A Microsoft Entra monitorozási és állapotkezelési kérdései

Tekintse meg a Microsoft Entra ID licencelését a Microsoft Entra-kiadás frissítéséhez.

Ha már rendelkezik tevékenységnapló-adatokkal ingyenes licencként, azonnal láthatja. Ha nem rendelkezik adatokkal, akkor akár három napig is eltarthat, amíg az adatok megjelennek a jelentésekben.

Ha nemrég váltott prémium verzióra (beleértve a próbaverziót is), az adatok kezdetben legfeljebb hét napig láthatók. Amikor az adatok felhalmozódnak, az elmúlt 30 nap adatait láthatja.

A naplózási és bejelentkezési naplók megtekintésének legkevésbé jogosultsági szerepköre a Jelentésolvasó. Más szerepkörök közé tartozik a biztonsági olvasó és a biztonsági rendszergazda.

A bejelentkezési és naplózási naplók egyaránt elérhetők az Azure Monitoron keresztüli útválasztáshoz. A B2C-hez kapcsolódó naplózási események jelenleg nem szerepelnek benne. További információ: Microsoft Entra tevékenységnapló-integrációk és a Graph API tevékenységnaplójának áttekintése.

A Microsoft 365 és a Microsoft Entra tevékenységnaplói számos címtárerőforrást osztanak meg. Ha teljes képet szeretne kapni a Microsoft 365 tevékenységnaplóiról, lépjen a Microsoft 365 Felügyeleti központ az Office 365-tevékenységnaplók adatainak lekéréséhez. A Microsoft 365 API-jait a Microsoft 365 Felügyeleti API-król szóló cikk ismerteti.

Számos tényező határozza meg a Microsoft Entra felügyeleti központból letölthető naplók számát, például a böngésző memóriaméretét, a hálózati sebességeket és a Microsoft Entra jelentéskészítő API-k terhelését. Az auditnaplók esetében általában 250 000-nél kisebb adatkészletek, a bejelentkezési és kiépítési naplók esetében pedig 100 000-nél kisebb adatkészletek működnek jól a böngésző letöltési funkciójával. A megadott mezők számától függően ez a szám változhat. Ha problémákba ütközik a nagy letöltések böngészőben való végrehajtásakor, a jelentéskészítési API-val töltse le az adatokat, vagy küldje el a naplókat egy végpontnak diagnosztikai beállításokon keresztül.

A Letöltés megkezdésekor a Microsoft Entra felügyeleti központban található aktív szűrők határozzák meg a letölthető naplók adott készletét. A Microsoft Entra felügyeleti központban például egy adott felhasználóra való szűrés azt jelenti, hogy a letöltési naplók lekérése az adott felhasználóhoz. A letöltött naplók oszlopai nem változnak. A kimenet a Microsoft Entra Felügyeleti központban testre szabott oszlopoktól függetlenül tartalmazza az audit- vagy bejelentkezési napló összes részletét.

A licenctől függően a Microsoft Entra ID 7–30 napig tárolja a tevékenységnaplókat. További információ: Microsoft Entra jelentésmegőrzési szabályzatok.

A diagnosztikai beállítások tárolómegőrzési funkciója elavult. A módosítás részleteiért lásd: Migrálás a diagnosztikai beállítások tárterület-megőrzéséről az Azure Storage életciklus-felügyeletére.

Jelenleg nincs konkrét tevékenység a licencvásárlások vagy -engedélyezés naplózási naplóiban. Előfordulhat azonban, hogy az "Erőforrás-kezelés" kategóriából az "Előkészítési erőforrás a PIM-be" tevékenységet egy licenc megvásárlásával vagy engedélyezésével korrelálhatja. Előfordulhat, hogy ez a tevékenység nem mindig érhető el, vagy nem adja meg a pontos részleteket.

A signInActivity erőforrás olyan inaktív felhasználók keresésére szolgál, akik már egy ideje nem jelentkeznek be. Közel valós időben nem frissül. Ha gyorsabban meg kell találnia a felhasználó utolsó bejelentkezési tevékenységét, a Microsoft Entra bejelentkezési naplói segítségével közel valós idejű bejelentkezési tevékenységet jeleníthet meg az összes felhasználó számára.

A CSV tartalmazza a kiválasztott bejelentkezési típus bejelentkezési naplóit. A Microsoft Graph API-ban beágyazott tömbként megjelenített adatok nem szerepelnek a bejelentkezési naplókban. A feltételes hozzáférési szabályzatok és a csak jelentéssel kapcsolatos információk például nem szerepelnek benne. Ha a bejelentkezési naplókban található összes adatot exportálnia kell, használja az Adatbeállítások exportálása funkciót.

Azt is fontos megjegyezni, hogy a letöltött naplókban szereplő oszlopok nem változnak, még akkor sem, ha testre szabta az oszlopokat a Microsoft Entra felügyeleti központban.

A Microsoft Entra ID a bejelentkezési naplókban újrakódolhatja az IP-címek egy részét, hogy megvédje a felhasználói adatokat, ha egy felhasználó esetleg nem a naplókat megtekintő bérlőhöz tartozik. Ez a művelet két esetben történik:

• Bérlőközi bejelentkezések során, például amikor egy CSP-technikus bejelentkezik egy csp által felügyelt bérlőbe.
• Ha szolgáltatásunk nem tudta kellő biztonsággal meghatározni a felhasználó identitását, hogy biztos lehessen abban, hogy a felhasználó a naplókat megtekintő bérlőhöz tartozik.

A Microsoft Entra ID a bérlőhöz nem tartozó eszközök által létrehozott személyazonosításra alkalmas adatokat (PII) terjeszti ki az ügyféladatok biztosítása érdekében. A PII nem terjed ki a bérlők határain felhasználói és adattulajdonosi hozzájárulás nélkül.

A bejelentkezési bejegyzések több okból is duplikálhatók a naplókban.

• Ha egy bejelentkezés során kockázat merül fel, egy másik, közel azonos eseményt azonnal közzé kell tenni a kockázattal együtt.
• Ha egy bejelentkezéshez kapcsolódó MFA-események érkeznek, a rendszer összesíti az összes kapcsolódó eseményt az eredeti bejelentkezéshez.
• Ha egy bejelentkezési esemény partneri közzétételi művelete sikertelen, például a Kusto-ban való közzététel, a rendszer újrapróbálkozott és újra közzéteszi az események teljes kötegét, ami duplikációkat eredményezhet.
• A több feltételes hozzáférési szabályzatot tartalmazó bejelentkezési események több eseményre is feloszthatók, ami bejelentkezési eseményenként legalább két eseményt eredményezhet.

A Log Analytics TimeGenerated mezője a bejegyzés fogadásának és a Log Analytics általi közzétételének időpontja. Ne feledje, hogy ahhoz, hogy a naplók megjelenjenek a Log Analyticsben, konfigurálnia kell a diagnosztikai beállításokat a naplók Log Analytics-munkaterületre való küldéséhez . Ez a folyamat időt vesz igénybe, ezért előfordulhat, hogy a TimeGenerated mező nem felel meg a bejelentkezés tényleges időpontjának.

Ha meg szeretné győződni arról, hogy a dátum és az idő megegyezik a bejelentkezéssel, keresse meg a CreatedDateTime mezőt egy kicsit lejjebb a Log Analytics eredményei között. A AuthenticationDetails mezők kibonthatók a bejelentkezés pontos időpontjának megtekintéséhez is. A Log Analyticsben az idő UTC-ben jelenik meg, de a Microsoft Entra felügyeleti központban a bejelentkezési naplókban szereplő idő helyi idő szerint jelenik meg, ezért előfordulhat, hogy módosítania kell.

A nem interaktív bejelentkezések óránként nagy mennyiségű eseményt aktiválhatnak, így a naplókba csoportosítva vannak.

A nem interaktív bejelentkezések sok esetben azonos jellemzőkkel rendelkeznek, kivéve a bejelentkezés dátumát és időpontját. Ha az időaggregátum 24 órára van állítva, a naplók úgy tűnik, hogy egyszerre jelenítik meg a bejelentkezéseket. A csoportosított sorok mindegyike kibontható a pontos időbélyeg megtekintéséhez.

A bejelentkezési bejegyzéseknek több oka is lehet, hogy felhasználói azonosítókat, objektumazonosítókat vagy GRAFIKUS GUID-ket jelenítenek meg a felhasználónév mezőben.

• Jelszó nélküli hitelesítéssel a felhasználói azonosítók felhasználónévként jelennek meg. A forgatókönyv megerősítéséhez tekintse meg a kérdéses bejelentkezési esemény részleteit. Az authenticationDetail mező jelszó nélküli.
• A felhasználó hitelesített, de még nem jelentkezett be. A megerősítéshez egy 50058-os hibakód van, amely egy megszakítással korrelál.
• Ha a felhasználónév mező 000000-00000-0000-0000-0000 vagy hasonló értéket jelenít meg, előfordulhat, hogy bérlői korlátozások vannak érvényben, így a felhasználó nem tud bejelentkezni a kijelölt bérlőbe.
• A többtényezős hitelesítési bejelentkezési kísérletek több adatbejegyzéssel vannak összesítve, ami hosszabb időt vehet igénybe a megfelelő megjelenítéshez. Az adatok teljes összesítése akár két órát is igénybe vehet, de ritkán tart ennyi ideig.

Nem, a 90025-ös hibákat általában automatikus újrapróbálkozással oldják meg anélkül, hogy a felhasználó észleli a hibát. Ez a hiba akkor fordulhat elő, ha egy belső Microsoft Entra-alszolgáltatás eléri az újrapróbálkozási keretét, és nem jelzi, hogy a bérlő szabályozva van. Ezeket a hibákat általában belsőleg oldja meg a Microsoft Entra ID. Ha a felhasználó a hiba miatt nem tud bejelentkezni, a manuális próbálkozásnak meg kell oldania a problémát.

Ha a szolgáltatásnév azonosítója "0000000-0000-0000-0000-0000-00000000000" értékű, akkor az ügyfélalkalmazás nem rendelkezik egyszerű szolgáltatásnévvel az adott hitelesítési példányban. A Microsoft Entra már nem ad ki hozzáférési jogkivonatokat ügyfélszolgáltatás-tag nélkül, kivéve néhány Microsoft- és nem Microsoft-alkalmazást.

Ha az erőforrás-szolgáltatásnév azonosítója "0000000-0000-0000-0000-00000000000" értékkel rendelkezik, akkor az erőforrás-alkalmazáshoz nincs egyszerű szolgáltatásnév a hitelesítési példányban.

Ez a viselkedés jelenleg csak korlátozott számú erőforrás-alkalmazás esetén engedélyezett.

A bérlőben ügyfél- vagy erőforrás-szolgáltatásnév nélkül is lekérdezheti a hitelesítési példányokat.

• A következő lekérdezéssel megkeresheti a bérlő bejelentkezési naplóinak azon példányait, amelyekben hiányzik egy ügyfélszolgáltatásnév:

  https://graph.microsoft.com/beta/auditLogs/signIns?$filter=signInEventTypes/any(t: t eq 'servicePrincipal') and servicePrincipalId eq '00000000-0000-0000-0000-000000000000'
  

• Ha meg szeretné keresni a bérlő bejelentkezési naplóinak azon példányait, ahol hiányzik egy erőforrás-szolgáltatásnév, használja a következő lekérdezést:

  https://graph.microsoft.com/beta/auditLogs/signIns?$filter=signInEventTypes/any(t: t eq 'servicePrincipal') and resourceServicePrincipalId eq '00000000-0000-0000-0000-000000000000'
  

Ezeket a bejelentkezési naplókat a Microsoft Entra Felügyeleti központban is megtalálhatja.

• Jelentkezzen be a Microsoft Entra felügyeleti központjába.
• Tallózással keresse meg az Identitásfigyelés>> állapot>bejelentkezési naplóit.
• Válassza ki a szolgáltatásnév-bejelentkezéseket.
• Válasszon ki egy megfelelő időkeretet a Dátum mezőben (az elmúlt 24 órában, 7 napban stb.).
• Adjon hozzá egy szűrőt, és válassza ki a Szolgáltatásnév azonosítóját , és adja meg a "00000000-0000-0000-00000000000" értéket az ügyfél-szolgáltatásnév nélküli hitelesítési példányok lekéréséhez.

Ha szeretné szabályozni, hogyan működik a hitelesítés a bérlőben adott ügyfél- vagy erőforrásalkalmazások esetében, kövesse a Microsoft Entra alkalmazás korlátozásával foglalkozó cikk utasításait egy felhasználói cikkre.

Néhány nem interaktív bejelentkezés elérhetővé lett téve, mielőtt a nem interaktív bejelentkezési naplók nyilvános előzetes verzióban elérhetővé lettek volna téve. Ezek a nem interaktív bejelentkezések szerepeltek az interaktív bejelentkezési naplókban, és az interaktív bejelentkezési naplókban maradtak, miután a nem interaktív naplók elérhetővé váltak. A FIDO2 kulcsokat használó bejelentkezések olyan nem interaktív bejelentkezések, amelyek megjelennek az interaktív bejelentkezési naplókban. Jelenleg ezek a nem interaktív naplók mindig szerepelnek az interaktív bejelentkezési naplóban.

Az Identity Protection kockázatészlelési API-val a Microsoft Graphon keresztül érheti el a biztonsági észleléseket. Ez az API speciális szűrést és mezőválasztást tartalmaz, és egységesíti a kockázatészleléseket egy típusra, hogy könnyebben integrálódjon az SIEM-ekhez és más adatgyűjtési eszközökhöz.

A feltételes hozzáférési szabályzatokat az összes bejelentkezési naplón keresztül elháríthatja. Tekintse át a feltételes hozzáférés állapotát, és tekintse át a bejelentkezésre alkalmazott szabályzatok részleteit és az egyes szabályzatok eredményét.

Első lépések:

• Jelentkezzen be a Microsoft Entra felügyeleti központjába.
• Tallózással keresse meg az Identitásfigyelés>> állapot>bejelentkezési naplóit.
• Válassza ki a hibaelhárításhoz használni kívánt bejelentkezést.
• A Feltételes hozzáférés lapra kattintva megtekintheti az összes olyan házirendet, amely hatással volt a bejelentkezésre és az egyes szabályzatok eredményére.

A feltételes hozzáférés állapota a következő értékekkel rendelkezhet:

• Nincs alkalmazva: Nem volt feltételes hozzáférési szabályzat a felhasználóval és az alkalmazással a hatókörben.
• Sikeres: Volt egy feltételes hozzáférési szabályzat a felhasználó és az alkalmazás hatókörében, és a feltételes hozzáférési szabályzatok sikeresen teljesültek.
• Hiba: A bejelentkezés megfelelt legalább egy feltételes hozzáférési szabályzat felhasználó- és alkalmazásfeltételének, és az engedélyezési vezérlők vagy nem teljesülnek, vagy a hozzáférés letiltására vannak beállítva.

A feltételes hozzáférési szabályzatok a következő eredményekkel rendelkezhetnek:

• Sikeres: A szabályzat sikeresen teljesült.
• Hiba: A szabályzat nem teljesült.
• Nincs alkalmazva: Előfordulhat, hogy a szabályzat feltételei nem teljesültek.
• Nincs engedélyezve: Lehetséges, hogy a szabályzat le van tiltva.

A bejelentkezési napló házirendneve a feltételes hozzáférési szabályzat neve alapján történik a bejelentkezéskor. A név inkonzisztens lehet a feltételes hozzáférés házirendnevével, ha a bejelentkezés után frissítette a szabályzat nevét.

Előfordulhat, hogy a bejelentkezési napló jelenleg nem jeleníti meg a feltételes hozzáférés alkalmazásakor Exchange ActiveSync protokoll forgatókönyvek pontos eredményeit. Előfordulhatnak olyan esetek, amikor a jelentés bejelentkezési eredménye sikeres bejelentkezést mutat, de a bejelentkezés egy szabályzat miatt meghiúsult.

A feltételes hozzáférési szabályzatok nem vonatkoznak a Windows-bejelentkezésre vagy a Vállalati Windows Hello. A feltételes hozzáférési szabályzatok a felhőbeli erőforrásokra irányuló bejelentkezési kísérleteket védik, nem pedig a Windows bejelentkezési folyamatát.

Az API-referencia alapján megtudhatja, hogyan férhet hozzá a tevékenységnaplókhoz az API-k használatával. Ez a végpont két jelentéssel (naplózással és bejelentkezéssel) rendelkezik, amelyek a régi API-végponton kapott összes adatot biztosítják. Ez az új végpont egy P1 vagy P2 Microsoft Entra-azonosítójú bejelentkezési jelentéssel is rendelkezik, amellyel alkalmazáshasználati, eszközhasználati és felhasználói bejelentkezési információkat szerezhet be.

Az Identity Protection kockázatészlelési API-val a Microsoft Graphon keresztül érheti el a biztonsági észleléseket. Ez az új formátum nagyobb rugalmasságot biztosít az adatok lekérdezésében. A formátum speciális szűrést, mezőkiválasztást biztosít, és egységesíti a kockázatészleléseket egy típusra, hogy könnyebben integrálódjon az SIEM-ekhez és más adatgyűjtési eszközökhöz. Mivel az adatok más formátumúak, nem helyettesíthet új lekérdezést a régi lekérdezésekkel. Az új API azonban a Microsoft Graphot használja, amely a Microsoft szabványa az olyan API-khoz, mint a Microsoft 365 vagy a Microsoft Entra ID. A szükséges munka tehát kibővítheti a Microsoft Graph aktuális befektetéseit, vagy segíthet az új standard platformra való áttérésben.

Előfordulhat, hogy a Microsoft Graphba a Microsoft Entra felügyeleti központtól külön kell bejelentkeznie. Válassza ki a profil ikonját a jobb felső sarokban, és jelentkezzen be a jobb oldali könyvtárba. Előfordulhat, hogy olyan lekérdezést próbál futtatni, amelyhez nincs engedélye. Válassza az Engedélyek módosítása lehetőséget, és válassza a Hozzájárulás gombot. Kövesse a bejelentkezési utasításokat.

Minden alkalommal, amikor egy jogkivonatot használ egy Microsoft Graph-végpont meghívásához, a rendszer frissíti a MicrosoftGraphActivityLogs hívást. Ezen hívások némelyike csak belső, alkalmazásalapú hívások, amelyeket nem tesznek közzé a szolgáltatásnév bejelentkezési naplóiban. Ha egy MicrosoftGraphActivityLogs uniqueTokenIdentifier olyan adat jelenik meg, amelyet nem talál a bejelentkezési naplókban, a jogkivonat azonosítója egy csak belső alkalmazásjogkivonatra hivatkozik.

Ha a szolgáltatás a javaslathoz kapcsolódó tevékenységet észlel a "befejezettként" megjelölt dolog esetében, az automatikusan "aktív" értékre változik.