagy munkamenet-élettartam feltételes hozzáférési szabályzatait alkalmazza, azok a bejelentkezési kísérletek fölött jelennek meg. Ha egyik beállítást sem látja, ezek a szabályzatok jelenleg nem lesznek alkalmazva. További információ: Feltételes hozzáférés munkamenet-vezérlői.