Log di accesso in Microsoft Entra ID - Microsoft Entra ID

Articolo
11/13/2023

Microsoft Entra registra tutti gli accessi in un tenant di Azure, che include le app e le risorse interne. In qualità di amministratore IT, è necessario conoscere i valori nei log di accesso, in modo da poter interpretare correttamente i valori del log.

La revisione degli errori di accesso e dei modelli fornisce informazioni utili sul modo in cui gli utenti accedono ad applicazioni e servizi. I log di accesso forniti da Microsoft Entra ID sono un potente tipo di log attività che è possibile analizzare. Questo articolo illustra come accedere e usare i log di accesso.

La visualizzazione di anteprima dei log di accesso include accessi utente interattivi e non interattivi, nonché l'entità servizio e gli accessi alle identità gestite. È comunque possibile visualizzare i log di accesso classici, che includono solo accessi interattivi.

Sono disponibili anche altri due log attività per monitorare l'integrità del tenant:

Audit: informazioni sulle modifiche applicate al tenant, ad esempio utenti e gestione di gruppi o aggiornamenti applicati alle risorse del tenant.
Provisioning : attività eseguite da un servizio di provisioning, ad esempio la creazione di un gruppo in ServiceNow o un utente importato da Workday.

È possibile usare i log di accesso per rispondere a domande come:

Quanti utenti hanno eseguito l'accesso a una determinata applicazione questa settimana?
Quanti tentativi di accesso non riusciti sono stati eseguiti nelle ultime 24 ore?
Gli utenti accedono da browser o sistemi operativi specifici?
Quale delle risorse di Azure è accessibile dalle identità gestite e dalle entità servizio?

È anche possibile descrivere l'attività associata a una richiesta di accesso identificando i dettagli seguenti:

Chi : identità (utente) che esegue l'accesso.
Procedura : client (applicazione) usato per l'accesso.
What : destinazione (risorsa) a cui l'identità accede.

Esistono quattro tipi di log nell'anteprima dei log di accesso:

Accessi utente interattivi
Accessi utente non interattivi
Accessi all'entità servizio
Accessi con identità gestite

I log di accesso classici includono solo accessi utente interattivi.

Nota

Le voci nei log di accesso vengono generate dal sistema e non possono essere modificate o eliminate.

Accessi utente interattivi

Gli accessi interattivi vengono eseguiti da un utente. Forniscono un fattore di autenticazione all'ID Microsoft Entra. Tale fattore di autenticazione può interagire anche con un'app helper, ad esempio l'app Microsoft Authenticator. Gli utenti possono fornire password, risposte a problemi di autenticazione a più fattori, fattori biometrici o codici a matrice a Microsoft Entra ID o a un'app helper. Questo log include anche gli accessi federati dai provider di identità federati federati all'ID Microsoft Entra.

Dimensioni del report: piccoli
esempi:

Un utente fornisce nome utente e password nella schermata di accesso di Microsoft Entra.
Un utente supera una richiesta di autenticazione a più fattori SMS.
Un utente fornisce un movimento biometrico per sbloccare il PC Windows con Windows Hello for Business.
Un utente è federato all'ID Microsoft Entra con un'asserzione SAML DI AD FS.

Oltre ai campi predefiniti, viene visualizzato anche il log di accesso interattivo:

Percorso di accesso
Indica se l'accesso condizionale è stato applicato

Considerazioni speciali

Accessi non interattivi nei log di accesso interattivi

In precedenza, alcuni accessi non interattivi dai client di Microsoft Exchange sono stati inclusi nel log di accesso utente interattivo per una migliore visibilità. Questa maggiore visibilità era necessaria prima che i log di accesso utente non interattivi siano stati introdotti a novembre 2020. Tuttavia, è importante notare che alcuni accessi non interattivi, ad esempio quelli che usano chiavi FIDO2, possono comunque essere contrassegnati come interattivi a causa del modo in cui il sistema è stato configurato prima dell'introduzione dei log non interattivi separati. Questi accessi possono visualizzare dettagli interattivi, ad esempio il tipo di credenziale client e le informazioni del browser, anche se tecnicamente non sono accessi interattivi.

Accessi pass-through

Microsoft Entra ID emette token per l'autenticazione e l'autorizzazione. In alcune situazioni, un utente che ha eseguito l'accesso al tenant contoso può provare ad accedere alle risorse nel tenant di Fabrikam, in cui non ha accesso. Un token di autorizzazione senza autorizzazione denominato token pass-through viene rilasciato al tenant di Fabrikam. Il token pass-through non consente all'utente di accedere ad alcuna risorsa.

In precedenza, quando si esaminano i log per questa situazione, i log di accesso per il tenant principale (in questo scenario, Contoso) non mostravano un tentativo di accesso perché il token non concedeva l'accesso a una risorsa con attestazioni. Il token di accesso è stato usato solo per visualizzare il messaggio di errore appropriato.

I tentativi di accesso pass-in vengono ora visualizzati nei log di accesso del tenant home e nei log di accesso alle restrizioni del tenant pertinenti. Questo aggiornamento offre maggiore visibilità sui tentativi di accesso degli utenti e informazioni più approfondite sui criteri di restrizione del tenant.

La crossTenantAccessType proprietà mostra passthrough ora di distinguere gli accessi pass-through ed è disponibile nell'interfaccia di amministrazione di Microsoft Entra e in Microsoft Graph.

Accessi dell'entità servizio solo app-party

I log di accesso dell'entità servizio non includono attività di accesso solo app di prima parte. Questo tipo di attività si verifica quando le app proprietarie ottengono token per un processo Microsoft interno in cui non esiste alcuna direzione o contesto da un utente. Questi log vengono esclusi in modo da non pagare i log correlati ai token Microsoft interni all'interno del tenant.

È possibile identificare gli eventi di Microsoft Graph che non sono correlati all'accesso di un'entità servizio se si esegue il routing MicrosoftGraphActivityLogs con SignInLogs alla stessa area di lavoro Log Analytics. Questa integrazione consente di fare riferimento incrociato al token rilasciato per la chiamata all'API Microsoft Graph con l'attività di accesso. Per UniqueTokenIdentifier i log di accesso e nei SignInActivityId log attività di Microsoft Graph mancano i log di accesso dell'entità servizio.

Accessi utente non interattivi

Gli accessi non interattivi vengono eseguiti per conto di un utente. Questi accessi delegati sono stati eseguiti da un'app client o da componenti del sistema operativo per conto di un utente e non richiedono all'utente di fornire un fattore di autenticazione. Microsoft Entra ID riconosce invece quando il token dell'utente deve essere aggiornato e lo fa in background, senza interrompere la sessione dell'utente. In generale, l'utente percepisce questi accessi come avviene in background.

Screenshot of the non-interactive user sign-in log.

Dimensioni del report: esempi di grandi dimensioni
:

Un'app client usa un token di aggiornamento OAuth 2.0 per ottenere un token di accesso.
Un client usa un codice di autorizzazione OAuth 2.0 per ottenere un token di accesso e un token di aggiornamento.
Un utente esegue l'accesso Single Sign-On (SSO) a un'app Web o Windows in un PC aggiunto a Microsoft Entra (senza fornire un fattore di autenticazione o interagire con un prompt di Microsoft Entra).
Un utente accede a un secondo microsoft app Office mentre ha una sessione in un dispositivo mobile usando FOCI (Famiglia di ID client).

Oltre ai campi predefiniti, viene visualizzato anche il log di accesso non interattivo:

ID risorsa
Numero di accessi raggruppati

Non è possibile personalizzare i campi visualizzati in questo report.

Per semplificare il digest dei dati, gli eventi di accesso non interattivi vengono raggruppati. I client spesso creano molti accessi non interattivi per conto dello stesso utente in un breve periodo di tempo. Gli accessi non interattivi condividono le stesse caratteristiche ad eccezione del momento in cui è stato tentato l'accesso. Ad esempio, un client può ottenere un token di accesso una volta all'ora per conto di un utente. Se lo stato dell'utente o del client non cambia, l'indirizzo IP, la risorsa e tutte le altre informazioni sono uguali per ogni richiesta di token di accesso. L'unico stato che cambia è la data e l'ora dell'accesso.

Quando Microsoft Entra registra più accessi identici all'ora e alla data, tali accessi provengono dalla stessa entità e vengono aggregati in una singola riga. Una riga con più accessi identici (ad eccezione di data e ora rilasciata) ha un valore maggiore di uno nella colonna #sign-ins . Questi accessi aggregati possono anche sembrare avere gli stessi timestamp. Il filtro Aggregazione ora può essere impostato su 1 ora, 6 ore o 24 ore. È possibile espandere la riga per visualizzare tutti i diversi accessi e i relativi timestamp diversi.

Gli accessi vengono aggregati negli utenti non interattivi quando i dati seguenti corrispondono:

Applicazione
User
Indirizzo IP
Stato
ID risorsa

Nota

L'indirizzo IP degli accessi non interattivi eseguiti dai client riservati non corrisponde all'indirizzo IP di origine effettivo da cui proviene la richiesta del token di aggiornamento. Mostra invece l'indirizzo IP originale usato per il rilascio del token originale.

Accessi all'entità servizio

A differenza degli accessi utente interattivi e non interattivi, gli accessi dell'entità servizio non coinvolgono un utente. Sono invece accessi da qualsiasi account non utente, ad esempio app o entità servizio (ad eccezione dell'accesso con identità gestita, inclusi solo nel log di accesso all'identità gestita). In questi accessi, l'app o il servizio fornisce le proprie credenziali, ad esempio un certificato o un segreto dell'app per autenticare o accedere alle risorse.

Screenshot of the service principal sign-in log.

Dimensioni del report: esempi di grandi dimensioni
:

Un'entità servizio usa un certificato per autenticare e accedere a Microsoft Graph.
Un'applicazione usa un segreto client per l'autenticazione nel flusso delle credenziali client OAuth.

Non è possibile personalizzare i campi visualizzati in questo report.

Per semplificare il digest dei dati nei log di accesso dell'entità servizio, gli eventi di accesso dell'entità servizio vengono raggruppati. Gli accessi dalla stessa entità nelle stesse condizioni vengono aggregati in una singola riga. È possibile espandere la riga per visualizzare tutti i diversi accessi e i relativi timestamp diversi. Gli accessi vengono aggregati nel report dell'entità servizio quando i dati seguenti corrispondono:

Nome o ID dell'entità servizio
Stato
Indirizzo IP
Nome risorsa o ID

Accessi con identità gestite

Le identità gestite per gli accessi alle risorse di Azure sono accessi eseguiti dalle risorse che hanno i segreti gestiti da Azure per semplificare la gestione delle credenziali. Una macchina virtuale con credenziali gestite usa l'ID Microsoft Entra per ottenere un token di accesso.

Screenshot of the managed identity sign-in log.

Dimensioni report: piccoli
esempi:

Non è possibile personalizzare i campi visualizzati in questo report.

Per semplificare il digest dei dati, le identità gestite per i log di accesso delle risorse di Azure, gli eventi di accesso non interattivi vengono raggruppati. Gli accessi dalla stessa entità vengono aggregati in una singola riga. È possibile espandere la riga per visualizzare tutti i diversi accessi e i relativi timestamp diversi. Gli accessi vengono aggregati nel report delle identità gestite quando tutti i dati seguenti corrispondono:

Nome o ID dell'identità gestita
Stato
Nome risorsa o ID

Selezionare un elemento nella visualizzazione elenco per visualizzare tutti gli accessi raggruppati in un nodo. Selezionare un elemento raggruppato per visualizzare tutti i dettagli dell'accesso.

I dati di accesso vengono usati da diversi servizi in Azure per monitorare gli accessi a rischio, fornire informazioni dettagliate sull'utilizzo delle applicazioni e altro ancora.

Microsoft Entra ID Protection

La visualizzazione dei dati di log di accesso correlata agli accessi a rischio è disponibile nella panoramica di Microsoft Entra ID Protection , che usa i dati seguenti:

Utenti a rischio
Accessi utente rischiosi
Identità del carico di lavoro rischiose

Per altre informazioni sugli strumenti di protezione microsoft Entra ID, vedere la panoramica di Microsoft Entra ID Protection.

Utilizzo e informazioni dettagliate di Microsoft Entra

Per visualizzare i dati di accesso specifici dell'applicazione, passare a Microsoft Entra ID Monitoring health Usage insights (Informazioni dettagliate sull'integrità di monitoraggio dell'integrità &>di Microsoft Entra ID).&> Questi report forniscono un'analisi più approfondita degli accessi per l'attività dell'applicazione Microsoft Entra e l'attività dell'applicazione AD FS. Per altre informazioni, vedere Informazioni dettagliate sull'utilizzo &di Microsoft Entra.

Sono disponibili diversi report in Informazioni dettagliate sull'utilizzo&. Alcuni di questi report sono in anteprima.

Attività dell'applicazione Microsoft Entra (anteprima)
Attività dell'applicazione AD FS
Attività dei metodi di autenticazione
Attività di accesso dell'entità servizio (anteprima)
Attività delle credenziali dell'applicazione (anteprima)

Log attività di Microsoft 365

È possibile visualizzare i log attività di Microsoft 365 dall'interfaccia di amministrazione di Microsoft 365. Le attività di Microsoft 365 e i log attività di Microsoft Entra condividono un numero significativo di risorse della directory. Solo l'interfaccia di amministrazione di Microsoft 365 offre una visualizzazione completa dei log attività di Microsoft 365.

È possibile accedere ai log attività di Microsoft 365 a livello di codice usando le API di gestione di Office 365.