Apa itu log masuk Microsoft Entra?

  • Artikel

Microsoft Entra mencatat semua rincian masuk ke penyewa Azure, yang mencakup aplikasi dan sumber daya internal Anda. Sebagai administrator TI, Anda perlu mengetahui arti nilai dalam log masuk, sehingga dapat menafsirkan nilai log dengan benar.

Meninjau kesalahan dan pola masuk memberikan wawasan berharga tentang cara pengguna Anda mengakses aplikasi dan layanan. Log masuk yang disediakan oleh MICROSOFT Entra ID adalah jenis log aktivitas yang kuat yang dapat Anda analisis. Artikel ini menjelaskan cara mengakses dan menggunakan log masuk.

Tampilan pratinjau log masuk mencakup rincian masuk pengguna interaktif dan non-interaktif serta perwakilan layanan dan rincian masuk identitas terkelola. Anda masih dapat melihat log masuk klasik, yang hanya menyertakan rincian masuk interaktif.

Dua log aktivitas lainnya juga tersedia untuk membantu memantau kesehatan penyewa Anda:

  • Audit – Informasi tentang perubahan yang diterapkan pada penyewa Anda, seperti pengguna dan manajemen grup atau pembaruan yang diterapkan pada sumber daya penyewa Anda.
  • Provisi – Aktivitas yang dilakukan oleh layanan provisi, seperti pembuatan grup di ServiceNow atau pengguna yang diimpor dari Workday.

Persyaratan lisensi dan peran

Peran dan lisensi yang diperlukan bervariasi berdasarkan laporan. Izin terpisah diperlukan untuk mengakses data pemantauan dan kesehatan di Microsoft Graph. Sebaiknya gunakan peran dengan akses hak istimewa paling sedikit untuk menyelaraskan dengan panduan Zero Trust.

Log / Laporan Peran Lisensi
Audit Pembaca Laporan
Pembaca Keamanan
Administrator Keamanan
Pembaca Global
 Semua edisi ID Microsoft Entra
Rincian masuk Pembaca Laporan
Pembaca Keamanan
Administrator Keamanan
Pembaca Global
 Semua edisi ID Microsoft Entra
Penyediaan Pembaca Laporan
Pembaca Keamanan
Administrator Keamanan
Pembaca Global
Operator Keamanan
Administrator Aplikasi
Administrator Aplikasi Cloud
 Microsoft Entra ID P1 atau P2
Log audit atribut keamanan kustom* Administrator Log Atribut
Pembaca Log Atribut		 Semua edisi ID Microsoft Entra
Penggunaan dan wawasan Pembaca Laporan
Pembaca Keamanan
Administrator Keamanan		 Microsoft Entra ID P1 atau P2
Perlindungan Identitas** Administrator Keamanan
Operator Keamanan
Pembaca Keamanan
Pembaca Global
 Microsoft Entra ID Gratis
Aplikasi Microsoft 365
Microsoft Entra ID P1 atau P2
Log aktivitas Microsoft Graph Administrator Keamanan
Izin untuk mengakses data di tujuan log terkait		 Microsoft Entra ID P1 atau P2

*Melihat atribut keamanan kustom di log audit atau membuat pengaturan diagnostik untuk atribut keamanan kustom memerlukan salah satu peran Log Atribut. Anda juga memerlukan peran yang sesuai untuk melihat log audit standar.

**Tingkat akses dan kemampuan untuk Perlindungan Identitas bervariasi menurut peran dan lisensi. Untuk informasi selengkapnya, lihat persyaratan lisensi untuk Perlindungan Identitas.

Apa yang dapat Anda lakukan dengan log masuk?

Anda dapat menggunakan log masuk untuk menjawab pertanyaan seperti:

  • Berapa banyak pengguna yang masuk ke aplikasi tertentu minggu ini?
  • Berapa banyak upaya masuk yang gagal terjadi dalam 24 jam terakhir?
  • Apakah pengguna masuk dari browser atau sistem operasi tertentu?
  • Manakah dari sumber daya Azure saya yang diakses oleh identitas terkelola dan perwakilan layanan?

Anda juga dapat menjelaskan aktivitas yang terkait dengan permintaan masuk dengan mengidentifikasi detail berikut:

  • Siapa – Identitas (Pengguna) yang melakukan proses masuk.
  • Cara – Klien (Aplikasi) yang digunakan untuk masuk.
  • Apa – Target (Sumber Daya) yang diakses oleh identitas.

Apa saja jenis log masuk?

Ada empat jenis log dalam pratinjau log masuk:

  • Rincian masuk pengguna interaktif
  • Rincian masuk pengguna non-interaktif
  • Rincian masuk perwakilan layanan
  • Rincian masuk identitas terkelola

Log masuk klasik hanya menyertakan rincian masuk pengguna interaktif.

Catatan

Entri dalam log masuk dihasilkan sistem dan tidak dapat diubah atau dihapus.

Rincian masuk pengguna interaktif

Rincian masuk interaktif dilakukan oleh pengguna. Mereka memberikan faktor autentikasi ke ID Microsoft Entra. Faktor autentikasi tersebut juga dapat berinteraksi dengan aplikasi pembantu, seperti aplikasi Microsoft Authenticator. Pengguna dapat memberikan kata sandi, respons terhadap tantangan MFA, faktor biometrik, atau kode QR ke ID Microsoft Entra atau ke aplikasi pembantu. Log ini juga mencakup rincian masuk federasi dari penyedia identitas yang digabungkan ke ID Microsoft Entra.

Screenshot of the interactive user sign-in log.

Ukuran laporan: Contoh kecil
:

  • Pengguna menyediakan nama pengguna dan kata sandi di layar masuk Microsoft Entra.
  • Pengguna melewati tantangan SMS MFA.
  • Pengguna menyediakan gerakan biometrik untuk membuka kunci PC Windows mereka dengan Windows Hello untuk Bisnis.
  • Pengguna digabungkan ke ID Microsoft Entra dengan pernyataan AD FS SAML.

Selain bidang default, log rincian masuk interaktif juga menunjukkan:

  • Lokasi rincian masuk
  • Apakah Akses Bersyarkala diterapkan

Pertimbangan khusus

Rincian masuk non-interaktif pada log masuk interaktif

Sebelumnya, beberapa rincian masuk non-interaktif dari klien Microsoft Exchange disertakan dalam log masuk pengguna interaktif untuk visibilitas yang lebih baik. Peningkatan visibilitas ini diperlukan sebelum log masuk pengguna non-interaktif diperkenalkan pada November 2020. Namun, penting untuk dicatat bahwa beberapa rincian masuk non-interaktif, seperti yang menggunakan kunci FIDO2, mungkin masih ditandai sebagai interaktif karena cara sistem disiapkan sebelum log non-interaktif terpisah diperkenalkan. Rincian masuk ini mungkin menampilkan detail interaktif seperti jenis kredensial klien dan informasi browser, meskipun secara teknis rincian masuk non-interaktif.

Rincian masuk passthrough

ID Microsoft Entra mengeluarkan token untuk autentikasi dan otorisasi. Dalam beberapa situasi, pengguna yang masuk ke penyewa Contoso mungkin mencoba mengakses sumber daya di penyewa Fabrikam, di mana mereka tidak memiliki akses. Token tanpa otorisasi yang disebut token passthrough, dikeluarkan untuk penyewa Fabrikam. Token passthrough tidak memungkinkan pengguna untuk mengakses sumber daya apa pun.

Sebelumnya, saat meninjau log untuk situasi ini, log masuk untuk penyewa rumah (dalam skenario ini, Contoso) tidak menunjukkan upaya masuk karena token tidak memberikan akses ke sumber daya dengan klaim apa pun. Token masuk hanya digunakan untuk menampilkan pesan kegagalan yang sesuai.

Upaya masuk passthrough sekarang muncul di log masuk penyewa rumah dan log masuk pembatasan penyewa yang relevan. Pembaruan ini memberikan lebih banyak visibilitas tentang upaya masuk pengguna dari pengguna Anda dan wawasan yang lebih mendalam tentang kebijakan pembatasan penyewa Anda.

Properti crossTenantAccessType sekarang menunjukkan passthrough untuk membedakan rincian masuk passthrough dan tersedia di pusat admin Microsoft Entra dan Microsoft Graph.

Rincian masuk perwakilan layanan khusus aplikasi pihak pertama

Log masuk perwakilan layanan tidak menyertakan aktivitas masuk khusus aplikasi pihak pertama. Jenis aktivitas ini terjadi ketika aplikasi pihak pertama mendapatkan token untuk pekerjaan internal Microsoft di mana tidak ada arah atau konteks dari pengguna. Kami mengecualikan log ini sehingga Anda tidak membayar log yang terkait dengan token Microsoft internal dalam penyewa Anda.

Anda mungkin mengidentifikasi peristiwa Microsoft Graph yang tidak berkorelasi dengan masuk perwakilan layanan jika Anda merutekan MicrosoftGraphActivityLogsSignInLogs ke ruang kerja Analitik Log yang sama. Integrasi ini memungkinkan Anda mereferensikan silang token yang dikeluarkan untuk panggilan Microsoft Graph API dengan aktivitas masuk. UniqueTokenIdentifier untuk log masuk dan SignInActivityId di log aktivitas Microsoft Graph akan hilang dari log masuk perwakilan layanan.

Rincian masuk pengguna non-interaktif

Rincian masuk non-interaktif dilakukan atas nama pengguna. Rincian masuk yang didelegasikan ini dilakukan oleh aplikasi klien atau komponen OS atas nama pengguna dan tidak mengharuskan pengguna untuk memberikan faktor autentikasi. Sebaliknya, ID Microsoft Entra mengenali kapan token pengguna perlu di-refresh dan melakukannya di belakang layar, tanpa mengganggu sesi pengguna. Secara umum, pengguna melihat rincian masuk ini seperti yang terjadi di latar belakang.

Screenshot of the non-interactive user sign-in log.

Ukuran laporan: Contoh Besar
:

  • Aplikasi klien menggunakan token refresh OAuth 2.0 untuk mendapatkan token akses.
  • Klien menggunakan kode otorisasi OAuth 2.0 untuk mendapatkan token akses dan token refresh.
  • Pengguna melakukan akses menyeluruh (SSO) ke web atau aplikasi Windows pada PC yang bergabung dengan Microsoft Entra (tanpa memberikan faktor autentikasi atau berinteraksi dengan perintah Microsoft Entra).
  • Pengguna masuk ke aplikasi Microsoft Office kedua saat mereka melakukan sesi di perangkat seluler menggunakan FOCI (Keluarga ID Klien).

Selain bidang default, log rincian masuk non-interaktif juga menunjukkan:

  • ID Sumber Daya
  • Jumlah rincian masuk yang dikelompokkan

Anda tidak dapat menyesuaikan bidang yang ditunjukkan dalam laporan ini.

Untuk mempermudah hash data, peristiwa rincian masuk non-interaktif dikelompokkan. Klien sering membuat banyak rincian masuk non-interaktif atas nama pengguna yang sama dalam waktu singkat. Rincian masuk non-interaktif memiliki karakteristik yang sama kecuali saat proses masuk dicoba. Misalnya, klien mungkin mendapatkan token akses sekali per jam atas nama pengguna. Jika status pengguna atau klien tidak berubah, alamat IP, sumber daya, dan semua informasi lainnya sama untuk setiap permintaan token akses. Satu-satunya status yang berubah adalah tanggal dan waktu masuk.

Screenshot of an aggregate sign-in expanded to show all rows.

Saat Microsoft Entra mencatat beberapa rincian masuk yang identik selain waktu dan tanggal, rincian masuk tersebut berasal dari entitas yang sama dan diagregasi ke dalam satu baris. Baris dengan beberapa rincian masuk yang identik (kecuali untuk tanggal dan waktu yang dikeluarkan) memiliki nilai yang lebih besar dari satu di kolom masuk # . Rincian masuk agregat ini mungkin juga tampak memiliki stempel waktu yang sama. Filter Agregat waktu dapat diatur ke 1 jam, 6 jam, atau 24 jam. Anda dapat meluaskan baris untuk melihat semua rincian masuk yang berbeda dan stempel waktu yang berbeda.

Rincian masuk diagregasi di pengguna non-interaktif saat data berikut ini cocok:

  • Aplikasi
  • Pengguna
  • Alamat IP
  • Keadaan
  • ID Sumber Daya

Catatan

Alamat IP masuk non-interaktif yang dilakukan oleh klien rahasia tidak cocok dengan IP sumber aktual tempat permintaan token refresh berasal. Sebaliknya, ini menunjukkan IP asli yang digunakan untuk penerbitan token asli.

Rincian masuk perwakilan layanan

Tidak seperti rincian masuk pengguna interaktif dan non-interaktif, rincian masuk perwakilan layanan tidak melibatkan pengguna. Sebagai gantinya, mereka masuk oleh akun nonpengguna apa pun, seperti aplikasi atau perwakilan layanan (kecuali rincian masuk identitas terkelola, yang hanya disertakan dalam log masuk identitas terkelola). Dalam rincian masuk ini, aplikasi atau layanan menyediakan informasi masuk sendiri, seperti sertifikat atau rahasia aplikasi untuk mengautentikasi atau mengakses sumber daya.

Screenshot of the service principal sign-in log.

Ukuran laporan: Contoh Besar
:

  • Perwakilan layanan menggunakan sertifikat untuk mengautentikasi dan mengakses Microsoft Graph.
  • Aplikasi menggunakan rahasia klien untuk mengautentikasi dalam alur Informasi Masuk Klien OAuth.

Anda tidak dapat menyesuaikan bidang yang ditunjukkan dalam laporan ini.

Untuk mempermudah hash data dalam log rincian masuk perwakilan layanan, peristiwa rincian masuk perwakilan layanan dikelompokkan. Rincian masuk dari entitas yang sama dalam kondisi yang sama diagregasi ke dalam satu baris. Anda dapat meluaskan baris untuk melihat semua rincian masuk yang berbeda dan stempel waktu yang berbeda. Rincian masuk diagregasi dalam laporan perwakilan layanan saat data berikut cocok:

  • ID atau nama prinsipal layanan
  • Keadaan
  • Alamat IP
  • ID atau nama sumber daya

Rincian masuk identitas terkelola

Identitas terkelola untuk rincian masuk sumber daya Azure adalah rincian masuk yang dilakukan oleh sumber daya yang memiliki rahasia mereka yang dikelola oleh Azure untuk menyederhanakan manajemen kredensial. VM dengan kredensial terkelola menggunakan ID Microsoft Entra untuk mendapatkan Token Akses.

Screenshot of the managed identity sign-in log.

Ukuran laporan: Contoh Kecil
:

Anda tidak dapat menyesuaikan bidang yang ditunjukkan dalam laporan ini.

Untuk mempermudah mencerna data, identitas terkelola untuk log masuk sumber daya Azure, peristiwa masuk non-interaktif dikelompokkan. Rincian masuk dari entitas yang sama diagregasi ke dalam satu baris. Anda dapat meluaskan baris untuk melihat semua rincian masuk yang berbeda dan stempel waktu yang berbeda. Rincian masuk diagregasi dalam laporan identitas terkelola saat semua data berikut ini cocok:

  • ID atau nama identitas terkelola
  • Keadaan
  • ID atau nama sumber daya

Pilih item dalam tampilan daftar untuk menampilkan semua rincian masuk yang dikelompokkan di bawah sebuah simpul. Pilih item yang dikelompokkan untuk melihat semua detail rincian masuk.

Data masuk yang digunakan oleh layanan lain

Data masuk digunakan oleh beberapa layanan di Azure untuk memantau proses masuk berisiko, memberikan wawasan tentang penggunaan aplikasi, dan banyak lagi.

Microsoft Entra ID Protection

Visualisasi data log masuk yang berkaitan dengan proses masuk berisiko tersedia dalam gambaran umum Microsoft Entra ID Protection , yang menggunakan data berikut:

  • Pengguna berisiko
  • Proses masuk pengguna berisiko
  • Identitas beban kerja berisiko

Untuk informasi selengkapnya tentang alat Microsoft Entra ID Protection, lihat gambaran umum Microsoft Entra ID Protection.

Penggunaan dan wawasan Microsoft Entra

Untuk melihat data masuk khusus aplikasi, telusuri ke Pemantauan &wawasan & Penggunaan & kesehatan> MICROSOFT Entra ID.> Laporan ini memberikan tampilan masuk yang lebih dekat untuk aktivitas aplikasi Microsoft Entra dan aktivitas aplikasi AD FS. Untuk informasi selengkapnya, lihat Penggunaan &wawasan Microsoft Entra.

Screenshot of the Usage & insights report.

Ada beberapa laporan yang tersedia dalam Penggunaan & wawasan. Beberapa laporan ini dalam pratinjau.

  • Aktivitas aplikasi Microsoft Entra (pratinjau)
  • Aktivitas aplikasi AD FS
  • Aktivitas metode autentikasi
  • Aktivitas masuk perwakilan layanan
  • Aktivitas kredensial aplikasi

Log aktivitas Microsoft 365

Anda dapat melihat log aktivitas Microsoft 365 dari pusat admin Microsoft 365. Aktivitas Microsoft 365 dan log aktivitas Microsoft Entra berbagi sejumlah besar sumber daya direktori. Hanya pusat admin Microsoft 365 yang menyediakan tampilan penuh log aktivitas Microsoft 365.

Anda dapat mengakses log aktivitas Microsoft 365 secara terprogram dengan menggunakan API Manajemen Office 365.