Meer informatie over de details van de aanmeldingsactiviteit

Microsoft Entra registreert alle aanmeldingen in een Azure-tenant voor nalevingsdoeleinden. Als IT-beheerder moet u weten wat de waarden in de aanmeldingslogboeken betekenen, zodat u de logboekwaarden correct kunt interpreteren.

• Meer informatie over de aanmeldingslogboeken.
• De aanmeldingslogboeken aanpassen en filteren

In dit artikel worden de waarden op het tabblad Basisgegevens van het aanmeldingslogboek uitgelegd.

Basisinformatie

Het tabblad Basisinformatie bevat de meeste details die ook in de tabel worden weergegeven. U kunt de diagnostische aanmelding starten op het tabblad Basisgegevens. Zie Het diagnostische aanmeldingsdiagnose gebruiken voor meer informatie.

Foutcodes voor aanmelding

Als een aanmelding is mislukt, kunt u meer informatie krijgen over de reden op het tabblad Basisgegevens van het gerelateerde logboekitem. De foutcode en de bijbehorende foutreden worden weergegeven in de details. Zie Aanmeldingsfouten oplossen voor meer informatie.

Locatie en apparaat

Op de tabbladen Locatie en Apparaatgegevens worden algemene informatie weergegeven over de locatie en het IP-adres van de gebruiker. Het tabblad Apparaatgegevens bevat details over de browser en het besturingssysteem die worden gebruikt om u aan te melden. Dit tabblad bevat ook details over of het apparaat compatibel, beheerd of hybride lid is van Microsoft Entra.

Verificatiedetails

Het tabblad Verificatiedetails in de details van een aanmeldingslogboek bevat de volgende informatie voor elke verificatiepoging:

• Een lijst met toegepast verificatiebeleid, zoals voorwaardelijke toegang of standaardinstellingen voor beveiliging.
• De reeks verificatiemethoden die worden gebruikt om u aan te melden.
• Als de verificatiepoging is geslaagd en de reden hiervoor.

Met deze informatie kunt u problemen met elke stap in de aanmelding van een gebruiker oplossen. Gebruik deze details om bij te houden:

• Het volume van aanmeldingen dat wordt beveiligd door MFA.
• Gebruiks- en slagingspercentages voor elke verificatiemethode.
• Gebruik van verificatiemethoden zonder wachtwoord, zoals wachtwoordloze Telefoon aanmelding, FIDO2 en Windows Hello voor Bedrijven.
• Hoe vaak aan de verificatievereisten wordt voldaan door tokenclaims, zoals wanneer gebruikers niet interactief worden gevraagd een wachtwoord in te voeren of een SMS OTP in te voeren.

Bij het analyseren van verificatiegegevens moet u rekening houden met de volgende details:

• OATH-verificatiecode wordt geregistreerd als de verificatiemethode voor zowel OATH-hardware- als softwaretokens (zoals de Microsoft Authenticator-app).
• Op het tabblad Verificatiegegevens kunnen in eerste instantie onvolledige of onjuiste gegevens worden weergegeven totdat logboekgegevens volledig zijn samengevoegd. Bekende voorbeelden zijn:
  • Het bericht is aan voldaan door claim in token wordt onjuist weergegeven wanneer aanmeldingsgebeurtenissen in eerste instantie worden geregistreerd.
  • De primaire verificatierij wordt in eerste instantie niet geregistreerd.
• Als u niet zeker weet wat er in de logboeken wordt beschreven, verzamelt u de aanvraag-id en correlatie-id die u wilt gebruiken voor verdere analyse of probleemoplossing.
• Als beleid voor voorwaardelijke toegang voor verificatie of sessielevensduur wordt toegepast, worden deze boven de aanmeldingspogingen vermeld. Als u geen van deze beleidsregels ziet, worden deze beleidsregels momenteel niet toegepast. Zie Sessiebesturingselementen voor voorwaardelijke toegang voor meer informatie.

Unieke id's

In Microsoft Entra-id heeft een resourcetoegang drie relevante onderdelen:

• Wie: De identiteit (gebruiker) die de aanmelding uitvoert.
• Hoe: de client (toepassing) die wordt gebruikt voor de toegang.
• Wat: het doel (resource) dat wordt geopend door de identiteit.

Elk onderdeel heeft een bijbehorende unieke id (ID).:

• Verificatievereiste: toont het hoogste verificatieniveau dat nodig is via alle aanmeldingsstappen om de aanmelding te voltooien.

  • Graph API ondersteunt $filter (eq en startsWith alleen operators).

• Evaluatie van voorwaardelijke toegang: Hier ziet u of continue toegangsevaluatie (CAE) is toegepast op de aanmeldingsgebeurtenis.

  • Er zijn meerdere aanmeldingsaanvragen voor elke verificatie, die kunnen worden weergegeven op de interactieve of niet-interactieve tabbladen.
  • CAE wordt alleen weergegeven als waar voor een van de aanvragen en kan worden weergegeven op het interactieve tabblad of niet-interactieve tabblad.
  • Zie Aanmeldingen bewaken en problemen oplossen met continue toegangsevaluatie in Microsoft Entra ID voor meer informatie.

• Correlatie-id: de aanmeldingen van correlatie-id's worden gegroepeerd vanuit dezelfde aanmeldingssessie. De waarde is gebaseerd op parameters die door een client worden doorgegeven, dus kan Microsoft Entra ID de nauwkeurigheid ervan niet garanderen.

• Toegangstype voor meerdere tenants: beschrijft het type toegang tussen tenants dat door de actor wordt gebruikt voor toegang tot de resource. Mogelijke waarden zijn:

  • none - Een aanmeldingsgebeurtenis die de grenzen van een Microsoft Entra-tenant niet heeft overschreden.
  • b2bCollaboration- Een aanmelding voor meerdere tenants die door een gastgebruiker wordt uitgevoerd met B2B Collaboration.
  • b2bDirectConnect - Een aanmelding voor meerdere tenants uitgevoerd door een B2B.
  • microsoftSupport- Een aanmelding tussen tenants die wordt uitgevoerd door een Microsoft-ondersteuningsagent in een Microsoft-klanttenant.
  • serviceProvider - Een aanmelding tussen tenants die wordt uitgevoerd door een Cloud Service Provider (CSP) of een vergelijkbare beheerder namens de klant van die CSP in een tenant
  • unknownFutureValue - Een sentinel-waarde die door MS Graph wordt gebruikt om clients te helpen bij het afhandelen van wijzigingen in opsommingslijsten. Zie Best practices voor het werken met Microsoft Graph voor meer informatie.
  • Als de aanmelding de grenzen van een tenant niet heeft overschreden, is nonede waarde .

• Aanvraag-id: een id die overeenkomt met een uitgegeven token. Als u op zoek bent naar aanmeldingen met een specifiek token, moet u eerst de aanvraag-id uit het token extraheren.

• Aanmelden: Tekenreeks die de gebruiker aan Microsoft Entra-id verstrekt om zichzelf te identificeren bij een poging om zich aan te melden. Dit is meestal een UPN (User Principal Name), maar kan een andere id zijn, zoals een telefoonnummer.

• Typen aanmeldingsgebeurtenissen: geeft de categorie van de aanmelding aan die gebeurtenis vertegenwoordigt.

  • De categorie gebruikersaanmelding kan of interactiveUsernonInteractiveUser komt overeen met de waarde voor de eigenschap isInteractive in de aanmeldingsresource.
  • De categorie beheerde identiteit is managedIdentity.
  • De categorie service-principal is servicePrincipal.
  • Deze waarde wordt niet weergegeven in Azure Portal, maar de aanmeldingsgebeurtenis wordt op het tabblad geplaatst dat overeenkomt met het aanmeldingsgebeurtenistype. Mogelijke waarden zijn:
    • interactiveUser
    • nonInteractiveUser
    • servicePrincipal
    • managedIdentity
    • unknownFutureValue
  • De Microsoft Graph API ondersteunt: $filter (eq alleen operator).

• Tenant: In het aanmeldingslogboek worden twee tenant-id's bijgehouden:

  • Thuistenant : de tenant die eigenaar is van de gebruikersidentiteit. Microsoft Entra ID houdt de id en naam bij.
  • Resourcetenant : de tenant die eigenaar is van de (doel) resource.
  • Deze id's zijn relevant in scenario's tussen tenants.
  • Als u bijvoorbeeld wilt zien hoe gebruikers buiten uw tenant toegang hebben tot uw resources, selecteert u alle vermeldingen waarin de basistenant niet overeenkomt met de resourcetenant.

• Gebruikerstype: Type gebruiker.

  • Voorbeelden hiervan zijn member, guestof external.

Overwegingen voor aanmeldingslogboeken

De volgende scenario's zijn belangrijk om rekening mee te houden wanneer u aanmeldingslogboeken bekijkt.

• IP-adres en locatie: er is geen definitieve verbinding tussen een IP-adres en waar de computer met dat adres zich fysiek bevindt. Mobiele providers en VPN's verlenen IP-adressen uit centrale pools die vaak ver van waar het clientapparaat daadwerkelijk wordt gebruikt. Op dit moment is het converteren van een IP-adres naar een fysieke locatie een poging naar beste vermogen op basis van traceringen, registergegevens, reverse lookups en overige informatie.

• Voorwaardelijke toegang:

  • Niet toegepast: er is tijdens het aanmelden geen beleid toegepast op de gebruiker en toepassing.
  • Geslaagd: een of meer beleidsregels voor voorwaardelijke toegang die zijn toegepast op of zijn geëvalueerd voor de gebruiker en toepassing (maar niet noodzakelijkerwijs de andere voorwaarden) tijdens het aanmelden. Hoewel een beleid voor voorwaardelijke toegang mogelijk niet van toepassing is, als dit is geëvalueerd, wordt de status voor voorwaardelijke toegang geslaagd weergegeven.
  • Fout: de aanmelding voldoet aan de gebruikers- en toepassingsvoorwaarde van minstens één beleid voor voorwaardelijke toegang, en de besturingselementen voor toekenning werken niet of zijn ingesteld om de toegang te blokkeren.

• Naam van thuistenant: Vanwege privacyverplichtingen vult Microsoft Entra-id het veld voor de naam van de woningtenant niet in tijdens scenario's tussen tenants.

• Meervoudige verificatie: wanneer een gebruiker zich aanmeldt met MFA, worden er verschillende afzonderlijke MFA-gebeurtenissen uitgevoerd. Als een gebruiker bijvoorbeeld de verkeerde validatiecode invoert of niet op tijd reageert, worden er aanvullende MFA-gebeurtenissen verzonden om de meest recente status van de aanmeldingspoging weer te geven. Deze aanmeldingsgebeurtenissen worden weergegeven als één regelitem in de aanmeldingslogboeken van Microsoft Entra. Dezelfde aanmeldingsgebeurtenis in Azure Monitor wordt echter weergegeven als meerdere regelitems. Deze gebeurtenissen hebben allemaal hetzelfde correlationId.

Volgende stappen

• Meer informatie over het exporteren van Microsoft Entra-aanmeldingslogboeken
• De diagnostische aanmeldingsdiagnose in Microsoft Entra-id verkennen