Log di accesso in Azure Active Directory

L'analisi degli errori e dei modelli di accesso offre informazioni utili su come gli utenti accedono alle applicazioni e ai servizi. I log di accesso forniti da Azure Active Directory (Azure AD) sono un tipo potente di log attività che gli amministratori IT possono analizzare. Questo articolo illustra come accedere e usare i log di accesso.

Sono disponibili anche due altri log attività per monitorare l'integrità del tenant:

  • Controllo : informazioni sulle modifiche applicate al tenant, ad esempio gli utenti e la gestione dei gruppi o gli aggiornamenti applicati alle risorse del tenant.
  • Provisioning : le attività eseguite da un servizio di provisioning, ad esempio la creazione di un gruppo in ServiceNow o un utente importato da Workday.

Cosa è possibile fare con i log di accesso?

È possibile usare il log degli accessi per trovare risposte a domande quali:

  • Qual è il modello di accesso di un utente?

  • Quanti utenti hanno effettuato l'accesso nell'arco di una settimana?

  • Qual è lo stato di questi accessi?

Come si accede ai log di accesso?

È sempre possibile accedere alla cronologia degli accessi in https://mysignins.microsoft.com.

Per accedere al log di accesso per un tenant, è necessario disporre di uno dei ruoli seguenti:

  • Amministratore globale
  • Amministratore della protezione
  • Ruolo con autorizzazioni di lettura per la sicurezza
  • Ruolo con autorizzazioni di lettura globali
  • Lettore di report

Il report sull'attività di accesso è disponibile in tutte le edizioni di Azure AD. Se si dispone di una licenza P1 o P2 di Azure Active Directory, è possibile accedere al report attività di accesso tramite l'API Microsoft Graph. vedere Procedura: Effettuare l'iscrizione alle edizioni Azure Active Directory Premium per aggiornare l'edizione di Azure Active Directory in uso. È necessario un paio di giorni per visualizzare i dati in Graph dopo l'aggiornamento a una licenza Premium senza attività di dati prima dell'aggiornamento.

Per accedere al log di accesso di Azure AD:

  1. Accedere al portale di Azure usando il ruolo con privilegi più appropriato.

  2. Passare allog di accesso diAzure Active Directory>.

    Screenshot del menu Lato monitoraggio con i log di accesso evidenziati.

È anche possibile accedere ai log di accesso dalle aree seguenti di Azure AD:

  • Utenti
  • Gruppi
  • Applicazioni aziendali

Visualizzare il log di accesso

Per visualizzare in modo più efficace il log degli accessi, dedicare alcuni momenti alla personalizzazione della visualizzazione per le proprie esigenze. È possibile specificare le colonne da includere e filtrare i dati per limitare le operazioni.

Personalizzare il layout

Il log di accesso ha una visualizzazione predefinita, ma è possibile personalizzare la visualizzazione usando oltre 30 opzioni di colonna.

  1. Selezionare Colonne dal menu nella parte superiore del log.
  2. Selezionare le colonne da visualizzare e selezionare il pulsante Salva nella parte inferiore della finestra.

Screenshot della pagina log di accesso con l'opzione Columns evidenziata.

Filtrare i risultati

Il filtro del log di accesso è un modo utile per trovare rapidamente i log che corrispondono a uno scenario specifico. Ad esempio, è possibile filtrare l'elenco solo per visualizzare gli accessi che si sono verificati in una posizione geografica specifica, da un sistema operativo specifico o da un tipo specifico di credenziali.

Alcune opzioni di filtro richiedono di selezionare altre opzioni. Seguire le istruzioni per effettuare la selezione necessaria per il filtro. È possibile aggiungere più filtri.

Selezionare l'opzione Aggiungi filtri nella parte superiore della tabella per iniziare.

Screenshot della pagina log di accesso con l'opzione Aggiungi filtri evidenziata.

Esistono diverse opzioni di filtro da scegliere. Di seguito sono riportate alcune opzioni e dettagli importanti.

  • Utente: Nome entità utente (UPN) dell'utente in questione.
  • Stato: Le opzioni sono Riuscita, Errore e Interruzione.
  • Risorsa: Nome del servizio usato per l'accesso.
  • Accesso condizionale: Stato dei criteri di accesso condizionale (CA). Sono disponibili le opzioni seguenti:
    • Non applicato: Nessun criterio applicato all'utente e all'applicazione durante l'accesso.
    • Successo: Uno o più criteri ca applicati all'utente e all'applicazione (ma non necessariamente le altre condizioni) durante l'accesso.
    • Fallimento: L'accesso ha soddisfatto la condizione utente e dell'applicazione di almeno un criterio ca e i controlli di concessione non sono soddisfatti o impostati per bloccare l'accesso.
  • Indirizzi IP: Non esiste alcuna connessione definitiva tra un indirizzo IP e dove il computer con tale indirizzo si trova fisicamente. I provider di dispositivi mobili e le VPN rilasciano indirizzi IP da pool centrali che spesso si trovano lontano dalla posizione in cui il dispositivo client viene effettivamente usato. Attualmente, la conversione di un indirizzo IP in una posizione fisica è un'approssimazione basata su tracce, dati del Registro di sistema, ricerche inverse e altre informazioni.

La tabella seguente fornisce le opzioni e le descrizioni per l'opzione Filtro app client .

Nota

A causa degli impegni relativi alla privacy, Azure AD non popola questo campo al tenant home nel caso di uno scenario multi-tenant.

Nome Autenticazione moderna Descrizione
SMTP autenticato Usato dal client POP e IMAP per inviare messaggi di posta elettronica.
Individuazione automatica Usata dai client Outlook e EAS per trovare le cassette postali in Exchange Online e connettersi a esse.
Exchange ActiveSync Questo filtro mostra tutti i tentativi di accesso in cui è stato tentato il protocollo EAS.
Browser Segno di spunta blu. Mostra tutti i tentativi di accesso da parte degli utenti che usano web browser
Exchange ActiveSync Mostra tutti i tentativi di accesso da parte degli utenti con app client usando Exchange ActiveSync per connettersi a Exchange Online
PowerShell per Exchange Online Usato per connettersi a Exchange Online con PowerShell remoto. Se si blocca l'autenticazione di base per Exchange Online PowerShell, occorre usare il modulo Exchange Online PowerShell per connettersi. Per istruzioni, vedere Connettersi a Exchange Online PowerShell con l'autenticazione a più fattori.
Servizi Web Exchange Interfaccia di programmazione usata da Outlook, Outlook per Mac e app di terze parti.
IMAP4 Client di posta legacy che usa IMAP per recuperare la posta elettronica.
MAPI su HTTP Usato da Outlook 2010 e versioni successive.
App per dispositivi mobili e client desktop Segno di spunta blu. Mostra tutti i tentativi di accesso da parte degli utenti tramite app per dispositivi mobili e client desktop.
Rubrica offline Copia delle raccolte di elenchi di indirizzi scaricate e usate da Outlook.
Outlook via Internet (RPC su HTTP) Usato da Outlook 2016 e versioni precedenti.
Servizio Outlook Usato dall'app di posta elettronica e calendario per Windows 10.
POP3 Client di posta legacy che usa POP3 per recuperare la posta elettronica.
Servizi Web per la creazione di report Funzionalità usata per recuperare i dati dei report in Exchange Online.
Altri client Mostra tutti i tentativi di accesso da parte degli utenti in cui l'app client non è inclusa o sconosciuta.

Analizzare i log di accesso

Ora che la tabella dei log di accesso viene formattata in modo appropriato, è possibile analizzare in modo più efficace i dati. Alcuni scenari comuni sono descritti qui, ma non sono gli unici modi per analizzare i dati di accesso. È possibile eseguire ulteriori analisi e conservazione dei dati di accesso esportando i log in altri strumenti.

Codice degli errori di accesso

Se un accesso non è riuscito, è possibile ottenere altre informazioni sul motivo nella sezione Informazioni di base dell'elemento di log correlato. Il codice di errore e il motivo di errore associato vengono visualizzati nei dettagli. A causa della complessità di alcuni ambienti di Azure AD, non è possibile documentare tutti i possibili codici di errore e risoluzione. Alcuni errori possono richiedere l'invio di una richiesta di supporto per risolvere il problema.

Screenshot di un codice di errore di accesso.

Per un elenco di codici di errore correlati all'autenticazione e all'autorizzazione di Azure AD, vedere l'articolo Codici di errore di autenticazione e autorizzazione di Azure AD . In alcuni casi, lo strumento di ricerca degli errori di accesso può fornire passaggi di correzione. Immettere il codice errore fornito nei dettagli del log di accesso nello strumento e selezionare il pulsante Invia .

Screenshot dello strumento di ricerca del codice di errore.

Dettagli di autenticazione

La scheda Dettagli autenticazione nei dettagli di un log di accesso fornisce le informazioni seguenti per ogni tentativo di autenticazione:

  • Elenco dei criteri di autenticazione applicati, ad esempio Accesso condizionale o Impostazioni predefinite di sicurezza.
  • Elenco di criteri di durata sessione applicati, ad esempio frequenza di accesso o MFA di memorizzazione.
  • Sequenza di metodi di autenticazione usati per l'accesso.
  • Se il tentativo di autenticazione ha avuto esito positivo e il motivo per cui.

Queste informazioni consentono di risolvere i problemi relativi a ogni passaggio dell'accesso di un utente. Usare questi dettagli per tenere traccia:

  • Volume di accessi protetti da MFA.
  • Motivo del prompt di autenticazione, in base ai criteri di durata della sessione.
  • Velocità di utilizzo e esito positivo per ogni metodo di autenticazione.
  • Utilizzo dei metodi di autenticazione senza password, ad esempio Accesso telefonico senza password, FIDO2 e Windows Hello for Business.
  • La frequenza con cui vengono soddisfatti i requisiti di autenticazione in base alle attestazioni del token, ad esempio quando gli utenti non vengono richiesti in modo interattivo di immettere una password o immettere un SMS OTP.

Durante la visualizzazione del log degli accessi, selezionare un evento di accesso e quindi selezionare la scheda Dettagli autenticazione .

Screenshot della scheda Dettagli autenticazione

Quando si analizzano i dettagli dell'autenticazione, prendere nota dei dettagli seguenti:

  • Il codice di verifica OATH viene registrato come metodo di autenticazione sia per i token hardware OATH che per i token software (ad esempio l'app Microsoft Authenticator).
  • La scheda Dettagli autenticazione può inizialmente visualizzare dati incompleti o imprecisi fino a quando le informazioni di log non sono completamente aggregate. Esempi noti includono:
    • Un'attestazione soddisfatta nel messaggio del token viene visualizzata in modo errato quando gli eventi di accesso vengono inizialmente registrati.
    • La riga di autenticazione primaria non viene inizialmente registrata.

Dati di accesso usati da altri servizi

I dati di accesso vengono usati da diversi servizi in Azure per monitorare gli accessi rischiosi e fornire informazioni dettagliate sull'utilizzo delle applicazioni.

Dati di accesso rischiosi in Azure AD Identity Protection

La visualizzazione dei dati di accesso correlati agli accessi rischiosi è disponibile nella panoramica di Azure AD Identity Protection , che usa i dati seguenti:

  • Utenti a rischio
  • Accessi utente rischiosi
  • Entità servizio rischiose
  • Accessi dell'entità servizio rischiosa

Per altre informazioni sugli strumenti di Azure AD Identity Protection, vedere panoramica di Azure AD Identity Protection.

Screenshot degli utenti rischiosi in Identity Protection.

Attività di accesso all'applicazione e all'autenticazione di Azure AD

Per visualizzare i dati di accesso specifici dell'applicazione, passare ad Azure AD e selezionare Informazioni dettagliate sull'utilizzo & nella sezione Monitoraggio. Questi report forniscono un'occhiata più approfondita agli accessi per l'attività dell'applicazione Azure AD e l'attività dell'applicazione AD FS. Per altre informazioni, vedere Informazioni dettagliate sull'utilizzo & di Azure AD.

Screenshot del report attività dell'applicazione Azure AD.

Informazioni dettagliate sull'utilizzo & di Azure AD fornisce anche il report attività Metodi di autenticazione , che suddivide l'autenticazione dal metodo usato. Usare questo report per verificare il numero di utenti configurati con autenticazione a più fattori o senza password.

Screenshot del report Metodi di autenticazione.

Log attività di Microsoft 365

È possibile visualizzare i log attività di Microsoft 365 dall'interfaccia di amministrazione di Microsoft 365. Le attività di Microsoft 365 e i log attività di Azure AD condividono un numero significativo di risorse della directory. Solo l'interfaccia di amministrazione di Microsoft 365 offre una visualizzazione completa dei log attività di Microsoft 365.

È possibile accedere ai log attività di Microsoft 365 a livello di codice usando le API di gestione di Office 365.

Passaggi successivi