Apa itu log masuk Microsoft Entra?
Microsoft Entra mencatat semua rincian masuk ke penyewa Azure, yang mencakup aplikasi dan sumber daya internal Anda. Sebagai administrator TI, Anda perlu mengetahui arti nilai dalam log masuk, sehingga dapat menafsirkan nilai log dengan benar.
Meninjau kesalahan dan pola masuk memberikan wawasan berharga tentang cara pengguna Anda mengakses aplikasi dan layanan. Log masuk yang disediakan oleh MICROSOFT Entra ID adalah jenis log aktivitas yang kuat yang dapat Anda analisis. Artikel ini menjelaskan cara mengakses dan menggunakan log masuk.
Tampilan pratinjau log masuk mencakup rincian masuk pengguna interaktif dan non-interaktif serta perwakilan layanan dan rincian masuk identitas terkelola. Anda masih dapat melihat log masuk klasik, yang hanya menyertakan rincian masuk interaktif.
Dua log aktivitas lainnya juga tersedia untuk membantu memantau kesehatan penyewa Anda:
- Audit – Informasi tentang perubahan yang diterapkan pada penyewa Anda, seperti pengguna dan manajemen grup atau pembaruan yang diterapkan pada sumber daya penyewa Anda.
- Provisi – Aktivitas yang dilakukan oleh layanan provisi, seperti pembuatan grup di ServiceNow atau pengguna yang diimpor dari Workday.
Persyaratan lisensi dan peran
Peran dan lisensi yang diperlukan bervariasi berdasarkan laporan. Izin terpisah diperlukan untuk mengakses data pemantauan dan kesehatan di Microsoft Graph. Sebaiknya gunakan peran dengan akses hak istimewa paling sedikit untuk menyelaraskan dengan panduan Zero Trust.
Log / Laporan | Peran | Lisensi |
---|---|---|
Audit | Pembaca Laporan Pembaca Keamanan Administrator Keamanan Pembaca Global |
Semua edisi ID Microsoft Entra |
Rincian masuk | Pembaca Laporan Pembaca Keamanan Administrator Keamanan Pembaca Global |
Semua edisi ID Microsoft Entra |
Penyediaan | Pembaca Laporan Pembaca Keamanan Administrator Keamanan Pembaca Global Operator Keamanan Administrator Aplikasi Administrator Aplikasi Cloud |
Microsoft Entra ID P1 atau P2 |
Log audit atribut keamanan kustom* | Administrator Log Atribut Pembaca Log Atribut |
Semua edisi ID Microsoft Entra |
Penggunaan dan wawasan | Pembaca Laporan Pembaca Keamanan Administrator Keamanan |
Microsoft Entra ID P1 atau P2 |
Perlindungan Identitas** | Administrator Keamanan Operator Keamanan Pembaca Keamanan Pembaca Global |
Microsoft Entra ID Gratis Aplikasi Microsoft 365 Microsoft Entra ID P1 atau P2 |
Log aktivitas Microsoft Graph | Administrator Keamanan Izin untuk mengakses data di tujuan log terkait |
Microsoft Entra ID P1 atau P2 |
*Melihat atribut keamanan kustom di log audit atau membuat pengaturan diagnostik untuk atribut keamanan kustom memerlukan salah satu peran Log Atribut. Anda juga memerlukan peran yang sesuai untuk melihat log audit standar.
**Tingkat akses dan kemampuan untuk Perlindungan Identitas bervariasi menurut peran dan lisensi. Untuk informasi selengkapnya, lihat persyaratan lisensi untuk Perlindungan Identitas.
Apa yang dapat Anda lakukan dengan log masuk?
Anda dapat menggunakan log masuk untuk menjawab pertanyaan seperti:
- Berapa banyak pengguna yang masuk ke aplikasi tertentu minggu ini?
- Berapa banyak upaya masuk yang gagal terjadi dalam 24 jam terakhir?
- Apakah pengguna masuk dari browser atau sistem operasi tertentu?
- Manakah dari sumber daya Azure saya yang diakses oleh identitas terkelola dan perwakilan layanan?
Anda juga dapat menjelaskan aktivitas yang terkait dengan permintaan masuk dengan mengidentifikasi detail berikut:
- Siapa – Identitas (Pengguna) yang melakukan proses masuk.
- Cara – Klien (Aplikasi) yang digunakan untuk masuk.
- Apa – Target (Sumber Daya) yang diakses oleh identitas.
Apa saja jenis log masuk?
Ada empat jenis log dalam pratinjau log masuk:
- Rincian masuk pengguna interaktif
- Rincian masuk pengguna non-interaktif
- Rincian masuk perwakilan layanan
- Rincian masuk identitas terkelola
Log masuk klasik hanya menyertakan rincian masuk pengguna interaktif.
Catatan
Entri dalam log masuk dihasilkan sistem dan tidak dapat diubah atau dihapus.
Rincian masuk pengguna interaktif
Rincian masuk interaktif dilakukan oleh pengguna. Mereka memberikan faktor autentikasi ke ID Microsoft Entra. Faktor autentikasi tersebut juga dapat berinteraksi dengan aplikasi pembantu, seperti aplikasi Microsoft Authenticator. Pengguna dapat memberikan kata sandi, respons terhadap tantangan MFA, faktor biometrik, atau kode QR ke ID Microsoft Entra atau ke aplikasi pembantu. Log ini juga mencakup rincian masuk federasi dari penyedia identitas yang digabungkan ke ID Microsoft Entra.
Ukuran laporan: Contoh kecil :
- Pengguna menyediakan nama pengguna dan kata sandi di layar masuk Microsoft Entra.
- Pengguna melewati tantangan SMS MFA.
- Pengguna menyediakan gerakan biometrik untuk membuka kunci PC Windows mereka dengan Windows Hello untuk Bisnis.
- Pengguna digabungkan ke ID Microsoft Entra dengan pernyataan AD FS SAML.
Selain bidang default, log rincian masuk interaktif juga menunjukkan:
- Lokasi rincian masuk
- Apakah Akses Bersyarkala diterapkan
Pertimbangan khusus
Rincian masuk non-interaktif pada log masuk interaktif
Sebelumnya, beberapa rincian masuk non-interaktif dari klien Microsoft Exchange disertakan dalam log masuk pengguna interaktif untuk visibilitas yang lebih baik. Peningkatan visibilitas ini diperlukan sebelum log masuk pengguna non-interaktif diperkenalkan pada November 2020. Namun, penting untuk dicatat bahwa beberapa rincian masuk non-interaktif, seperti yang menggunakan kunci FIDO2, mungkin masih ditandai sebagai interaktif karena cara sistem disiapkan sebelum log non-interaktif terpisah diperkenalkan. Rincian masuk ini mungkin menampilkan detail interaktif seperti jenis kredensial klien dan informasi browser, meskipun secara teknis rincian masuk non-interaktif.
Rincian masuk passthrough
ID Microsoft Entra mengeluarkan token untuk autentikasi dan otorisasi. Dalam beberapa situasi, pengguna yang masuk ke penyewa Contoso mungkin mencoba mengakses sumber daya di penyewa Fabrikam, di mana mereka tidak memiliki akses. Token tanpa otorisasi yang disebut token passthrough, dikeluarkan untuk penyewa Fabrikam. Token passthrough tidak memungkinkan pengguna untuk mengakses sumber daya apa pun.
Sebelumnya, saat meninjau log untuk situasi ini, log masuk untuk penyewa rumah (dalam skenario ini, Contoso) tidak menunjukkan upaya masuk karena token tidak memberikan akses ke sumber daya dengan klaim apa pun. Token masuk hanya digunakan untuk menampilkan pesan kegagalan yang sesuai.
Upaya masuk passthrough sekarang muncul di log masuk penyewa rumah dan log masuk pembatasan penyewa yang relevan. Pembaruan ini memberikan lebih banyak visibilitas tentang upaya masuk pengguna dari pengguna Anda dan wawasan yang lebih mendalam tentang kebijakan pembatasan penyewa Anda.
Properti crossTenantAccessType
sekarang menunjukkan passthrough
untuk membedakan rincian masuk passthrough dan tersedia di pusat admin Microsoft Entra dan Microsoft Graph.
Rincian masuk perwakilan layanan khusus aplikasi pihak pertama
Log masuk perwakilan layanan tidak menyertakan aktivitas masuk khusus aplikasi pihak pertama. Jenis aktivitas ini terjadi ketika aplikasi pihak pertama mendapatkan token untuk pekerjaan internal Microsoft di mana tidak ada arah atau konteks dari pengguna. Kami mengecualikan log ini sehingga Anda tidak membayar log yang terkait dengan token Microsoft internal dalam penyewa Anda.
Anda mungkin mengidentifikasi peristiwa Microsoft Graph yang tidak berkorelasi dengan masuk perwakilan layanan jika Anda merutekan MicrosoftGraphActivityLogs
SignInLogs
ke ruang kerja Analitik Log yang sama. Integrasi ini memungkinkan Anda mereferensikan silang token yang dikeluarkan untuk panggilan Microsoft Graph API dengan aktivitas masuk. UniqueTokenIdentifier
untuk log masuk dan SignInActivityId
di log aktivitas Microsoft Graph akan hilang dari log masuk perwakilan layanan.
Rincian masuk pengguna non-interaktif
Rincian masuk non-interaktif dilakukan atas nama pengguna. Rincian masuk yang didelegasikan ini dilakukan oleh aplikasi klien atau komponen OS atas nama pengguna dan tidak mengharuskan pengguna untuk memberikan faktor autentikasi. Sebaliknya, ID Microsoft Entra mengenali kapan token pengguna perlu di-refresh dan melakukannya di belakang layar, tanpa mengganggu sesi pengguna. Secara umum, pengguna melihat rincian masuk ini seperti yang terjadi di latar belakang.
Ukuran laporan: Contoh Besar :
- Aplikasi klien menggunakan token refresh OAuth 2.0 untuk mendapatkan token akses.
- Klien menggunakan kode otorisasi OAuth 2.0 untuk mendapatkan token akses dan token refresh.
- Pengguna melakukan akses menyeluruh (SSO) ke web atau aplikasi Windows pada PC yang bergabung dengan Microsoft Entra (tanpa memberikan faktor autentikasi atau berinteraksi dengan perintah Microsoft Entra).
- Pengguna masuk ke aplikasi Microsoft Office kedua saat mereka melakukan sesi di perangkat seluler menggunakan FOCI (Keluarga ID Klien).
Selain bidang default, log rincian masuk non-interaktif juga menunjukkan:
- ID Sumber Daya
- Jumlah rincian masuk yang dikelompokkan
Anda tidak dapat menyesuaikan bidang yang ditunjukkan dalam laporan ini.
Untuk mempermudah hash data, peristiwa rincian masuk non-interaktif dikelompokkan. Klien sering membuat banyak rincian masuk non-interaktif atas nama pengguna yang sama dalam waktu singkat. Rincian masuk non-interaktif memiliki karakteristik yang sama kecuali saat proses masuk dicoba. Misalnya, klien mungkin mendapatkan token akses sekali per jam atas nama pengguna. Jika status pengguna atau klien tidak berubah, alamat IP, sumber daya, dan semua informasi lainnya sama untuk setiap permintaan token akses. Satu-satunya status yang berubah adalah tanggal dan waktu masuk.
Saat Microsoft Entra mencatat beberapa rincian masuk yang identik selain waktu dan tanggal, rincian masuk tersebut berasal dari entitas yang sama dan diagregasi ke dalam satu baris. Baris dengan beberapa rincian masuk yang identik (kecuali untuk tanggal dan waktu yang dikeluarkan) memiliki nilai yang lebih besar dari satu di kolom masuk # . Rincian masuk agregat ini mungkin juga tampak memiliki stempel waktu yang sama. Filter Agregat waktu dapat diatur ke 1 jam, 6 jam, atau 24 jam. Anda dapat meluaskan baris untuk melihat semua rincian masuk yang berbeda dan stempel waktu yang berbeda.
Rincian masuk diagregasi di pengguna non-interaktif saat data berikut ini cocok:
- Aplikasi
- Pengguna
- Alamat IP
- Keadaan
- ID Sumber Daya
Catatan
Alamat IP masuk non-interaktif yang dilakukan oleh klien rahasia tidak cocok dengan IP sumber aktual tempat permintaan token refresh berasal. Sebaliknya, ini menunjukkan IP asli yang digunakan untuk penerbitan token asli.
Rincian masuk perwakilan layanan
Tidak seperti rincian masuk pengguna interaktif dan non-interaktif, rincian masuk perwakilan layanan tidak melibatkan pengguna. Sebagai gantinya, mereka masuk oleh akun nonpengguna apa pun, seperti aplikasi atau perwakilan layanan (kecuali rincian masuk identitas terkelola, yang hanya disertakan dalam log masuk identitas terkelola). Dalam rincian masuk ini, aplikasi atau layanan menyediakan informasi masuk sendiri, seperti sertifikat atau rahasia aplikasi untuk mengautentikasi atau mengakses sumber daya.
Ukuran laporan: Contoh Besar :
- Perwakilan layanan menggunakan sertifikat untuk mengautentikasi dan mengakses Microsoft Graph.
- Aplikasi menggunakan rahasia klien untuk mengautentikasi dalam alur Informasi Masuk Klien OAuth.
Anda tidak dapat menyesuaikan bidang yang ditunjukkan dalam laporan ini.
Untuk mempermudah hash data dalam log rincian masuk perwakilan layanan, peristiwa rincian masuk perwakilan layanan dikelompokkan. Rincian masuk dari entitas yang sama dalam kondisi yang sama diagregasi ke dalam satu baris. Anda dapat meluaskan baris untuk melihat semua rincian masuk yang berbeda dan stempel waktu yang berbeda. Rincian masuk diagregasi dalam laporan perwakilan layanan saat data berikut cocok:
- ID atau nama prinsipal layanan
- Keadaan
- Alamat IP
- ID atau nama sumber daya
Rincian masuk identitas terkelola
Identitas terkelola untuk rincian masuk sumber daya Azure adalah rincian masuk yang dilakukan oleh sumber daya yang memiliki rahasia mereka yang dikelola oleh Azure untuk menyederhanakan manajemen kredensial. VM dengan kredensial terkelola menggunakan ID Microsoft Entra untuk mendapatkan Token Akses.
Ukuran laporan: Contoh Kecil :
Anda tidak dapat menyesuaikan bidang yang ditunjukkan dalam laporan ini.
Untuk mempermudah mencerna data, identitas terkelola untuk log masuk sumber daya Azure, peristiwa masuk non-interaktif dikelompokkan. Rincian masuk dari entitas yang sama diagregasi ke dalam satu baris. Anda dapat meluaskan baris untuk melihat semua rincian masuk yang berbeda dan stempel waktu yang berbeda. Rincian masuk diagregasi dalam laporan identitas terkelola saat semua data berikut ini cocok:
- ID atau nama identitas terkelola
- Keadaan
- ID atau nama sumber daya
Pilih item dalam tampilan daftar untuk menampilkan semua rincian masuk yang dikelompokkan di bawah sebuah simpul. Pilih item yang dikelompokkan untuk melihat semua detail rincian masuk.
Data masuk yang digunakan oleh layanan lain
Data masuk digunakan oleh beberapa layanan di Azure untuk memantau proses masuk berisiko, memberikan wawasan tentang penggunaan aplikasi, dan banyak lagi.
Microsoft Entra ID Protection
Visualisasi data log masuk yang berkaitan dengan proses masuk berisiko tersedia dalam gambaran umum Microsoft Entra ID Protection , yang menggunakan data berikut:
- Pengguna berisiko
- Proses masuk pengguna berisiko
- Identitas beban kerja berisiko
Untuk informasi selengkapnya tentang alat Microsoft Entra ID Protection, lihat gambaran umum Microsoft Entra ID Protection.
Penggunaan dan wawasan Microsoft Entra
Untuk melihat data masuk khusus aplikasi, telusuri ke Pemantauan &wawasan & Penggunaan & kesehatan> MICROSOFT Entra ID.> Laporan ini memberikan tampilan masuk yang lebih dekat untuk aktivitas aplikasi Microsoft Entra dan aktivitas aplikasi AD FS. Untuk informasi selengkapnya, lihat Penggunaan &wawasan Microsoft Entra.
Ada beberapa laporan yang tersedia dalam Penggunaan & wawasan. Beberapa laporan ini dalam pratinjau.
- Aktivitas aplikasi Microsoft Entra (pratinjau)
- Aktivitas aplikasi AD FS
- Aktivitas metode autentikasi
- Aktivitas masuk perwakilan layanan
- Aktivitas kredensial aplikasi
Log aktivitas Microsoft 365
Anda dapat melihat log aktivitas Microsoft 365 dari pusat admin Microsoft 365. Aktivitas Microsoft 365 dan log aktivitas Microsoft Entra berbagi sejumlah besar sumber daya direktori. Hanya pusat admin Microsoft 365 yang menyediakan tampilan penuh log aktivitas Microsoft 365.
Anda dapat mengakses log aktivitas Microsoft 365 secara terprogram dengan menggunakan API Manajemen Office 365.