Aanmeldingslogboeken in Azure Active Directory

Het bekijken van aanmeldingsfouten en -patronen biedt waardevol inzicht in hoe uw gebruikers toegang krijgen tot toepassingen en services. De aanmeldingslogboeken van Azure Active Directory (Azure AD) zijn een krachtig type activiteitenlogboek dat IT-beheerders kunnen analyseren. In dit artikel wordt uitgelegd hoe u de aanmeldingslogboeken opent en gebruikt.

Er zijn ook twee andere activiteitenlogboeken beschikbaar om de status van uw tenant te bewaken:

  • Audit : informatie over wijzigingen die zijn toegepast op uw tenant, zoals gebruikers en groepsbeheer of updates die worden toegepast op de resources van uw tenant.
  • Inrichting : activiteiten die worden uitgevoerd door een inrichtingsservice, zoals het maken van een groep in ServiceNow of een gebruiker die is geïmporteerd uit Workday.

Wat kunt u doen met aanmeldingslogboeken?

U kunt het aanmeldingslogboek gebruiken om antwoorden te vinden op vragen zoals:

  • Wat is het aanmeldingspatroon van een gebruiker?

  • Hoeveel gebruikers hebben zich gedurende een week aangemeld?

  • Wat is de status van deze aanmeldingen?

Hoe opent u de aanmeldingslogboeken?

U hebt altijd toegang tot uw eigen aanmeldingsgeschiedenis op https://mysignins.microsoft.com.

Als u toegang wilt krijgen tot het aanmeldingslogboek voor een tenant, moet u een van de volgende rollen hebben:

  • Hoofdbeheerder
  • Beveiligingsbeheer
  • Beveiligingslezer
  • Algemene lezer
  • Rapportenlezer

Het rapport met aanmeldingsactiviteiten is beschikbaar in alle edities van Azure AD. Als u een Azure Active Directory P1- of P2-licentie hebt, hebt u toegang tot het rapport met aanmeldingsactiviteiten via de Microsoft Graph API. Zie Aan de slag met Azure Active Directory Premium om uw versie van Azure Active Directory te upgraden. Het duurt enkele dagen voordat de gegevens worden weergegeven in Graph nadat u een upgrade naar een Premium-licentie hebt uitgevoerd zonder gegevensactiviteiten vóór de upgrade.

Toegang krijgen tot het Azure AD aanmeldingslogboek:

  1. Meld u aan bij de Azure Portal met de juiste rol met minimale bevoegdheden.

  2. Ga naar hetaanmeldingslogboek vanAzure Active Directory>.

    Schermopname van het menu Bewakingszijde met aanmeldingslogboeken gemarkeerd.

U hebt ook toegang tot de aanmeldingslogboeken vanuit de volgende gebieden van Azure AD:

  • Gebruikers
  • Groepen
  • Bedrijfstoepassingen

Het aanmeldingslogboek weergeven

Als u het aanmeldingslogboek effectiever wilt weergeven, kunt u de weergave even aanpassen aan uw behoeften. U kunt opgeven welke kolommen u wilt opnemen en de gegevens filteren om de gegevens te beperken.

De indeling aanpassen

Het aanmeldingslogboek heeft een standaardweergave, maar u kunt de weergave aanpassen met meer dan 30 kolomopties.

  1. Selecteer Kolommen in het menu bovenaan het logboek.
  2. Selecteer de kolommen die u wilt weergeven en selecteer de knop Opslaan onderaan het venster.

Schermopname van de pagina met aanmeldingslogboeken met de optie Kolommen gemarkeerd.

De resultaten filteren

Het filteren van het aanmeldingslogboek is een handige manier om snel logboeken te vinden die overeenkomen met een specifiek scenario. U kunt de lijst bijvoorbeeld filteren om alleen aanmeldingen weer te geven die zijn opgetreden op een specifieke geografische locatie, van een specifiek besturingssysteem of van een specifiek type referentie.

Bij sommige filteropties wordt u gevraagd om meer opties te selecteren. Volg de aanwijzingen om de gewenste selectie voor het filter te maken. U kunt meerdere filters toevoegen.

Selecteer de optie Filters toevoegen bovenaan de tabel om aan de slag te gaan.

Schermopname van de pagina met aanmeldingslogboeken met de optie Filters toevoegen gemarkeerd.

Er zijn verschillende filteropties waaruit u kunt kiezen. Hieronder vindt u enkele opvallende opties en details.

  • Gebruiker: De USER Principal Name (UPN) van de betreffende gebruiker.
  • Status: De opties zijn Geslaagd, Mislukt en Onderbroken.
  • Resource: De naam van de service die wordt gebruikt voor de aanmelding.
  • Voorwaardelijke toegang: De status van het beleid voor voorwaardelijke toegang (CA). Opties zijn:
    • Niet toegepast: Er is geen beleid toegepast op de gebruiker en toepassing tijdens het aanmelden.
    • Succes: Een of meer CA-beleidsregels die zijn toegepast op de gebruiker en toepassing (maar niet noodzakelijkerwijs de andere voorwaarden) tijdens het aanmelden.
    • Mislukking: De aanmelding heeft voldaan aan de gebruikers- en toepassingsvoorwaarde van ten minste één CA-beleid en besturingselementen voor toekenning zijn niet voldaan of zijn ingesteld op het blokkeren van toegang.
  • IP-adressen: Er is geen definitieve verbinding tussen een IP-adres en de locatie waar de computer met dat adres zich fysiek bevindt. Mobiele providers en VPN's geven IP-adressen uit centrale pools uit die vaak ver verwijderd zijn van waar het clientapparaat daadwerkelijk wordt gebruikt. Op dit moment is het converteren van een IP-adres naar een fysieke locatie een poging naar beste vermogen op basis van traceringen, registergegevens, reverse lookups en overige informatie.

De volgende tabel bevat de opties en beschrijvingen voor de filteroptie Client-app .

Notitie

Vanwege privacyverplichtingen vult Azure AD dit veld niet in bij de starttenant bij een scenario tussen tenants.

Name Moderne verificatie Description
Geverifieerde SMTP Wordt gebruikt door POP- en IMAP-client om e-mailberichten te verzenden.
Automatisch opsporen Wordt gebruikt door Outlook- en EAS-clients om postvakken in Exchange Online te zoeken en er verbinding mee te maken.
Exchange ActiveSync: Dit filter toont alle aanmeldingspogingen waarbij het EAS-protocol is geprobeerd.
Browser Blauw vinkje. Toont alle aanmeldingspogingen van gebruikers met behulp van webbrowsers
Exchange ActiveSync: Toont alle aanmeldingspogingen van gebruikers met client-apps met behulp van Exchange ActiveSync om verbinding te maken met Exchange Online
Exchange Online PowerShell Wordt gebruikt om verbinding te maken met Exchange Online met externe PowerShell. Als u basisverificatie voor Exchange Online PowerShell blokkeert, moet u de Exchange Online PowerShell-module gebruiken om verbinding te maken. Zie Verbinding maken met Exchange Online PowerShell met behulp van meervoudige verificatie voor instructies.
Exchange-webservices Een programmeerinterface die wordt gebruikt door Outlook, Outlook voor Mac en apps van derden.
IMAP4 Een verouderde e-mailclient met IMAP om e-mail op te halen.
MAPI via HTTP Wordt gebruikt door Outlook 2010 en hoger.
Mobiele apps en desktopclients Blauw vinkje. Toont alle aanmeldingspogingen van gebruikers die mobiele apps en desktopclients gebruiken.
Offlineadresboek Een kopie van adreslijstverzamelingen die door Outlook worden gedownload en gebruikt.
Outlook Anywhere (RPC via HTTP) Wordt gebruikt door Outlook 2016 en hoger.
Outlook Service Wordt gebruikt door de E-mail- en Agenda-app voor Windows 10.
POP3 Een verouderde e-mailclient met POP3 om e-mail op te halen.
Webservices voor rapporten Wordt gebruikt om rapportgegevens op te halen in Exchange Online.
Andere clients Toont alle aanmeldingspogingen van gebruikers waarvoor de client-app niet is opgenomen of onbekend is.

De aanmeldingslogboeken analyseren

Nu de tabel met aanmeldingslogboeken op de juiste manier is opgemaakt, kunt u de gegevens effectiever analyseren. Hier worden enkele veelvoorkomende scenario's beschreven, maar dit zijn niet de enige manieren om aanmeldingsgegevens te analyseren. Verdere analyse en retentie van aanmeldingsgegevens kan worden bereikt door de logboeken naar andere hulpprogramma's te exporteren.

Foutcodes voor aanmelding

Als een aanmelding is mislukt, kunt u meer informatie krijgen over de reden, in de sectie Basisinformatievan het gerelateerde logboekitem. De foutcode en de bijbehorende foutreden worden weergegeven in de details. Vanwege de complexiteit van sommige Azure AD-omgevingen, kunnen we niet elke mogelijke foutcode en oplossing vastleggen. Voor sommige fouten moet u mogelijk een ondersteuningsaanvraag indienen om het probleem op te lossen.

Schermopname van een aanmeldingsfoutcode.

Zie het artikel Azure AD-verificatie- en autorisatiefoutcodes voor een lijst met foutcodes met betrekking tot Azure AD-verificatie en - autorisatie. In sommige gevallen biedt het hulpprogramma voor het opzoeken van aanmeldingsfouten herstelstappen. Voer de foutcode in de details van het aanmeldingslogboek in het hulpprogramma in en selecteer de knop Verzenden .

Schermopname van het hulpprogramma voor het opzoeken van foutcodes.

Verificatiedetails

Het tabblad Verificatiedetails in de details van een aanmeldingslogboek bevat de volgende informatie voor elke verificatiepoging:

  • Een lijst met toegepast verificatiebeleid, zoals voorwaardelijke toegang of Standaardinstellingen voor beveiliging.
  • Een lijst met beleidsregels voor de levensduur van sessies die zijn toegepast, zoals aanmeldingsfrequentie of MFA onthouden.
  • De volgorde van verificatiemethoden die worden gebruikt om u aan te melden.
  • Als de verificatiepoging is geslaagd en de reden hiervoor.

Met deze informatie kunt u problemen met elke stap in de aanmelding van een gebruiker oplossen. Gebruik deze gegevens om bij te houden:

  • Het aantal aanmeldingen dat wordt beveiligd door MFA.
  • De reden voor de verificatieprompt, op basis van het beleid voor de levensduur van sessies.
  • Gebruiks- en slagingspercentages voor elke verificatiemethode.
  • Gebruik van verificatiemethoden zonder wachtwoord, zoals Aanmelden zonder wachtwoord, FIDO2 en Windows Hello voor Bedrijven.
  • Hoe vaak aan de verificatievereisten wordt voldaan door tokenclaims, bijvoorbeeld wanneer gebruikers niet interactief worden gevraagd om een wachtwoord in te voeren of een SMS OTP in te voeren.

Selecteer tijdens het weergeven van het aanmeldingslogboek een aanmeldingsgebeurtenis en selecteer vervolgens het tabblad Verificatiedetails .

Schermopname van het tabblad Verificatiedetails

Let bij het analyseren van verificatiedetails op de volgende details:

  • OATH-verificatiecode wordt geregistreerd als de verificatiemethode voor zowel OATH-hardware- als softwaretokens (zoals de Microsoft Authenticator-app).
  • Op het tabblad Verificatiedetails kunnen in eerste instantie onvolledige of onnauwkeurige gegevens worden weergegeven totdat de logboekgegevens volledig zijn samengevoegd. Enkele voorbeelden zijn:
    • Het bericht is aan voldaan door claim in token wordt onjuist weergegeven wanneer aanmeldingsgebeurtenissen in eerste instantie worden geregistreerd.
    • De primaire verificatierij wordt in eerste instantie niet geregistreerd.

Aanmeldingsgegevens die door andere services worden gebruikt

Aanmeldingsgegevens worden door verschillende services in Azure gebruikt om riskante aanmeldingen te bewaken en inzicht te bieden in het gebruik van toepassingen.

Riskante aanmeldingsgegevens in Azure AD Identity Protection

Visualisatie van aanmeldingslogboekgegevens die betrekking hebben op riskante aanmeldingen, is beschikbaar in het overzicht van Azure AD Identity Protection , waarin de volgende gegevens worden gebruikt:

  • Riskante gebruikers
  • Riskante gebruikersaanmelding
  • Riskante service-principals
  • Riskante aanmeldingen voor service-principals

Zie overzicht van Azure AD Identity Protection voor meer informatie over de hulpprogramma's voor Azure AD Identity Protection.

Schermopname van riskante gebruikers in Identity Protection.

Aanmeldingsactiviteit voor Azure AD-toepassingen en -verificatie

Als u toepassingsspecifieke aanmeldingsgegevens wilt weergeven, gaat u naar Azure AD en selecteert u Gebruiks & insights in de sectie Bewaking. Deze rapporten bieden een beter overzicht van aanmeldingen voor Azure AD-toepassingsactiviteit en AD FS-toepassingsactiviteit. Zie Azure AD-gebruiks & insights voor meer informatie.

Schermopname van het activiteitenrapport van de Azure AD-toepassing.

Azure AD Gebruiks & insights biedt ook het activiteitenrapport Verificatiemethoden , waarin verificatie wordt opgesplitst op basis van de gebruikte methode. Gebruik dit rapport om te zien hoeveel van uw gebruikers zijn ingesteld met MFA of verificatie zonder wachtwoord.

Schermopname van het rapport Verificatiemethoden.

Microsoft 365-activiteitenlogboeken

U kunt activiteitenlogboeken van Microsoft 365 weergeven via het Microsoft 365-beheercentrum. Microsoft 365-activiteitenlogboeken en Azure AD-activiteitenlogboeken delen een aanzienlijk aantal directoryresources. Alleen het Microsoft 365-beheercentrum biedt een volledig overzicht van de activiteitenlogboeken van Microsoft 365.

U kunt programmatisch toegang krijgen tot de Microsoft 365-activiteitenlogboeken met behulp van de Office 365-beheer-API's.

Volgende stappen