Che cosa sono i log di accesso di Microsoft Entra?

Microsoft Entra registra tutti gli accessi in un tenant di Azure, che include le app e le risorse interne. In qualità di amministratore IT, è necessario conoscere i valori nei log di accesso, in modo da poter interpretare correttamente i valori del log.

La revisione degli errori di accesso e dei modelli fornisce informazioni utili sul modo in cui gli utenti accedono ad applicazioni e servizi. I log di accesso forniti da Microsoft Entra ID sono un potente tipo di log attività che è possibile analizzare. Questo articolo illustra come accedere e usare i log di accesso.

La visualizzazione di anteprima dei log di accesso include accessi utente interattivi e non interattivi, nonché l'entità servizio e gli accessi alle identità gestite. È comunque possibile visualizzare i log di accesso classici, che includono solo accessi interattivi.

Sono disponibili anche altri due log attività per monitorare l'integrità del tenant:

• Audit: informazioni sulle modifiche applicate al tenant, ad esempio utenti e gestione di gruppi o aggiornamenti applicati alle risorse del tenant.
• Provisioning : attività eseguite da un servizio di provisioning, ad esempio la creazione di un gruppo in ServiceNow o un utente importato da Workday.

Requisiti di licenza e ruoli

I ruoli e le licenze necessari variano in base al report. Sono necessarie autorizzazioni separate per accedere ai dati di monitoraggio e integrità in Microsoft Graph. È consigliabile usare un ruolo con accesso con privilegi minimi per allinearsi alle linee guida Zero Trust.

Log/Report	ruoli	Licenze
Audit	Lettore di report Ruolo con autorizzazioni di lettura per la sicurezza Amministratore della sicurezza Ruolo con autorizzazioni di lettura globali	Tutte le edizioni di Microsoft Entra ID
Accessi	Lettore di report Ruolo con autorizzazioni di lettura per la sicurezza Amministratore della sicurezza Ruolo con autorizzazioni di lettura globali	Tutte le edizioni di Microsoft Entra ID
Provisioning in corso	Lettore di report Ruolo con autorizzazioni di lettura per la sicurezza Amministratore della sicurezza Ruolo con autorizzazioni di lettura globali Operatore di sicurezza Amministratore applicazione Cloud App Amministrazione istrator	Microsoft Entra ID P1 o P2
Log di controllo degli attributi di sicurezza personalizzati*	Attributo Log Amministrazione istrator Lettore log attributi	Tutte le edizioni di Microsoft Entra ID
Utilizzo e informazioni dettagliate	Lettore di report Ruolo con autorizzazioni di lettura per la sicurezza Amministratore della sicurezza	Microsoft Entra ID P1 o P2
Identity Protection**	Amministratore della sicurezza Operatore di sicurezza Ruolo con autorizzazioni di lettura per la sicurezza Ruolo con autorizzazioni di lettura globali	Microsoft Entra ID gratis App di Microsoft 365 Microsoft Entra ID P1 o P2
Log attività di Microsoft Graph	Amministratore della sicurezza Autorizzazioni per accedere ai dati nella destinazione log corrispondente	Microsoft Entra ID P1 o P2

*La visualizzazione degli attributi di sicurezza personalizzati nei log di controllo o la creazione di impostazioni di diagnostica per gli attributi di sicurezza personalizzati richiede uno dei ruoli log attributi. È anche necessario il ruolo appropriato per visualizzare i log di controllo standard.

**Il livello di accesso e funzionalità per Identity Protection varia in base al ruolo e alla licenza. Per altre informazioni, vedere i requisiti di licenza per Identity Protection.

Cosa è possibile fare con i log di accesso?

È possibile usare i log di accesso per rispondere a domande come:

• Quanti utenti hanno eseguito l'accesso a una determinata applicazione questa settimana?
• Quanti tentativi di accesso non riusciti si sono verificati nelle ultime 24 ore?
• Gli utenti accedono da browser o sistemi operativi specifici?
• Quale delle risorse di Azure è stato eseguito tramite identità gestite e entità servizio?

È anche possibile descrivere l'attività associata a una richiesta di accesso identificando i dettagli seguenti:

• Chi : identità (utente) che esegue l'accesso.
• Procedura : client (applicazione) usato per l'accesso.
• What : destinazione (risorsa) a cui l'identità accede.

Quali sono i tipi di log di accesso?

Esistono quattro tipi di log nell'anteprima dei log di accesso:

• Accessi utente interattivi
• Accessi utente non interattivi
• Accessi all'entità servizio
• Accessi con identità gestite

I log di accesso classici includono solo accessi utente interattivi.

Nota

Le voci nei log di accesso vengono generate dal sistema e non possono essere modificate o eliminate.

Accessi utente interattivi

Gli accessi interattivi vengono eseguiti da un utente. Forniscono un fattore di autenticazione all'ID Microsoft Entra. Tale fattore di autenticazione può interagire anche con un'app helper, ad esempio l'app Microsoft Authenticator. Gli utenti possono fornire password, risposte a problemi di autenticazione a più fattori, fattori biometrici o codici a matrice a Microsoft Entra ID o a un'app helper. Questo log include anche gli accessi federati dai provider di identità federati federati all'ID Microsoft Entra.

Dimensioni del report: piccoli
esempi:

• Un utente fornisce nome utente e password nella schermata di accesso di Microsoft Entra.
• Un utente supera una richiesta di autenticazione a più fattori SMS.
• Un utente fornisce un movimento biometrico per sbloccare il PC Windows con Windows Hello for Business.
• Un utente è federato all'ID Microsoft Entra con un'asserzione SAML DI AD FS.

Oltre ai campi predefiniti, viene visualizzato anche il log di accesso interattivo:

• Percorso di accesso
• Indica se è stato applicato l'accesso condizionale

Considerazioni speciali

Accessi non interattivi nei log di accesso interattivi

In precedenza, alcuni accessi non interattivi dai client di Microsoft Exchange sono stati inclusi nel log di accesso utente interattivo per una migliore visibilità. Questa maggiore visibilità era necessaria prima che i log di accesso utente non interattivi siano stati introdotti a novembre 2020. Tuttavia, è importante notare che alcuni accessi non interattivi, ad esempio quelli che usano chiavi FIDO2, potrebbero comunque essere contrassegnati come interattivi a causa del modo in cui il sistema è stato configurato prima dell'introduzione dei log non interattivi separati. Questi accessi potrebbero visualizzare dettagli interattivi, ad esempio il tipo di credenziale client e le informazioni del browser, anche se tecnicamente non sono accessi interattivi.

Accessi pass-through

Microsoft Entra ID emette token per l'autenticazione e l'autorizzazione. In alcune situazioni, un utente che ha eseguito l'accesso al tenant contoso potrebbe provare ad accedere alle risorse nel tenant di Fabrikam, in cui non ha accesso. Un token di autorizzazione senza autorizzazione denominato token pass-through viene rilasciato al tenant di Fabrikam. Il token pass-through non consente all'utente di accedere ad alcuna risorsa.

In precedenza, quando si esaminano i log per questa situazione, i log di accesso per il tenant principale (in questo scenario, Contoso) non mostrava un tentativo di accesso perché il token non concedeva l'accesso a una risorsa con attestazioni. Il token di accesso è stato usato solo per visualizzare il messaggio di errore appropriato.

I tentativi di accesso pass-in vengono ora visualizzati nei log di accesso del tenant home e nei log di accesso alle restrizioni del tenant pertinenti. Questo aggiornamento offre maggiore visibilità sui tentativi di accesso degli utenti e informazioni più approfondite sui criteri di restrizione del tenant.

La crossTenantAccessType proprietà mostra passthrough ora di distinguere gli accessi pass-through ed è disponibile nell'interfaccia di amministrazione di Microsoft Entra e in Microsoft Graph.

Accessi dell'entità servizio solo app-party

I log di accesso dell'entità servizio non includono attività di accesso solo app di prima parte. Questo tipo di attività si verifica quando le app proprietarie ottengono token per un processo Microsoft interno in cui non esiste alcuna direzione o contesto da un utente. Questi log vengono esclusi in modo da non pagare i log correlati ai token Microsoft interni all'interno del tenant.

È possibile identificare gli eventi di Microsoft Graph che non sono correlati all'accesso di un'entità servizio se si esegue il routing MicrosoftGraphActivityLogs con SignInLogs alla stessa area di lavoro Log Analytics. Questa integrazione consente di fare riferimento incrociato al token rilasciato per la chiamata all'API Microsoft Graph con l'attività di accesso. Per UniqueTokenIdentifier i log di accesso e nei SignInActivityId log attività di Microsoft Graph mancano i log di accesso dell'entità servizio.

Accessi utente non interattivi

Gli accessi non interattivi vengono eseguiti per conto di un utente. Questi accessi delegati sono stati eseguiti da un'app client o da componenti del sistema operativo per conto di un utente e non richiedono all'utente di fornire un fattore di autenticazione. Microsoft Entra ID riconosce invece quando il token dell'utente deve essere aggiornato e lo fa in background, senza interrompere la sessione dell'utente. In generale, l'utente percepisce questi accessi come avviene in background.

Dimensioni del report: esempi di grandi dimensioni
:

• Un'app client usa un token di aggiornamento OAuth 2.0 per ottenere un token di accesso.
• Un client usa un codice di autorizzazione OAuth 2.0 per ottenere un token di accesso e un token di aggiornamento.
• Un utente esegue l'accesso Single Sign-On (SSO) a un'app Web o Windows in un PC aggiunto a Microsoft Entra (senza fornire un fattore di autenticazione o interagire con un prompt di Microsoft Entra).
• Un utente accede a un secondo microsoft app Office mentre ha una sessione in un dispositivo mobile usando FOCI (Famiglia di ID client).

Oltre ai campi predefiniti, viene visualizzato anche il log di accesso non interattivo:

• ID risorsa
• Numero di accessi raggruppati

Non è possibile personalizzare i campi visualizzati in questo report.

Per semplificare il digest dei dati, gli eventi di accesso non interattivi vengono raggruppati. I client spesso creano molti accessi non interattivi per conto dello stesso utente in un breve periodo di tempo. Gli accessi non interattivi condividono le stesse caratteristiche ad eccezione del momento in cui è stato tentato l'accesso. Ad esempio, un client potrebbe ottenere un token di accesso una volta all'ora per conto di un utente. Se lo stato dell'utente o del client non cambia, l'indirizzo IP, la risorsa e tutte le altre informazioni sono uguali per ogni richiesta di token di accesso. L'unico stato che cambia è la data e l'ora dell'accesso.

Quando Microsoft Entra registra più accessi identici all'ora e alla data, tali accessi provengono dalla stessa entità e vengono aggregati in una singola riga. Una riga con più accessi identici (ad eccezione di data e ora rilasciata) ha un valore maggiore di uno nella colonna #sign-ins . Questi accessi aggregati potrebbero anche sembrare avere gli stessi timestamp. Il filtro Aggregazione ora può essere impostato su 1 ora, 6 ore o 24 ore. È possibile espandere la riga per visualizzare tutti i diversi accessi e i relativi timestamp diversi.

Gli accessi vengono aggregati negli utenti non interattivi quando i dati seguenti corrispondono:

• Applicazione
• User
• Indirizzo IP
• Status
• ID risorsa

Nota

L'indirizzo IP degli accessi non interattivi eseguiti dai client riservati non corrisponde all'indirizzo IP di origine effettivo da cui proviene la richiesta del token di aggiornamento. Mostra invece l'indirizzo IP originale usato per il rilascio del token originale.

Accessi all'entità servizio

A differenza degli accessi utente interattivi e non interattivi, gli accessi dell'entità servizio non coinvolgono un utente. Sono invece accessi da qualsiasi account non utente, ad esempio app o entità servizio (ad eccezione dell'accesso con identità gestita, inclusi solo nel log di accesso all'identità gestita). In questi accessi, l'app o il servizio fornisce le proprie credenziali, ad esempio un certificato o un segreto dell'app per autenticare o accedere alle risorse.

Dimensioni del report: esempi di grandi dimensioni
:

• Un'entità servizio usa un certificato per autenticare e accedere a Microsoft Graph.
• Un'applicazione usa un segreto client per l'autenticazione nel flusso delle credenziali client OAuth.

Non è possibile personalizzare i campi visualizzati in questo report.

Per semplificare il digest dei dati nei log di accesso dell'entità servizio, gli eventi di accesso dell'entità servizio vengono raggruppati. Gli accessi dalla stessa entità nelle stesse condizioni vengono aggregati in una singola riga. È possibile espandere la riga per visualizzare tutti i diversi accessi e i relativi timestamp diversi. Gli accessi vengono aggregati nel report dell'entità servizio quando i dati seguenti corrispondono:

• Nome o ID dell'entità servizio
• Status
• Indirizzo IP
• Nome risorsa o ID

Accessi con identità gestite

Le identità gestite per gli accessi alle risorse di Azure sono accessi eseguiti dalle risorse che hanno i segreti gestiti da Azure per semplificare la gestione delle credenziali. Una macchina virtuale con credenziali gestite usa l'ID Microsoft Entra per ottenere un token di accesso.

Dimensioni report: piccoli
esempi:

Non è possibile personalizzare i campi visualizzati in questo report.

Per semplificare il digest dei dati, le identità gestite per i log di accesso delle risorse di Azure, gli eventi di accesso non interattivi vengono raggruppati. Gli accessi dalla stessa entità vengono aggregati in una singola riga. È possibile espandere la riga per visualizzare tutti i diversi accessi e i relativi timestamp diversi. Gli accessi vengono aggregati nel report delle identità gestite quando tutti i dati seguenti corrispondono:

• Nome o ID dell'identità gestita
• Status
• Nome risorsa o ID

Selezionare un elemento nella visualizzazione elenco per visualizzare tutti gli accessi raggruppati in un nodo. Selezionare un elemento raggruppato per visualizzare tutti i dettagli dell'accesso.

Dati di accesso usati da altri servizi

I dati di accesso vengono usati da diversi servizi in Azure per monitorare gli accessi a rischio, fornire informazioni dettagliate sull'utilizzo delle applicazioni e altro ancora.

Microsoft Entra ID Protection

La visualizzazione dei dati di log di accesso correlata agli accessi a rischio è disponibile nella panoramica di Microsoft Entra ID Protection , che usa i dati seguenti:

• Utenti a rischio
• Accessi utente rischiosi
• Identità del carico di lavoro rischiose

Per altre informazioni sugli strumenti di protezione microsoft Entra ID, vedere la panoramica di Microsoft Entra ID Protection.

Utilizzo e informazioni dettagliate di Microsoft Entra

Per visualizzare i dati di accesso specifici dell'applicazione, passare a Microsoft Entra ID>Monitoring & health Usage &insights (Monitoraggio e utilizzo integrità e informazioni dettagliate sull'integrità).> Questi report forniscono un'analisi più approfondita degli accessi per l'attività dell'applicazione Microsoft Entra e l'attività dell'applicazione AD FS. Per altre informazioni, vedere Utilizzo e informazioni dettagliate di Microsoft Entra.

In Usage &insights sono disponibili diversi report. Alcuni di questi report sono in anteprima.

• Attività dell'applicazione Microsoft Entra (anteprima)
• Attività dell'applicazione AD FS
• Attività dei metodi di autenticazione
• Attività di accesso all'entità servizio
• Attività delle credenziali dell'applicazione

Log attività di Microsoft 365

È possibile visualizzare i log attività di Microsoft 365 dall'interfaccia di amministrazione di Microsoft 365. Le attività di Microsoft 365 e i log attività di Microsoft Entra condividono un numero significativo di risorse della directory. Solo l'interfaccia di amministrazione di Microsoft 365 offre una visualizzazione completa dei log attività di Microsoft 365.

È possibile accedere ai log attività di Microsoft 365 a livello di codice usando le API di gestione di Office 365.