Informazioni sui dettagli dell'attività del log di accesso

Microsoft Entra registra tutti gli accessi in un tenant di Azure a scopo di conformità. In qualità di amministratore IT, è necessario conoscere i valori nei log di accesso, in modo da poter interpretare correttamente i valori del log.

• Informazioni sui log di accesso
• Personalizzare e filtrare i log di accesso

Questo articolo illustra i valori trovati nei log di accesso. Questi valori forniscono informazioni utili per la risoluzione degli errori di accesso.

Componenti dell'attività di accesso

In Microsoft Entra ID, un'attività di accesso è costituita da tre componenti principali:

• Chi: l'identità (utente) che esegue l'accesso.
• Procedura: client (applicazione) usato per l'accesso.
• Cosa: destinazione (risorsa) a cui accede l'identità.

Concentrarsi su questi tre componenti durante l'analisi di un accesso per restringere la ricerca in modo da non esaminare tutti i dettagli. All'interno di ognuno di questi tre componenti sono presenti identificatori correlati che potrebbero fornire altre informazioni. Ogni accesso contiene anche identificatori univoci che correlano il tentativo di accesso alle attività associate.

Chi

I dettagli seguenti sono associati all'utente:

• Utente
• Username
• ID utente
• Identificatore di accesso
• Tipo di utente

Come

Come è possibile identificare l'accesso dell'utente esaminando i dettagli seguenti:

• Requisito di autenticazione
• App client
• Tipo di credenziale client
• Valutazione continua dell'accesso

Quale

È possibile identificare la risorsa a cui l'utente sta tentando di accedere usando i dettagli seguenti:

• Applicazione
• ID applicazione
• Conto risorse
• ID risorsa
• ID tenant della risorsa
• ID entità servizio risorsa

Identificatori univoci

I log di accesso contengono anche diversi identificatori univoci che forniscono ulteriori informazioni dettagliate sul tentativo di accesso.

• ID correlazione: l'ID correlazione raggruppa gli accessi dalla stessa sessione di accesso. Il valore è basato sui parametri passati da un client, pertanto l'ID Entra di Microsoft non può garantire la sua accuratezza.
• ID richiesta: identificatore che corrisponde a un token rilasciato. Se si cercano gli accessi con un token specifico, è prima necessario estrarre l'ID richiesta dal token.
• Identificatore univoco del token: identificatore univoco per il token passato durante l'accesso. Questo identificatore viene usato per correlare l'accesso alla richiesta di token.

Dettagli dell'attività di accesso

Ogni tentativo di accesso contiene i dettagli associati a questi tre componenti principali. I dettagli sono organizzati in diverse schede, in base al tipo di accesso.

Informazioni di base

La scheda Informazioni di base contiene la maggior parte dei dettagli associati a un tentativo di accesso. Prendere nota degli identificatori univoci, perché potrebbero essere necessari per risolvere i problemi di accesso. È possibile seguire chi, come, quale modello usando i dettagli nella scheda Informazioni di base.

È anche possibile avviare la diagnostica di accesso dalla scheda Informazioni di base. Per altre informazioni, vedere Come usare la diagnostica di accesso.

Codice degli errori di accesso

Se un accesso non è riuscito, è possibile ottenere altre informazioni sul motivo nella scheda Informazioni di base dell'elemento di log correlato. Il codice di errore e il motivo dell'errore associato vengono visualizzati nei dettagli. Per altre informazioni, vedere Come risolvere gli errori di accesso.

Posizione e dispositivo

Le schede Informazioni sulla posizione e sul dispositivo visualizzano informazioni generali sulla posizione e sull'indirizzo IP dell'utente. La scheda Informazioni sul dispositivo fornisce informazioni dettagliate sul browser e sul sistema operativo usato per accedere. Questa scheda fornisce anche informazioni dettagliate su se il dispositivo è conforme, gestito o aggiunto a Microsoft Entra ibrido.

Dettagli di autenticazione

La scheda Dettagli autenticazione nei dettagli di un log di accesso fornisce le informazioni seguenti per ogni tentativo di autenticazione:

• Elenco dei criteri di autenticazione applicati, ad esempio Accesso condizionale o Impostazioni predefinite per la sicurezza.
• Sequenza di metodi di autenticazione usati per l'accesso.
• Se il tentativo di autenticazione ha avuto esito positivo e il motivo per cui.

Queste informazioni consentono di risolvere i problemi di ogni passaggio nell'accesso di un utente. Usare questi dettagli per tenere traccia:

• Volume di accessi protetti da MFA.
• Frequenza di utilizzo e riuscita per ogni metodo di autenticazione.
• Utilizzo di metodi di autenticazione senza password, ad esempio Accesso tramite telefono senza password, FIDO2 e Windows Hello for Business.
• La frequenza con cui i requisiti di autenticazione vengono soddisfatti dalle attestazioni token, ad esempio quando agli utenti non viene richiesto in modo interattivo di immettere una password o di immettere un SMS OTP.

Accesso condizionale

Se i criteri di accesso condizionale (CA) sono in uso nel tenant, è possibile verificare se tali criteri sono stati applicati al tentativo di accesso. Vengono elencati tutti i criteri che possono essere applicati all'accesso. Il risultato finale del criterio viene visualizzato in modo da verificare rapidamente se il criterio ha interessato il tentativo di accesso.

• Operazione riuscita: il criterio della CA è stato applicato correttamente al tentativo di accesso.
• Errore: il criterio della CA è stato applicato al tentativo di accesso, ma il tentativo di accesso non è riuscito.
• Non applicato: l'accesso non corrisponde ai criteri da applicare.
• Disabilitato: il criterio è stato disabilitato al momento del tentativo di accesso.

Solo report

Poiché i criteri di accesso condizionale possono modificare l'esperienza di accesso per gli utenti e potenzialmente interrompere i processi, è consigliabile assicurarsi che i criteri siano configurati correttamente. Con la modalità Solo report è possibile configurare un criterio e valutarne il potenziale effetto prima di abilitare i criteri.

Questa scheda dei log di accesso visualizza i risultati dei tentativi di accesso inclusi nell'ambito dei criteri. Per altre informazioni, vedere l'articolo Che cos'è la modalità solo report per l'accesso condizionale?

Dettagli e considerazioni sull'accesso

Gli scenari seguenti sono importanti da considerare quando si esaminano i log di accesso.

• Indirizzo IP e posizione: non esiste una connessione definitiva tra un indirizzo IP e la posizione fisica del computer con tale indirizzo. I provider di dispositivi mobili e le VPN rilasciano indirizzi IP dai pool centrali che spesso sono lontani da dove viene usato il dispositivo client. Attualmente, la conversione di un indirizzo IP in una posizione fisica è un'approssimazione basata su tracce, dati del Registro di sistema, ricerche inverse e altre informazioni.

• Accesso condizionale:

  • Not applied: nessun criterio applicato all'utente e all'applicazione durante l'accesso.
  • Success: uno o più criteri di accesso condizionale applicati a o sono stati valutati per l'utente e l'applicazione (ma non necessariamente le altre condizioni) durante l'accesso. Anche se un criterio di accesso condizionale potrebbe non essere applicato, se è stato valutato, lo stato dell'accesso condizionale mostra Operazione riuscita.
  • Failure: l'accesso ha soddisfatto la condizione dell'utente e dell'applicazione di almeno un criterio di accesso condizionale e i controlli di concessione non sono soddisfatti o impostati per bloccare l'accesso.

• Valutazione dell'accesso continuo: indica se è stata applicata la valutazione dell'accesso continuo (CAE) all'evento di accesso.

  • Sono presenti più richieste di accesso per ogni autenticazione, che possono essere visualizzate nelle schede interattive o non interattive.
  • CaE viene visualizzato solo come true per una delle richieste e può essere visualizzato nella scheda interattiva o nella scheda non interattiva.
  • Per altre informazioni, vedere Monitorare e risolvere i problemi di accesso con la valutazione dell'accesso continuo in Microsoft Entra ID.

• Tipo di accesso tra tenant: descrive il tipo di accesso tra tenant usato dall'attore per accedere alla risorsa. I valori possibili sono:

  • none - Evento di accesso che non ha superato i limiti di un tenant di Microsoft Entra.
  • b2bCollaboration- Accesso tra tenant eseguito da un utente guest tramite Collaborazione B2B.
  • b2bDirectConnect - Accesso tra tenant eseguito da un B2B.
  • microsoftSupport- Accesso tra tenant eseguito da un agente di supporto Microsoft in un tenant esterno Microsoft.
  • serviceProvider - Accesso tra tenant eseguito da un provider di servizi cloud (CSP) o da un amministratore simile per conto del cliente di tale provider di servizi cloud in un tenant.
  • unknownFutureValue - Valore sentinel usato da MS Graph per consentire ai client di gestire le modifiche negli elenchi di enumerazioni. Per altre informazioni, vedere Procedure consigliate per l'uso di Microsoft Graph.

• Tenant: il log di accesso tiene traccia di due identificatori di tenant rilevanti negli scenari tra tenant:

  • Tenant principale: tenant proprietario dell'identità utente. Microsoft Entra ID tiene traccia dell'ID e del nome.
  • Tenant della risorsa: tenant proprietario della risorsa (destinazione).
  • A causa degli impegni di privacy, Microsoft Entra ID non popola il nome del tenant principale durante gli scenari tra tenant.
  • Per scoprire come gli utenti esterni al tenant accedono alle risorse, selezionare tutte le voci in cui il tenant principale non corrisponde al tenant della risorsa.

• Autenticazione a più fattori: quando un utente esegue l'accesso con MFA, vengono effettivamente verificati diversi eventi MFA separati. Ad esempio, se un utente immette il codice di convalida errato o non risponde in tempo, vengono inviati più eventi MFA per riflettere lo stato più recente del tentativo di accesso. Questi eventi di accesso vengono visualizzati come una voce nei log di accesso di Microsoft Entra. Lo stesso evento di accesso in Monitoraggio di Azure, tuttavia, viene visualizzato come più voci. Tutti questi eventi hanno lo stesso correlationIdoggetto .

• Requisito di autenticazione: mostra il livello di autenticazione più elevato necessario tramite tutti i passaggi di accesso per il corretto accesso.

  • L'API Graph supporta $filter solo gli operatori eeq startsWith .

• Tipi di evento di accesso: indica la categoria dell'evento di accesso rappresentato dall'evento.

  • La categoria di accessi utente può essere interactiveUser o nonInteractiveUser e corrisponde al valore della proprietà isInteractive nella risorsa di accesso.
  • La categoria di identità gestita è managedIdentity.
  • La categoria dell'entità servizio è servicePrincipal.
  • L'API Microsoft Graph supporta: $filter (eq solo operatore).
  • Il portale di Azure non mostra questo valore, ma l'evento di accesso viene inserito nella scheda corrispondente al tipo di evento di accesso. I valori possibili sono:
    • interactiveUser
    • nonInteractiveUser
    • servicePrincipal
    • managedIdentity
    • unknownFutureValue

• Tipo di utente: gli esempi includono member, guesto external.

• Dettagli autenticazione:

  • Il codice di verifica OATH viene registrato come metodo di autenticazione sia per i token hardware OATH che per i token software ( ad esempio l'app Microsoft Authenticator).
  • La scheda Dettagli autenticazione può inizialmente visualizzare dati incompleti o imprecisi fino a quando le informazioni di log non vengono aggregate completamente. Gli esempi noti includono:
    • Un'attestazione soddisfatta nel messaggio del token non viene visualizzata correttamente quando gli eventi di accesso vengono inizialmente registrati.
    • La riga di autenticazione primaria non viene registrata inizialmente.
  • Se non si è certi di un dettaglio nei log, raccogliere l'ID richiesta e l'ID correlazione da usare per ulteriori analisi o risoluzione dei problemi.
  • Se vengono applicati criteri di accesso condizionale per l'autenticazione o la durata della sessione, vengono elencati sopra i tentativi di accesso. Se non vengono visualizzate una di queste opzioni, tali criteri non vengono attualmente applicati. Per altre informazioni, vedere Controlli sessione di accesso condizionale.