Pelajari tentang detail aktivitas log masuk

Microsoft Entra mencatat semua rincian masuk ke penyewa Azure untuk tujuan kepatuhan. Sebagai administrator TI, Anda perlu mengetahui arti nilai dalam log masuk, sehingga dapat menafsirkan nilai log dengan benar.

• Pelajari tentang log masuk
• Menyesuaikan dan memfilter log masuk

Artikel ini menjelaskan nilai yang ditemukan dalam log masuk. Nilai-nilai ini memberikan informasi berharga untuk memecahkan masalah kesalahan masuk.

Komponen aktivitas masuk

Di MICROSOFT Entra ID, aktivitas masuk terbuat dari tiga komponen utama:

• Siapa: Identitas (Pengguna) yang melakukan masuk.
• Cara: Klien (Aplikasi) yang digunakan untuk akses.
• Apa: Target (Sumber Daya) yang diakses oleh identitas.

Fokus pada ketiga komponen tersebut saat menyelidiki rincian masuk untuk mempersempit pencarian Anda sehingga Anda tidak melihat setiap detail. Dalam masing-masing dari ketiga komponen tersebut, ada pengidentifikasi terkait yang mungkin memberikan informasi lebih lanjut. Setiap rincian masuk juga berisi pengidentifikasi unik yang menghubungkan upaya masuk ke aktivitas terkait.

Siapa

Detail berikut dikaitkan dengan pengguna:

• Pengguna
• Nama Pengguna
• Id Pengguna
• Pengenal masuk
• Tipe pengguna

Bagaimana

Cara pengguna masuk dapat diidentifikasi dengan melihat detail berikut:

• Persyaratan autentikasi
• Aplikasi klien
• Jenis kredensial klien
• Evaluasi akses berkelanjutan

Apa

Anda dapat mengidentifikasi sumber daya yang coba diakses pengguna menggunakan detail berikut:

• Aplikasi
• ID aplikasi
• Sumber daya
• ID Sumber Daya
• ID penyewa sumber daya
• ID perwakilan layanan sumber daya

Pengidentifikasi unik

Log masuk juga berisi beberapa pengidentifikasi unik yang memberikan wawasan lebih lanjut tentang upaya masuk.

• ID Korelasi: ID korelasi mengelompokkan rincian masuk dari sesi masuk yang sama. Nilai didasarkan pada parameter yang diteruskan oleh klien, jadi mungkin ID Microsoft Entra tidak dapat menjamin akurasinya.
• ID Permintaan: Pengidentifikasi yang sesuai dengan token yang dikeluarkan. Jika Anda mencari rincian masuk dengan token tertentu, Anda perlu mengekstrak ID permintaan dari token, terlebih dahulu.
• Pengidentifikasi token unik: Pengidentifikasi unik untuk token yang diteruskan selama masuk. Pengidentifikasi ini digunakan untuk menghubungkan rincian masuk dengan permintaan token.

Detail aktivitas masuk

Setiap upaya masuk berisi detail yang terkait dengan tiga komponen utama tersebut. Detail diatur ke dalam beberapa tab, berdasarkan jenis masuk.

Informasi dasar

Tab Info dasar berisi sebagian besar detail yang terkait dengan upaya masuk. Perhatikan pengidentifikasi unik, karena mungkin diperlukan untuk memecahkan masalah masuk. Anda dapat mengikuti pola siapa, bagaimana, menggunakan detail di tab Info dasar.

Anda juga dapat meluncurkan Diagnostik Masuk dari tab Info dasar. Untuk informasi selengkapnya, lihat Cara menggunakan Diagnostik Masuk.

Kode kesalahan proses masuk

Jika proses masuk gagal, Anda bisa mendapatkan informasi selengkapnya tentang alasannya di tab Info dasar item log terkait. Kode kesalahan dan alasan kegagalan terkait muncul dalam detailnya. Untuk informasi selengkapnya, lihat Cara memecahkan masalah kesalahan masuk.

Lokasi dan Perangkat

Tab Info Lokasi dan Perangkat menampilkan informasi umum tentang lokasi dan alamat IP pengguna. Tab Info perangkat menyediakan detail tentang browser dan sistem operasi yang digunakan untuk masuk. Tab ini juga menyediakan detail tentang apakah perangkat mematuhi, terkelola, atau gabungan hibrid Microsoft Entra.

Detail autentikasi

Tab Detail Autentikasi dalam detail log masuk menyediakan informasi berikut untuk setiap upaya autentikasi:

• Daftar kebijakan autentikasi yang diterapkan, seperti Akses Bersyar atau Default Keamanan.
• Urutan metode autentikasi yang digunakan untuk masuk.
• Jika upaya autentikasi berhasil dan alasannya.

Informasi ini memungkinkan Anda memecahkan masalah setiap langkah dalam proses masuk pengguna. Gunakan detail ini untuk melacak:

• Volume rincian masuk yang dilindungi oleh MFA.
• Tingkat penggunaan dan keberhasilan untuk setiap metode autentikasi.
• Penggunaan metode autentikasi tanpa kata sandi, seperti Masuk Telepon Tanpa Kata Sandi, FIDO2, dan Windows Hello untuk Bisnis.
• Seberapa sering persyaratan autentikasi dipenuhi oleh klaim token, seperti ketika pengguna tidak diminta secara interaktif untuk memasukkan kata sandi atau memasukkan SMS OTP.

Akses Bersyarat

Jika kebijakan Akses Bersyarat (CA) sedang digunakan di penyewa Anda, Anda dapat melihat apakah kebijakan tersebut diterapkan ke upaya masuk. Semua kebijakan yang dapat diterapkan ke rincian masuk dicantumkan. Hasil akhir kebijakan muncul sehingga Anda dapat dengan cepat melihat apakah kebijakan memengaruhi upaya masuk.

• Berhasil: Kebijakan CA berhasil diterapkan pada upaya masuk.
• Kegagalan: Kebijakan CA diterapkan pada upaya masuk, tetapi upaya masuk gagal.
• Tidak Diterapkan: Rincian masuk tidak cocok dengan kriteria kebijakan yang akan diterapkan.
• Dinonaktifkan: Kebijakan dinonaktifkan pada saat upaya masuk.

Hanya-laporan

Karena kebijakan Akses Bersyarat (CA) dapat mengubah pengalaman masuk untuk pengguna Anda dan berpotensi mengganggu proses mereka, ada baiknya memastikan kebijakan Anda dikonfigurasi dengan benar. Dengan mode Khusus laporan, Anda dapat mengonfigurasi kebijakan dan mengevaluasi efek potensialnya sebelum mengaktifkan kebijakan.

Tab log masuk ini menampilkan hasil upaya masuk yang berada dalam cakupan kebijakan. Untuk informasi selengkapnya, lihat artikel Apa itu mode khusus laporan Akses Bersyar? .

Detail dan pertimbangan masuk

Skenario berikut penting untuk dipertimbangkan saat Anda meninjau log masuk.

• Alamat IP dan lokasi: Tidak ada koneksi pasti antara alamat IP dan di mana komputer dengan alamat tersebut berada secara fisik. Penyedia seluler dan VPN mengeluarkan alamat IP dari kumpulan pusat yang sering jauh dari tempat perangkat klien digunakan. Saat ini, mengonversi alamat IP ke lokasi fisik merupakan upaya terbaik berdasarkan pelacakan, data registri, pencarian terbalik, dan informasi lainnya.

• Akses Bersyar:

  • Not applied: Tidak ada kebijakan yang diterapkan pada pengguna dan aplikasi selama masuk.
  • Success: Satu atau beberapa kebijakan Akses Bersyarat diterapkan ke atau dievaluasi untuk pengguna dan aplikasi (tetapi belum tentu kondisi lainnya) selama masuk. Meskipun kebijakan Akses Bersyarat mungkin tidak berlaku, jika dievaluasi, status Akses Bersyarat memperlihatkan Keberhasilan.
  • Failure: Rincian masuk memenuhi kondisi pengguna dan aplikasi setidaknya satu kebijakan Akses Bersyarat dan kontrol pemberian tidak terpenuhi atau diatur untuk memblokir akses.

• Evaluasi akses berkelanjutan: Menunjukkan apakah evaluasi akses berkelanjutan (CAE) diterapkan ke peristiwa masuk.

  • Ada beberapa permintaan masuk untuk setiap autentikasi, yang dapat muncul di tab interaktif atau non-interaktif.
  • CAE hanya ditampilkan sebagai true untuk salah satu permintaan, dan dapat muncul di tab interaktif atau tab non-interaktif.
  • Untuk informasi selengkapnya, lihat Memantau dan memecahkan masalah masuk dengan evaluasi akses berkelanjutan di ID Microsoft Entra.

• Jenis akses lintas penyewa: Menjelaskan jenis akses lintas penyewa yang digunakan oleh aktor untuk mengakses sumber daya. Kemungkinan nilai adalah:

  • none - Peristiwa masuk yang tidak melewati batas penyewa Microsoft Entra.
  • b2bCollaboration- Peristiwa masuk lintas penyewa yang dilakukan oleh pengguna tamu menggunakan Kolaborasi B2B.
  • b2bDirectConnect - Peristiwa masuk lintas penyewa yang dilakukan oleh B2B.
  • microsoftSupport- Rincian masuk lintas penyewa yang dilakukan oleh agen dukungan Microsoft di penyewa eksternal Microsoft.
  • serviceProvider - Rincian masuk lintas penyewa yang dilakukan oleh Penyedia Layanan Cloud (CSP) atau admin serupa atas nama pelanggan CSP tersebut dalam penyewa.
  • unknownFutureValue - Nilai sentinel yang digunakan oleh MS Graph untuk membantu klien menangani perubahan dalam daftar enumerasi. Untuk informasi selengkapnya, lihat Praktik terbaik untuk bekerja dengan Microsoft Graph.

• Penyewa: Log masuk melacak dua pengidentifikasi penyewa yang relevan dalam skenario lintas penyewa:

  • Penyewa rumah – Penyewa yang memiliki identitas pengguna. ID Microsoft Entra melacak ID dan nama.
  • Penyewa sumber daya – Penyewa yang memiliki sumber daya (target).
  • Karena komitmen privasi, ID Microsoft Entra tidak mengisi nama penyewa rumah selama skenario lintas penyewa.
  • Untuk mengetahui bagaimana pengguna di luar penyewa Anda mengakses sumber daya Anda, pilih semua entri di mana penyewa rumah tidak cocok dengan penyewa sumber daya.

• Autentikasi multifaktor: Saat pengguna masuk dengan MFA, beberapa peristiwa MFA terpisah benar-benar terjadi. Misalnya, jika pengguna memasukkan kode validasi yang salah atau tidak merespons tepat waktu, lebih banyak peristiwa MFA dikirim untuk mencerminkan status terbaru dari upaya masuk. Peristiwa masuk ini muncul sebagai satu item baris di log masuk Microsoft Entra. Namun, peristiwa masuk yang sama di Azure Monitor muncul sebagai beberapa item baris. Semua peristiwa ini memiliki hal yang sama correlationId.

• Persyaratan autentikasi: Menunjukkan tingkat autentikasi tertinggi yang diperlukan melalui semua langkah masuk agar proses masuk berhasil.

  • Graph API mendukung $filter (eq dan startsWith operator saja).

• Jenis peristiwa masuk: Menunjukkan kategori masuk yang diwakili peristiwa.

  • Kategori rincian masuk pengguna dapat atau interactiveUsernonInteractiveUser dan sesuai dengan nilai untuk properti isInteractive pada sumber daya masuk.
  • Kategori identitas terkelola adalah managedIdentity.
  • Kategori perwakilan layanan adalah servicePrincipal.
  • Microsoft Graph API, mendukung: $filter (eq hanya operator).
  • Portal Azure tidak menampilkan nilai ini, tetapi peristiwa masuk ditempatkan di tab yang sesuai dengan jenis peristiwa masuknya. Nilai yang mungkin adalah:
    • interactiveUser
    • nonInteractiveUser
    • servicePrincipal
    • managedIdentity
    • unknownFutureValue

• Jenis pengguna: Contohnya meliputi member, guest, atau external.

• Detail autentikasi:

  • Kode verifikasi OATH dicatat sebagai metode autentikasi untuk token perangkat keras dan perangkat lunak OATH (seperti aplikasi Microsoft Authenticator).
  • Tab Detail autentikasi awalnya dapat menampilkan data yang tidak lengkap atau tidak akurat hingga informasi log sepenuhnya dikumpulkan. Contoh yang diketahui meliputi:
    • Pesan dipenuhi dengan klaim dalam token salah ditampilkan ketika aktivitas masuk awalnya dicatat.
    • Baris Autentikasi utama awalnya tidak dicatat.
  • Jika Anda tidak yakin dengan detail dalam log, kumpulkan ID Permintaan dan ID Korelasi yang akan digunakan untuk menganalisis atau memecahkan masalah lebih lanjut.
  • Jika kebijakan Akses Bersyarat untuk autentikasi atau masa pakai sesi diterapkan, kebijakan tersebut tercantum di atas upaya masuk. Jika Anda tidak melihat salah satu opsi tersebut, kebijakan tersebut saat ini tidak diterapkan. Untuk informasi selengkapnya, lihat Kontrol sesi Akses Bersyar.