Condividi tramite

Che cosa sono gli accessi utente interattivi in Microsoft Entra?

  • Articolo

Il monitoraggio e l'integrità di Microsoft Entra offre diversi tipi di log di accesso che consentono di monitorare l'integrità del tenant. Gli accessi utente interattivi sono la visualizzazione predefinita nell'interfaccia di amministrazione di Microsoft Entra.

Che cos'è un accesso utente interattivo?

Gli accessi interattivi vengono eseguiti da un utente. Forniscono un fattore di autenticazione a Microsoft Entra ID. Tale fattore di autenticazione può interagire anche con un'app helper, ad esempio l'app Microsoft Authenticator. Gli utenti possono fornire password, risposte a problemi di autenticazione a più fattori, fattori biometrici o codici a matrice a Microsoft Entra ID o a un'app helper. Questo log include anche gli accessi federati dai provider di identità federati a Microsoft Entra ID.

Screenshot del log di accesso utente interattivo.

Dettagli del log

Dimensioni del report: piccole
Esempi:

  • Un utente fornisce nome utente e password nella schermata di accesso di Microsoft Entra.
  • Un utente supera una richiesta di autenticazione a più fattori SMS.
  • Un utente fornisce un movimento biometrico per sbloccare il PC Windows con Windows Hello for Business.
  • Un utente è federato a Microsoft Entra ID con un'asserzione SAML DI AD FS.

Oltre ai campi predefiniti, viene visualizzato anche il log di accesso interattivo:

  • La località di accesso
  • Indica se è stato applicato l'accesso condizionale

Nota

Le voci nel log di accesso sono generate dal sistema e non possono essere modificate o eliminate.

Considerazioni speciali

Accessi non interattivi nei log di accesso interattivi

In precedenza, alcuni accessi non interattivi dai client di Microsoft Exchange sono stati inclusi nel log di accesso utente interattivo per una migliore visibilità. Questa maggiore visibilità era necessaria prima che i log di accesso utente non interattivi siano stati introdotti a novembre 2020. Tuttavia, è importante notare che alcuni accessi non interattivi, ad esempio quelli che usano chiavi FIDO2, potrebbero comunque essere contrassegnati come interattivi a causa del modo in cui il sistema è stato configurato prima dell'introduzione dei log non interattivi separati. Questi accessi potrebbero visualizzare dettagli interattivi, ad esempio il tipo di credenziale client e le informazioni del browser, anche se tecnicamente non sono accessi interattivi.

Accessi pass-through

Microsoft Entra ID emette token per l'autenticazione e l'autorizzazione. In alcune situazioni, un utente che ha eseguito l'accesso al tenant Contoso potrebbe provare ad accedere alle risorse nel tenant di Fabrikam, in cui non ha accesso. Un token di autorizzazione senza autorizzazione denominato token pass-through viene emesso per il tenant di Fabrikam. Il token pass-through non consente all'utente di accedere ad alcuna risorsa.

In precedenza, quando si esaminano i log per questa situazione, i log di accesso per il tenant principale (in questo scenario, Contoso) non mostrava un tentativo di accesso perché il token non concedeva l'accesso a una risorsa con attestazioni. Il token di accesso è stato usato solo per visualizzare il messaggio di errore appropriato.

I tentativi di accesso pass-in vengono ora visualizzati nei log di accesso del tenant home e nei log di accesso alle restrizioni del tenant pertinenti. Questo aggiornamento offre maggiore visibilità sui tentativi di accesso degli utenti e informazioni più approfondite sui criteri di restrizione del tenant.

La proprietà crossTenantAccessType mostra ora passthrough per distinguere gli accessi pass-through ed è disponibile nell'interfaccia di amministrazione di Microsoft Entra e In Microsoft Graph.

Accessi dell'entità servizio first-party, app-only

I log di accesso dell'entità servizio non includono attività di accesso solo app di prima parte. Questo tipo di attività si verifica quando le app proprietarie ottengono token per un processo Microsoft interno in cui non esiste alcuna direzione o contesto da un utente. Questi log vengono esclusi in modo da non pagare i log correlati ai token Microsoft interni all'interno del tenant.

È possibile identificare gli eventi di Microsoft Graph che non sono correlati all'accesso di un'entità servizio se si esegue il routing MicrosoftGraphActivityLogs con SignInLogs alla stessa area di lavoro Log Analytics. Questa integrazione consente di fare riferimento incrociato al token emesso per la chiamata all'API Microsoft Graph con l'attività di accesso. Il UniqueTokenIdentifier per i log di accesso e il SignInActivityId nei log attività di Microsoft Graph non sono presenti nei log di accesso dell'entità servizio.