Pelajari tentang detail aktivitas log masuk

Microsoft Entra mencatat semua masuk ke tenant Azure untuk tujuan kepatuhan. Sebagai administrator TI, Anda perlu mengetahui arti nilai dalam log masuk, sehingga dapat menafsirkan nilai log dengan benar.

• Pelajari tentang log masuk
• Menyesuaikan dan memfilter log masuk

Artikel ini menjelaskan nilai yang ditemukan dalam log masuk. Nilai-nilai ini memberikan informasi berharga untuk memecahkan masalah kesalahan masuk.

Komponen aktivitas login

Di MICROSOFT Entra ID, aktivitas masuk terbuat dari tiga komponen utama:

• Siapa: Identitas (Pengguna) yang melakukan proses masuk.
• Cara: Klien (Aplikasi) yang digunakan untuk akses.
• Apa: Target (Sumber Daya) yang diakses oleh identitas.

Fokus pada ketiga komponen tersebut saat menyelidiki proses masuk untuk mempersempit pencarian Anda sehingga Anda tidak perlu memeriksa setiap detail. Dalam masing-masing dari ketiga komponen tersebut, ada pengidentifikasi terkait yang mungkin memberikan informasi lebih lanjut. Setiap kali masuk juga mengandung pengidentifikasi unik yang menghubungkan upaya masuk ke aktivitas terkait.

Siapa

Detail berikut dikaitkan dengan pengguna:

• Pengguna
• Nama Pengguna
• Id Pengguna
• Pengenal masuk
• Tipe pengguna

Bagaimana

Cara pengguna masuk dapat diidentifikasi dengan melihat detail berikut:

• Persyaratan autentikasi
• Aplikasi klien
• Jenis kredensial klien
• Evaluasi akses berkelanjutan

Apa

Anda dapat mengidentifikasi sumber daya yang coba diakses pengguna menggunakan detail berikut:

• Aplikasi
• ID aplikasi
• Sumber daya
• ID Sumber Daya
• ID penyewa sumber daya
• ID perwakilan layanan sumber daya

Pengidentifikasi unik

Log masuk juga berisi beberapa pengidentifikasi unik yang memberikan wawasan lebih lanjut tentang upaya masuk.

• ID Korelasi: ID korelasi mengelompokkan log masuk dalam satu sesi masuk. Nilai didasarkan pada parameter yang diteruskan oleh klien, sehingga ID Microsoft Entra tidak dapat menjamin akurasinya.
• ID Permintaan: Pengidentifikasi yang sesuai dengan token yang dikeluarkan. Jika Anda mencari masuk dengan token tertentu, Anda perlu mengekstrak ID permintaan dari token terlebih dahulu.
• Pengidentifikasi token unik: Pengidentifikasi unik untuk token yang dilalui selama login. Pengidentifikasi ini digunakan untuk menghubungkan masuk dengan permintaan token.

Rincian aktivitas masuk

Setiap upaya masuk berisi detail yang terkait dengan tiga komponen utama tersebut. Detail disusun dalam beberapa tab, berdasarkan jenis masuk/log masuk.

Informasi dasar

Tab Info dasar berisi sebagian besar detail yang terkait dengan upaya masuk. Perhatikan identifikasi unik, karena mungkin diperlukan untuk memecahkan masalah login. Anda dapat mengikuti pola siapa, bagaimana, menggunakan detail di tab Info dasar.

Anda juga dapat meluncurkan Diagnostik Masuk dari tabulasi Info dasar. Untuk informasi selengkapnya, lihat Cara menggunakan Diagnostik Masuk.

Kode kesalahan proses masuk

Jika proses masuk gagal, Anda bisa mendapatkan informasi selengkapnya tentang alasannya di tab Info dasar item log terkait. Kode kesalahan dan alasan kegagalan terkait muncul dalam detailnya. Untuk informasi selengkapnya, lihat Cara mengatasi kesalahan masuk.

Lokasi dan Perangkat

Tab Info Lokasi dan Perangkat menampilkan informasi umum tentang lokasi dan alamat IP pengguna. Tab Info perangkat menyediakan detail tentang browser dan sistem operasi yang digunakan untuk masuk. Tab ini juga menyediakan detail tentang apakah perangkat mematuhi aturan, dikelola, atau terhubung secara hibrid dengan Microsoft Entra.

Rincian autentikasi

Tab Detail Autentikasi dalam detail log masuk menyediakan informasi berikut untuk setiap upaya autentikasi:

• Daftar kebijakan autentikasi yang diterapkan, seperti Akses Bersyarat atau Pengaturan Keamanan Default.
• Urutan metode autentikasi yang digunakan untuk masuk.
• Jika upaya autentikasi berhasil dan alasannya.

Informasi ini memungkinkan Anda memecahkan masalah setiap langkah dalam proses masuk pengguna. Gunakan detail ini untuk melacak:

• Volume masuk yang dilindungi oleh MFA.
• Tingkat penggunaan dan keberhasilan untuk setiap metode autentikasi.
• Penggunaan metode autentikasi tanpa kata sandi, seperti Masuk Telepon Tanpa Kata Sandi dan FIDO2.
• Seberapa sering persyaratan autentikasi dipenuhi oleh klaim token, seperti ketika pengguna tidak diminta secara interaktif untuk memasukkan kata sandi atau memasukkan SMS OTP.

Akses Bersyarat

Jika kebijakan Akses Bersyarat sedang digunakan di penyewa Anda, Anda dapat melihat apakah kebijakan tersebut diterapkan pada percobaan masuk. Semua kebijakan yang dapat diterapkan pada masuk akun dicantumkan. Hasil akhir kebijakan muncul sehingga Anda dapat dengan cepat melihat apakah kebijakan memengaruhi upaya masuk.

• Berhasil: Kebijakan Akses Bersyarat berhasil diterapkan dalam percobaan masuk.
• Kegagalan: Kebijakan Akses Bersyarat diterapkan pada upaya masuk, tetapi upaya masuk gagal.
• Tidak Diterapkan: Masuk tidak sesuai dengan kriteria kebijakan yang akan diterapkan.
  • Ada skenario khusus yang karena sifatnya, harus dikecualikan dari evaluasi Akses Bersyarat untuk mencegah dependensi melingkar (skenario ayam dan telur) yang tidak mungkin diselesaikan. Skenario ini dianggap sebagai "skenario bootstrap" dan mungkin mencakup rincian masuk yang terkait dengan pendaftaran perangkat, kepatuhan perangkat, atau konektor Server Kebijakan Jaringan.
  • Windows Hello untuk Bisnis ditampilkan sebagai "Tidak Diterapkan" karena kebijakan Akses Bersyarat melindungi upaya masuk untuk mengakses sumber daya cloud, dan bukan untuk proses masuk Windows.
• Dinonaktifkan: Kebijakan dinonaktifkan pada saat upaya masuk.

Mode Laporan Saja

Kebijakan Akses Bersyarat dapat mengubah pengalaman masuk untuk pengguna Anda dan berpotensi mengganggu proses mereka. Sebaiknya konfigurasikan kebijakan Akses Bersyarat dalam mode khusus Laporan untuk jangka waktu tertentu untuk memastikan kebijakan Anda dikonfigurasi dengan benar. Dengan mode Hanya Laporan, Anda dapat mengonfigurasi kebijakan dan mengevaluasi efek potensialnya sebelum mengaktifkan kebijakan.

Tab log masuk ini menampilkan hasil upaya masuk yang berada dalam cakupan kebijakan. Untuk informasi selengkapnya, lihat artikel Apa itu mode hanya laporan Akses Bersyarat?.

Informasi masuk dan pertimbangan

Skenario berikut penting untuk dipertimbangkan saat Anda meninjau log masuk.

• Alamat IP dan lokasi: Tidak ada koneksi pasti antara alamat IP dan di mana komputer dengan alamat tersebut berada secara fisik. Penyedia seluler dan VPN mengeluarkan alamat IP dari kumpulan pusat yang sering jauh dari tempat perangkat klien digunakan. Saat ini, mengonversi alamat IP ke lokasi fisik merupakan upaya terbaik berdasarkan pelacakan, data registri, pencarian terbalik, dan informasi lainnya.

• Tanggal dan waktu: Tanggal dan waktu upaya masuk dilokalkan ke zona waktu untuk orang yang masuk ke pusat admin Microsoft Entra, bukan pengguna yang mencoba masuk.

• Akses Bersyarat:

  • Not applied: Tidak ada kebijakan yang diterapkan pada pengguna dan aplikasi selama masuk. Windows Hello untuk Bisnis muncul sebagai "Tidak Diterapkan" karena kebijakan Akses Bersyarat melindungi upaya masuk ke sumber daya cloud, bukan proses masuk Windows. Masuk akun lainnya mungkin terganggu sehingga kebijakan tidak diterapkan.
  • Success: Satu atau beberapa kebijakan Akses Bersyarat diterapkan atau dievaluasi untuk pengguna dan aplikasi (tetapi tidak selalu untuk kondisi lainnya) selama proses masuk. Meskipun kebijakan Akses Bersyarat mungkin tidak berlaku, jika dievaluasi, status Akses Bersyarat memperlihatkan Keberhasilan.
  • Failure: Masuk memenuhi kondisi pengguna dan aplikasi dari setidaknya satu kebijakan Akses Bersyarat, dan kontrol pemberian izin tidak dipenuhi atau diatur untuk memblokir akses.
  • Akses Bersyarat tidak berlaku untuk masuk Windows, seperti Windows Hello untuk Bisnis. Akses Bersyarat melindungi upaya masuk ke sumber daya cloud, bukan proses masuk perangkat.

• Evaluasi akses berkelanjutan: Menunjukkan apakah evaluasi akses berkelanjutan (CAE) diterapkan ke peristiwa masuk.

  • Ada beberapa permintaan masuk untuk setiap autentikasi, yang dapat muncul di tab interaktif atau non-interaktif.
  • CAE hanya ditampilkan sebagai true untuk salah satu request, dan bisa muncul di tab interaktif atau tab non-interaktif.
  • Untuk informasi selengkapnya, lihat Memantau dan memecahkan masalah masuk dengan evaluasi akses berkelanjutan di Microsoft Entra ID.

• Jenis akses lintas penyewa: Menjelaskan jenis akses lintas penyewa yang digunakan oleh aktor untuk mengakses sumber daya. Kemungkinan nilai adalah:

  • none - Peristiwa masuk yang tidak melewati batasan penyewa Microsoft Entra.
  • b2bCollaboration- Masuk lintas penyewa yang dilakukan oleh pengguna tamu menggunakan Kolaborasi B2B.
  • b2bDirectConnect - Proses masuk lintas penyewa yang dilakukan oleh B2B.
  • microsoftSupport- Tanda masuk lintas penyewa yang dilakukan oleh agen dukungan Microsoft di penyewa eksternal Microsoft.
  • serviceProvider - Masuk antar penyewa yang dilakukan oleh Penyedia Layanan Cloud (CSP) atau administrator serupa atas nama pelanggan penyewa CSP tersebut.
  • unknownFutureValue - Nilai yang digunakan oleh MS Graph untuk membantu klien menangani perubahan dalam daftar enum. Untuk informasi selengkapnya, lihat Praktik terbaik untuk bekerja dengan Microsoft Graph.

• Penyewa: Log masuk melacak dua pengidentifikasi penyewa yang relevan dalam skenario lintas penyewa:

  • Penyewa rumah – Penyewa yang memiliki identitas pengguna. ID Microsoft Entra melacak ID dan nama.
  • Penyewa sumber daya – Penyewa yang memiliki sumber daya (target).
  • Karena komitmen privasi, ID Microsoft Entra tidak mengisi nama tenant utama selama skenario lintas tenant.
  • Untuk mengetahui bagaimana pengguna di luar penyewa Anda mengakses sumber daya Anda, pilih semua entri di mana penyewa rumah tidak cocok dengan penyewa sumber daya.

• Autentikasi multifaktor: Saat pengguna masuk dengan MFA, beberapa peristiwa MFA terpisah benar-benar terjadi. Misalnya, jika pengguna memasukkan kode validasi yang salah atau tidak merespons tepat waktu, lebih banyak peristiwa MFA dikirim untuk mencerminkan status terbaru dari upaya masuk. Peristiwa masuk ini muncul sebagai satu baris item di log masuk Microsoft Entra. Namun, peristiwa masuk yang sama di Azure Monitor muncul sebagai beberapa item baris. Semua peristiwa ini memiliki hal yang sama correlationId.

• Persyaratan autentikasi: Memperlihatkan persyaratan autentikasi yang diminta oleh penyedia sumber daya agar proses masuk berhasil. Nilai ini biasanya mencerminkan tahap autentikasi yang dicapai selama masuk.

  • Upaya masuk berikutnya setelah kegagalan di mana autentikasi utama berhasil dan MFA diperlukan, nilainya adalah multiFactorAuthentication.
  • Ada beberapa kasus batas di mana bidang ini tidak mencerminkan autentikasi yang dicapai saat proses masuk. Misalnya, jika persyaratan sudah terpenuhi dari klaim MFA sebelumnya, penyedia sumber daya tidak meminta untuk menerapkannya.
  • Untuk upaya masuk di mana MFA diperlukan tetapi autentikasi utama gagal, nilainya adalah singleFactorAuthentication karena upaya tidak dievaluasi oleh Akses Bersyarat untuk memerlukan MFA.
  • Graph API mendukung $filter (eq dan startsWith operator saja).

• Jenis peristiwa masuk: Menunjukkan kategori masuk yang diwakili peristiwa.

  • Kategori masuk pengguna dapat berupa interactiveUser atau nonInteractiveUser dan berhubungan dengan nilai untuk properti isInteractive dalam sumber daya masuk.
  • Kategori identitas terkelola adalah managedIdentity.
  • Kategori perwakilan layanan adalah servicePrincipal.
  • Microsoft Graph API mendukung: $filter (operator eq saja).
  • Portal Azure tidak menampilkan nilai ini, tetapi peristiwa masuk ditempatkan di tab yang sesuai dengan jenis peristiwa masuknya. Nilai yang mungkin adalah:
    • interactiveUser
    • nonInteractiveUser
    • servicePrincipal
    • managedIdentity
    • unknownFutureValue

• Jenis pengguna: Contohnya meliputi member, guest, atau external.

• Rincian autentikasi:

  • Kode verifikasi OATH dicatat sebagai metode autentikasi untuk token perangkat keras dan perangkat lunak OATH (seperti aplikasi Microsoft Authenticator).
  • Tab Detail autentikasi awalnya dapat menampilkan data yang tidak lengkap atau tidak akurat hingga informasi log sepenuhnya dikumpulkan. Contoh yang diketahui meliputi:
    • Pesan terpenuhi oleh klaim dalam token ditampilkan secara salah ketika peristiwa masuk awal dicatat.
    • Baris Autentikasi utama awalnya tidak dicatat.
  • Jika Anda tidak yakin dengan detail dalam log, kumpulkan ID Permintaan dan ID Korelasi yang akan digunakan untuk menganalisis atau memecahkan masalah lebih lanjut.
  • Jika kebijakan Akses Bersyarat untuk autentikasi atau masa pakai sesi diterapkan, maka kebijakan tersebut dicantumkan di bagian atas dari upaya masuk. Jika Anda tidak melihat salah satu opsi tersebut, kebijakan tersebut saat ini tidak diterapkan. Untuk informasi selengkapnya, lihat kontrol sesi Akses Bersyarat.

• TimeGenerated dan CreatedDateTime:

  • Jika Anda mengirim log masuk ke ruang kerja Log Analytics, Anda mungkin melihat dua tanda waktu yang berbeda untuk peristiwa masuk yang sama.
  • Bidang TimeGenerated di Analitik Log adalah waktu peristiwa masuk diterima dan diterbitkan oleh Analitik Log.
  • Bidang CreatedDateTime adalah tanggal dan waktu aktual peristiwa masuk.
  • Perbedaan antara dua tanda waktu disebabkan oleh waktu yang diperlukan agar peristiwa masuk diproses dan dikirim ke Analitik Log.