I log di accesso sono uno strumento comunemente usato per risolvere i problemi di accesso degli utenti e analizzare le attività di accesso rischiose. I log di controllo raccolgono ogni evento registrato in Microsoft Entra ID e possono essere usati per analizzare le modifiche apportate all'ambiente. Ci sono più di 30 colonne tra cui scegliere per personalizzare la visualizzazione dei log di accesso nell'interfaccia di amministrazione di Microsoft Entra. Anche i log di controllo e i log di provisioning possono essere personalizzati e filtrati in base alle esigenze.
Questo articolo illustra come personalizzare le colonne e quindi filtrare i log per trovare le informazioni necessarie in modo più efficiente.
Con le informazioni nei log di controllo di Microsoft Entra ID, si può accedere a tutti i record delle attività di sistema per la conformità. È possibile accedere ai log di controllo dalla sezione Monitoraggio e integrità di Microsoft Entra ID, in cui è possibile ordinare e filtrare in base a ogni categoria e attività. È anche possibile accedere ai log di controllo nell'area dell'interfaccia di amministrazione per il servizio che si sta analizzando.
Ad esempio, se si stanno esaminando le modifiche apportate ai gruppi di Microsoft Entra, è possibile accedere ai log di controllo da Microsoft Entra ID>Groups. Quando si accede ai log di controllo dal servizio, il filtro viene modificato automaticamente in base al servizio.
Personalizzare il layout dei log di controllo
È possibile personalizzare le colonne nei log di controllo per visualizzare solo le informazioni necessarie. Le colonne Service, Category e Activity sono correlate tra loro, pertanto queste colonne devono essere sempre visibili.
Screenshot del pulsante Colonne nei log di controllo.
Filtrare il log di controllo
Quando si filtrano i log in base al servizio, i dettagli categoria e attività cambiano automaticamente. In alcuni casi, potrebbe essere presente una sola categoria o un'attività. Per una tabella dettagliata di tutte le possibili combinazioni di questi dettagli, vedere Attività di controllo.
Servizio: l'impostazione predefinita è tutti i servizi disponibili, ma è possibile filtrare l'elenco in uno o più selezionando un'opzione dall'elenco a discesa.
Categoria: l'impostazione predefinita è tutte le categorie, ma può essere filtrata per visualizzare la categoria di attività, ad esempio la modifica di un criterio o l'attivazione di un ruolo Microsoft Entra idoneo.
Attività: in base alla selezione del tipo di risorsa categoria e attività effettuata. È possibile selezionare un'attività specifica da visualizzare o selezionarle tutte.
È possibile ottenere l'elenco di tutte le attività di controllo tramite l'API Graph: https://graph.windows.net/<tenantdomain>/activities/auditActivityTypesV2?api-version=beta
Stato: consente di esaminare i risultati in base a se l'attività ha esito positivo o negativo.
Destinazione: consente di cercare la destinazione o il destinatario di un'attività. Eseguire la ricerca in base alle prime lettere di un nome o di un nome dell'entità utente (UPN). Il nome e l'UPN di destinazione fanno distinzione tra maiuscole e minuscole.
Avviato da: consente di eseguire ricerche della persona che ha avviato l'attività utilizzando le prime lettere del nome o dell'UPN. Il nome e l'UPN fanno distinzione tra maiuscole e minuscole.
Intervallo di date: consente di definire un intervallo di tempo per i dati restituiti. È possibile eseguire ricerche negli ultimi 7 giorni, 24 ore o in un intervallo personalizzato. Quando si seleziona un intervallo di tempo personalizzato, è possibile configurare un'ora di inizio e un'ora di fine.
Nella pagina dei log di accesso, è possibile cambiare fra quattro tipi di log di accesso.
Accessi utente interattivi: Accessi in cui un utente fornisce un fattore di autenticazione, ad esempio una password, una risposta tramite un'app MFA, un fattore biometrico o un codice a matrice.
Accessi utente non interattivi: Accessi eseguiti da un client per conto di un utente. Questi tipi di accesso non richiedono alcuna interazione o alcun fattore di autenticazione da parte dell'utente. Ad esempio, autenticazioni e autorizzazioni usando i token di accesso e aggiornamento che non richiedono a un utente di immettere le credenziali.
Accessi alle entità servizio: Accessi da parte di applicazioni e le entità servizio che non coinvolgono alcun utente. In questi accessi, l'app o il servizio fornisce una credenziale, ad esempio il proprio certificato per autenticare o accedere alle risorse.
Accessi alle identità gestite per le risorse di Azure: Accessi da parte delle risorse di Azure con segreti gestiti da Azure. Per altre informazioni, vedere Che cosa sono le identità gestite per le risorse di Azure?
Personalizzare il layout dei log di accesso
È possibile personalizzare le colonne per il log di accesso utente interattivo usando più di 30 opzioni di colonna. Per visualizzare in modo più efficace il log di accesso, dedicare alcuni istanti alla personalizzazione della visualizzazione per le proprie esigenze.
- Seleziona Colonne dal menu nella parte superiore del log.
- Selezionare le colonne da visualizzare e selezionare il pulsante Salva nella parte inferiore della finestra.
Filtrare i log di accesso
Filtrare i log di accesso è un modo utile per trovare rapidamente i log che corrispondono a uno scenario specifico. Ad esempio, è possibile filtrare l'elenco in modo da visualizzare solo gli accessi che si sono verificati in una posizione geografica specifica, da un sistema operativo specifico o da un tipo specifico di credenziali.
Alcune opzioni di filtro richiedono la selezione di altre opzioni. Seguire le istruzioni per effettuare la selezione necessaria per il filtro. È possibile aggiungere più filtri.
Selezionare il pulsante Aggiungi filtri , scegliere un'opzione di filtro e selezionare Applica.
Immettere un dettaglio specifico, come un ID richiesta, oppure selezionare un'altra opzione di filtro.
È possibile applicare filtri in base a diversi dettagli. Nella tabella seguente vengono descritti alcuni filtri di uso comune.
Non tutte le opzioni di filtro sono descritte.
| Filtro |
Descrizione |
| ID richiesta |
Identificatore univoco per una richiesta di accesso |
| ID correlazione |
Identificatore univoco per tutte le richieste di accesso che fanno parte di un tentativo di accesso singolo |
| Utente |
Nome principale utente (UPN) dell'utente |
| Applicazione |
Applicazione mirata dalla richiesta di accesso |
| stato |
Le opzioni sono Success, Failure e Interrupted |
| Conto risorse |
Il nome del servizio usato per l'accesso |
| Indirizzo IP |
L'indirizzo IP del client usato per l'accesso |
| Accesso condizionale |
Le opzioni non vengono applicate, Operazione riuscita e Errore |
| È agente |
Scegliere Sì per gli accessi eseguiti da un agente e No per gli accessi eseguiti da un utente. |
| Tipo di agente |
Le opzioni sono Utente ID agente, Identità agente, Progettazione dell'identità agente, Costruttore di app agentiche e Non agentico. |
Ora che la tabella dei log di accesso è formattata in base alle proprie esigenze, è possibile analizzare in modo più efficace i dati. È possibile eseguire ulteriori analisi e conservazione dei dati di accesso esportando i log in altri strumenti.
La personalizzazione delle colonne e la regolazione del filtro consentono di esaminare i log con caratteristiche simili. Per esaminare i dettagli di un accesso, selezionare una riga nella tabella per aprire il pannello Dettagli attività . Sono disponibili diverse schede da esplorare nel pannello. Per altre informazioni, vedere Dettagli dell'attività di accesso log.
Filtro per l'app client
Quando si esamina l'origine di un accesso, potrebbe essere necessario usare il filtro app client. L'app client ha due sottocategorie: client di autenticazione moderna e client di autenticazione legacy. I client di autenticazione moderna hanno altre due sottocategorie: browser e app per dispositivi mobili e client desktop. Esistono diverse sottocategorie per i client di autenticazione legacy, definiti nella tabella dei dettagli del client di autenticazione legacy .
Gli accessi del browser includono tutti i tentativi di accesso dai Web browser. Quando si visualizzano i dettagli di un accesso da un browser, nella scheda Informazioni di base viene visualizzata l'app client: Browser.
Nella scheda Informazioni sul dispositivobrowser vengono visualizzati i dettagli del Web browser. Il tipo e la versione del browser sono elencati, ma in alcuni casi il nome del browser e della versione non è disponibile. Potresti vedere qualcosa come Rich Client 4.0.0.0.
Dettagli del client di autenticazione legacy
Nella tabella seguente vengono forniti i dettagli per ognuna delle opzioni client di autenticazione legacy .
| Nome |
Descrizione |
| SMTP autenticato |
Usato dai client POP e IMAP per inviare messaggi di posta elettronica. |
| Individuazione automatica |
Usata dai client Outlook e EAS per trovare le cassette postali in Exchange Online e connettersi a esse. |
| Exchange ActiveSync |
Il filtro mostra tutti i tentativi di accesso con il protocollo EAS. |
| Exchange ActiveSync |
Mostra tutti i tentativi di accesso da parte degli utenti di app client che usano Exchange ActiveSync per connettersi a Exchange Online |
| Exchange Online PowerShell |
Usato per connettersi a Exchange Online con PowerShell remoto. Se si blocca l'autenticazione di base per Exchange Online PowerShell, occorre usare il modulo Exchange Online PowerShell per connettersi. Per istruzioni, vedere Connettersi a PowerShell di Exchange Online usando l'autenticazione a più fattori. |
| Servizi Web Exchange |
Interfaccia di programmazione usata da Outlook, Outlook per Mac e app non-Microsoft. |
| IMAP4 |
Client di posta legacy che usa IMAP per recuperare la posta elettronica. |
| MAPI su HTTP |
Usato da Outlook 2010 e versioni successive. |
| Rubrica offline |
Copia delle raccolte di elenchi di indirizzi scaricate e usate da Outlook. |
| Outlook via Internet (RPC su HTTP) |
Usato da Outlook 2016 e versioni precedenti. |
| Servizio Outlook |
Usato dall'app di posta elettronica e calendario per Windows 10. |
| POP3 |
Client di posta legacy che usa POP3 per recuperare la posta elettronica. |
| Servizi Web per la creazione di report |
Funzionalità usata per recuperare i dati dei report in Exchange Online. |
| Altri client |
Mostra tutti i tentativi di accesso da parte degli utenti con un'app client non inclusa o sconosciuta. |
Per visualizzare in modo più efficace il log di provisioning, dedicare alcuni istanti alla personalizzazione della visualizzazione per le proprie esigenze. È possibile specificare le colonne da includere e filtrare i dati per restringere i risultati.
Personalizza il layout
Il log di provisioning ha una visualizzazione predefinita, ma è possibile personalizzare le colonne.
- Seleziona Colonne dal menu nella parte superiore del log.
- Selezionare le colonne da visualizzare e selezionare il pulsante Salva nella parte inferiore della finestra.
Filtrare i risultati
Quando si filtrano i dati di provisioning, alcuni valori di filtro vengono popolati dinamicamente in base al tenant. Ad esempio, se non sono presenti eventi di "creazione" nel tenant, l'opzione Crea filtro non è disponibile.
Il filtro Identity consente di specificare il nome o l'identità desiderata. Questa identità può essere un utente, un gruppo, un ruolo o un altro oggetto.
È possibile cercare per nome o ID dell'oggetto. L'ID varia in base allo scenario.
- Se si esegue il provisioning di un oggetto da Microsoft Entra ID a Salesforce, l'ID di origine corrisponde all'ID oggetto dell'utente in Microsoft Entra ID.
L'ID di destinazione è l'ID dell'utente in Salesforce.
- Se si esegue il provisioning da Workday a Microsoft Entra ID, l'ID origine è l'ID dipendente lavoratore di Workday.
L'ID di destinazione è l'ID dell'utente in Microsoft Entra ID.
- Se si esegue il provisioning degli utenti per la sincronizzazione tra tenant, l'ID di origine è l'ID dell'utente nel tenant di origine.
L'ID di destinazione è l'ID dell'utente nel tenant di destinazione.
Nota
Il nome dell'utente potrebbe non essere sempre presente nella colonna Identity . Ci sarà sempre un ID.
Il filtro Data consente di definire un intervallo di tempo per i dati restituiti. I valori possibili sono:
- Un mese
- Sette giorni
- 30 giorni
- 24 ore
- Intervallo di tempo personalizzato (configurare una data di inizio e una data di fine)
Il filtro Stato consente di selezionare:
- Tutte le date
- Riuscita
- Errore
- Ignorato
Il filtro Azione consente di filtrare queste azioni:
- Creazione
- Aggiornamento
- Elimina
- Disabilitazione
- Altro
Oltre ai filtri della visualizzazione predefinita, è possibile impostare i seguenti filtri.
ID lavoro: un ID lavoro univoco è associato a ogni applicazione per la quale il provisioning è stato abilitato.
ID ciclo: identifica in modo univoco il ciclo di provisioning. È possibile condividere questo ID con il supporto tecnico del prodotto per cercare il ciclo in cui si è verificato questo evento.
ID modifiche: l'ID delle modifiche è un identificatore univoco per l'evento di fornitura. È possibile condividere questo ID con il supporto tecnico del prodotto per cercare l'evento di provisioning.
Sistema di origine: è possibile specificare da dove viene effettuato il provisioning dell'identità. Ad esempio, quando si esegue il provisioning di un oggetto da Microsoft Entra ID a ServiceNow, il sistema di origine è Microsoft Entra ID.
Sistema di destinazione: È possibile specificare il sistema in cui l'identità viene approvvigionata. Ad esempio, quando si esegue il provisioning di un oggetto da Microsoft Entra ID a ServiceNow, il sistema di destinazione è ServiceNow.
Applicazione: è possibile visualizzare solo i record delle applicazioni con un nome visualizzato o un ID oggetto che contiene una stringa specifica. Per la sincronizzazione tra tenant, usare l'ID oggetto della configurazione e non l'ID applicazione.
