Informazioni sui dettagli dell'attività del log di accesso

Microsoft Entra registra tutti gli accessi in un tenant di Azure a scopo di conformità. In qualità di amministratore IT, è necessario conoscere i valori nei log di accesso, in modo da poter interpretare correttamente i valori del log.

• Informazioni sui log di accesso.
• Personalizzare e filtrare i log di accesso

Questo articolo illustra i valori nella scheda Informazioni di base del log di accesso.

Informazioni di base

La scheda Informazioni di base contiene la maggior parte dei dettagli visualizzati anche nella tabella. È possibile avviare la diagnostica di accesso dalla scheda Informazioni di base. Per altre informazioni, vedere Come usare la diagnostica di accesso.

Codice degli errori di accesso

Se un accesso non è riuscito, è possibile ottenere altre informazioni sul motivo nella scheda Informazioni di base dell'elemento di log correlato. Il codice di errore e il motivo dell'errore associato vengono visualizzati nei dettagli. Per altre informazioni, vedere Come risolvere gli errori di accesso.

Posizione e dispositivo

Le schede Informazioni sulla posizione e sul dispositivo visualizzano informazioni generali sulla posizione e sull'indirizzo IP dell'utente. La scheda Informazioni sul dispositivo fornisce informazioni dettagliate sul browser e sul sistema operativo usato per accedere. Questa scheda fornisce anche informazioni dettagliate su se il dispositivo è conforme, gestito o aggiunto a Microsoft Entra ibrido.

Dettagli di autenticazione

La scheda Dettagli autenticazione nei dettagli di un log di accesso fornisce le informazioni seguenti per ogni tentativo di autenticazione:

• Elenco dei criteri di autenticazione applicati, ad esempio Accesso condizionale o Impostazioni predefinite per la sicurezza.
• Sequenza di metodi di autenticazione usati per l'accesso.
• Se il tentativo di autenticazione ha avuto esito positivo e il motivo per cui.

Queste informazioni consentono di risolvere i problemi di ogni passaggio nell'accesso di un utente. Usare questi dettagli per tenere traccia:

• Volume di accessi protetti da MFA.
• Frequenza di utilizzo e riuscita per ogni metodo di autenticazione.
• Utilizzo di metodi di autenticazione senza password, ad esempio Telefono senza password, FIDO2 e Windows Hello for Business.
• La frequenza con cui i requisiti di autenticazione vengono soddisfatti dalle attestazioni token, ad esempio quando agli utenti non viene richiesto in modo interattivo di immettere una password o di immettere un SMS OTP.

Quando si analizzano i dettagli dell'autenticazione, prendere nota dei dettagli seguenti:

• Il codice di verifica OATH viene registrato come metodo di autenticazione sia per i token hardware OATH che per i token software ( ad esempio l'app Microsoft Authenticator).
• La scheda Dettagli autenticazione può inizialmente visualizzare dati incompleti o imprecisi fino a quando le informazioni di log non vengono aggregate completamente. Gli esempi noti includono:
  • Un'attestazione soddisfatta nel messaggio del token non viene visualizzata correttamente quando gli eventi di accesso vengono inizialmente registrati.
  • La riga di autenticazione primaria non viene registrata inizialmente.
• Se non si è certi di un dettaglio nei log, raccogliere l'ID richiesta e l'ID correlazione da usare per ulteriori analisi o risoluzione dei problemi.
• Se vengono applicati criteri di accesso condizionale per l'autenticazione o la durata della sessione, vengono elencati sopra i tentativi di accesso. Se non vengono visualizzati nessuno di questi criteri, questi criteri non sono attualmente applicati. Per altre informazioni, vedere Controlli sessione di accesso condizionale.

Identificatori univoci

In Microsoft Entra ID, un accesso alle risorse ha tre componenti rilevanti:

• Chi: l'identità (utente) che esegue l'accesso.
• Procedura: client (applicazione) usato per l'accesso.
• Cosa: destinazione (risorsa) a cui accede l'identità.

Ogni componente ha un identificatore univoco associato (ID).:

• Requisito di autenticazione: mostra il livello di autenticazione più elevato necessario tramite tutti i passaggi di accesso per il corretto accesso.

  • L'API Graph supporta $filter solo gli operatori eeqstartsWith .

• Valutazione dell'accesso condizionale: indica se è stata applicata la valutazione dell'accesso continuo (CAE) all'evento di accesso.

  • Sono presenti più richieste di accesso per ogni autenticazione, che possono essere visualizzate nelle schede interattive o non interattive.
  • CaE viene visualizzato solo come true per una delle richieste e può essere visualizzato nella scheda interattiva o nella scheda non interattiva.
  • Per altre informazioni, vedere Monitorare e risolvere i problemi di accesso con la valutazione dell'accesso continuo in Microsoft Entra ID.

• ID correlazione: l'ID correlazione raggruppa gli accessi dalla stessa sessione di accesso. Il valore è basato sui parametri passati da un client, pertanto potrebbe non garantire la precisione dell'ID Di Microsoft Entra.

• Tipo di accesso tra tenant: descrive il tipo di accesso tra tenant usato dall'attore per accedere alla risorsa. I valori possibili sono:

  • none - Evento di accesso che non ha superato i limiti di un tenant di Microsoft Entra.
  • b2bCollaboration- Accesso tra tenant eseguito da un utente guest tramite Collaborazione B2B.
  • b2bDirectConnect - Accesso tra tenant eseguito da un B2B.
  • microsoftSupport- Accesso tra tenant eseguito da un agente di supporto Microsoft in un tenant del cliente Microsoft.
  • serviceProvider - Accesso tra tenant eseguito da un provider di servizi cloud (CSP) o da un amministratore simile per conto del cliente di tale provider di servizi cloud in un tenant
  • unknownFutureValue - Valore sentinel usato da MS Graph per consentire ai client di gestire le modifiche negli elenchi di enumerazioni. Per altre informazioni, vedere Procedure consigliate per l'uso di Microsoft Graph.
  • Se l'accesso non ha superato i limiti di un tenant, il valore è none.

• ID richiesta: identificatore che corrisponde a un token rilasciato. Se si cercano gli accessi con un token specifico, è prima necessario estrarre l'ID richiesta dal token.

• Accesso: stringa fornita dall'utente all'ID Entra di Microsoft per identificarsi durante il tentativo di accesso. Si tratta in genere di un nome dell'entità utente (UPN), ma può essere un altro identificatore, ad esempio un numero di telefono.

• Tipi di evento di accesso: indica la categoria dell'evento di accesso rappresentato dall'evento.

  • La categoria di accessi utente può essere interactiveUser o nonInteractiveUser e corrisponde al valore della proprietà isInteractive nella risorsa di accesso.
  • La categoria di identità gestita è managedIdentity.
  • La categoria dell'entità servizio è servicePrincipal.
  • Il portale di Azure non mostra questo valore, ma l'evento di accesso viene inserito nella scheda corrispondente al tipo di evento di accesso. I valori possibili sono:
    • interactiveUser
    • nonInteractiveUser
    • servicePrincipal
    • managedIdentity
    • unknownFutureValue
  • L'API Microsoft Graph supporta: $filter (eq solo operatore).

• Tenant: il log di accesso tiene traccia di due identificatori del tenant:

  • Tenant principale: tenant proprietario dell'identità utente. Microsoft Entra ID tiene traccia dell'ID e del nome.
  • Tenant della risorsa: tenant proprietario della risorsa (destinazione).
  • Questi identificatori sono rilevanti negli scenari tra tenant.
  • Ad esempio, per scoprire come gli utenti esterni al tenant accedono alle risorse, selezionare tutte le voci in cui il tenant principale non corrisponde al tenant della risorsa.

• Tipo di utente: tipo di utente.

  • Gli esempi includono member, guesto external.

Considerazioni per i log di accesso

Gli scenari seguenti sono importanti da considerare quando si esaminano i log di accesso.

• Indirizzo IP e posizione: non esiste una connessione definitiva tra un indirizzo IP e la posizione fisica del computer con tale indirizzo. Provider di dispositivi mobili e VPN rilasciano indirizzi IP da pool centrali che spesso sono lontani da dove viene effettivamente usato il dispositivo client. Attualmente, la conversione di un indirizzo IP in una posizione fisica è un'approssimazione basata su tracce, dati del Registro di sistema, ricerche inverse e altre informazioni.

• Accesso condizionale:

  • Non applicato: nessun criterio applicato all'utente e all'applicazione durante l'accesso.
  • Operazione riuscita: uno o più criteri di accesso condizionale applicati o sono stati valutati per l'utente e l'applicazione (ma non necessariamente le altre condizioni) durante l'accesso. Anche se un criterio di accesso condizionale potrebbe non essere applicato, se è stato valutato, lo stato dell'accesso condizionale mostra Operazione riuscita.
  • Errore: l'accesso ha soddisfatto la condizione dell'utente e dell'applicazione di almeno un criterio di accesso condizionale e i controlli di concessione non sono soddisfatti o impostati per bloccare l'accesso.

• Nome tenant home: a causa degli impegni di privacy, Microsoft Entra ID non popola il campo del nome del tenant principale durante gli scenari tra tenant.

• Autenticazione a più fattori: quando un utente esegue l'accesso con MFA, vengono effettivamente verificati diversi eventi MFA separati. Ad esempio, se un utente immette il codice di convalida errato o non risponde in tempo, vengono inviati altri eventi MFA per riflettere lo stato più recente del tentativo di accesso. Questi eventi di accesso vengono visualizzati come una voce nei log di accesso di Microsoft Entra. Lo stesso evento di accesso in Monitoraggio di Azure, tuttavia, viene visualizzato come più voci. Tutti questi eventi hanno lo stesso correlationIdoggetto .

Passaggi successivi

• Informazioni sull'esportazione dei log di accesso di Microsoft Entra
• Esplorare la diagnostica di accesso in Microsoft Entra ID