Meer informatie over de details van de aanmeldingsactiviteit

Microsoft Entra registreert alle aanmeldingen in een Azure-tenant voor nalevingsdoeleinden. Als IT-beheerder moet u weten wat de waarden in de aanmeldingslogboeken betekenen, zodat u de logboekwaarden correct kunt interpreteren.

• Meer informatie over de aanmeldingslogboeken
• De aanmeldingslogboeken aanpassen en filteren

In dit artikel worden de waarden in de aanmeldingslogboeken uitgelegd. Deze waarden bieden waardevolle informatie voor het oplossen van aanmeldingsfouten.

Onderdelen van aanmeldingsactiviteiten

In Microsoft Entra ID bestaat een aanmeldingsactiviteit uit drie hoofdonderdelen:

• Wie: De identiteit (gebruiker) die de aanmelding uitvoert.
• Hoe: de client (toepassing) die wordt gebruikt voor de toegang.
• Wat: het doel (resource) dat wordt geopend door de identiteit.

Richt u op deze drie onderdelen bij het onderzoeken van een aanmelding om uw zoekopdracht te verfijnen, zodat u niet elke details bekijkt. Binnen elk van deze drie onderdelen zijn er gerelateerde id's die meer informatie kunnen bieden. Elke aanmelding bevat ook unieke id's die de aanmeldingspoging aan gekoppelde activiteiten correleren.

Wie

De volgende details zijn gekoppeld aan de gebruiker:

• Gebruiker
• Username
• Gebruikers-id
• Aanmeldings-id
• Gebruikerstype

Hoe

Hoe de gebruiker zich aanmeldt, kan worden geïdentificeerd door de volgende details te bekijken:

• Verificatievereiste
• Client-app
• Clientreferentietype
• Continue toegangsevaluatie

Wat

U kunt de resource identificeren die de gebruiker probeert te openen met behulp van de volgende details:

• Toepassing
• Toepassings-id
• Bron
• Resource-id
• Resourcetenant-id
• Id van resourceservice-principal

Unieke id's

Aanmeldingslogboeken bevatten ook verschillende unieke id's die meer inzicht bieden in de aanmeldingspoging.

• Correlatie-id: de aanmeldingen van correlatie-id's worden gegroepeerd vanuit dezelfde aanmeldingssessie. De waarde is gebaseerd op parameters die door een client worden doorgegeven, zodat Microsoft Entra-id de nauwkeurigheid ervan niet kan garanderen.
• Aanvraag-id: een id die overeenkomt met een uitgegeven token. Als u op zoek bent naar aanmeldingen met een specifiek token, moet u eerst de aanvraag-id uit het token extraheren.
• Unieke token-id: een unieke id voor het token dat tijdens de aanmelding is doorgegeven. Deze id wordt gebruikt om de aanmelding te correleren met de tokenaanvraag.

Details van aanmeldingsactiviteit

Elke aanmeldingspoging bevat details die zijn gekoppeld aan deze drie hoofdonderdelen. De details zijn ingedeeld in verschillende tabbladen, op basis van het type aanmelding.

Basisgegevens

Het tabblad Basisgegevens bevat het grootste deel van de details die zijn gekoppeld aan een aanmeldingspoging. Noteer de unieke id's, omdat deze mogelijk nodig zijn om aanmeldingsproblemen op te lossen. U kunt volgen wie, hoe, welk patroon de details gebruikt op het tabblad Basisinformatie.

U kunt de diagnostische aanmelding ook starten op het tabblad Basisgegevens. Zie Het diagnostische aanmeldingsdiagnose gebruiken voor meer informatie.

Foutcodes voor aanmelding

Als een aanmelding is mislukt, kunt u meer informatie krijgen over de reden op het tabblad Basisgegevens van het gerelateerde logboekitem. De foutcode en de bijbehorende foutreden worden weergegeven in de details. Zie Aanmeldingsfouten oplossen voor meer informatie.

Locatie en apparaat

Op de tabbladen Locatie en Apparaatgegevens worden algemene informatie weergegeven over de locatie en het IP-adres van de gebruiker. Het tabblad Apparaatgegevens bevat details over de browser en het besturingssysteem die worden gebruikt om u aan te melden. Dit tabblad bevat ook details over of het apparaat compatibel, beheerd of hybride lid is van Microsoft Entra.

Verificatiedetails

Het tabblad Verificatiedetails in de details van een aanmeldingslogboek bevat de volgende informatie voor elke verificatiepoging:

• Een lijst met toegepast verificatiebeleid, zoals voorwaardelijke toegang of standaardinstellingen voor beveiliging.
• De reeks verificatiemethoden die worden gebruikt om u aan te melden.
• Als de verificatiepoging is geslaagd en de reden hiervoor.

Met deze informatie kunt u problemen met elke stap in de aanmelding van een gebruiker oplossen. Gebruik deze details om bij te houden:

• Het volume van aanmeldingen dat wordt beveiligd door MFA.
• Gebruiks- en slagingspercentages voor elke verificatiemethode.
• Gebruik van verificatiemethoden zonder wachtwoord, zoals aanmelden zonder wachtwoord, FIDO2 en Windows Hello voor Bedrijven.
• Hoe vaak aan de verificatievereisten wordt voldaan door tokenclaims, zoals wanneer gebruikers niet interactief worden gevraagd een wachtwoord in te voeren of een SMS OTP in te voeren.

Voorwaardelijke toegang

Als beleid voor voorwaardelijke toegang (CA) wordt gebruikt in uw tenant, kunt u zien of deze beleidsregels zijn toegepast op de aanmeldingspoging. Alle beleidsregels die op de aanmelding kunnen worden toegepast, worden vermeld. Het eindresultaat van het beleid wordt weergegeven, zodat u snel kunt zien of het beleid van invloed is op de aanmeldingspoging.

• Geslaagd: het CA-beleid is toegepast op de aanmeldingspoging.
• Fout: het CA-beleid is toegepast op de aanmeldingspoging, maar de aanmeldingspoging is mislukt.
• Niet toegepast: de aanmelding voldoet niet aan de criteria voor het beleid dat moet worden toegepast.
• Uitgeschakeld: het beleid is uitgeschakeld op het moment van de aanmeldingspoging.

Alleen rapporteren

Omdat beleid voor voorwaardelijke toegang (CA) de aanmeldingservaring voor uw gebruikers kan wijzigen en mogelijk hun processen kan verstoren, is het een goed idee om ervoor te zorgen dat uw beleid correct is geconfigureerd. Met de modus Alleen rapporten kunt u een beleid configureren en het mogelijke effect ervan evalueren voordat u het beleid inschakelt.

Op dit tabblad van de aanmeldingslogboeken worden de resultaten weergegeven van aanmeldingspogingen die binnen het bereik van het beleid lagen. Zie het artikel Wat is de modus Alleen voor voorwaardelijke toegang? voor meer informatie.

Aanmeldingsgegevens en overwegingen

De volgende scenario's zijn belangrijk om rekening mee te houden wanneer u aanmeldingslogboeken bekijkt.

• IP-adres en locatie: er is geen definitieve verbinding tussen een IP-adres en waar de computer met dat adres zich fysiek bevindt. Mobiele providers en VPN's verlenen IP-adressen van centrale pools die vaak ver van de locatie waar het clientapparaat wordt gebruikt. Op dit moment is het converteren van een IP-adres naar een fysieke locatie een poging naar beste vermogen op basis van traceringen, registergegevens, reverse lookups en overige informatie.

• Voorwaardelijke toegang:

  • Not applied: Er is geen beleid toegepast op de gebruiker en toepassing tijdens het aanmelden.
  • Success: een of meer beleidsregels voor voorwaardelijke toegang die zijn toegepast op of zijn geëvalueerd voor de gebruiker en toepassing (maar niet noodzakelijkerwijs de andere voorwaarden) tijdens het aanmelden. Hoewel een beleid voor voorwaardelijke toegang mogelijk niet van toepassing is, als dit is geëvalueerd, wordt de status voor voorwaardelijke toegang geslaagd weergegeven.
  • Failure: Aan de aanmelding is voldaan aan de gebruikers- en toepassingsvoorwaarde van ten minste één beleid voor voorwaardelijke toegang en worden besturingselementen voor voorwaardelijke toegang niet voldaan of ingesteld om de toegang te blokkeren.

• Evaluatie van continue toegang: Geeft aan of continue toegangsevaluatie (CAE) is toegepast op de aanmeldingsgebeurtenis.

  • Er zijn meerdere aanmeldingsaanvragen voor elke verificatie, die kunnen worden weergegeven op de interactieve of niet-interactieve tabbladen.
  • CAE wordt alleen weergegeven als waar voor een van de aanvragen en kan worden weergegeven op het interactieve tabblad of niet-interactieve tabblad.
  • Zie Aanmeldingen bewaken en problemen oplossen met continue toegangsevaluatie in Microsoft Entra ID voor meer informatie.

• Toegangstype voor meerdere tenants: beschrijft het type toegang tussen tenants dat door de actor wordt gebruikt voor toegang tot de resource. Mogelijke waarden zijn:

  • none - Een aanmeldingsgebeurtenis die de grenzen van een Microsoft Entra-tenant niet heeft overschreden.
  • b2bCollaboration- Een aanmelding voor meerdere tenants die door een gastgebruiker wordt uitgevoerd met B2B Collaboration.
  • b2bDirectConnect - Een aanmelding voor meerdere tenants uitgevoerd door een B2B.
  • microsoftSupport- Een aanmelding tussen tenants die wordt uitgevoerd door een Microsoft-ondersteuningsagent in een externe Microsoft-tenant.
  • serviceProvider - Een aanmelding tussen tenants die wordt uitgevoerd door een Cloud Service Provider (CSP) of een vergelijkbare beheerder namens de klant van die CSP in een tenant.
  • unknownFutureValue - Een sentinel-waarde die door MS Graph wordt gebruikt om clients te helpen bij het afhandelen van wijzigingen in opsommingslijsten. Zie Best practices voor het werken met Microsoft Graph voor meer informatie.

• Tenant: In het aanmeldingslogboek worden twee tenant-id's bijgehouden die relevant zijn in scenario's voor meerdere tenants:

  • Thuistenant : de tenant die eigenaar is van de gebruikersidentiteit. Microsoft Entra ID houdt de id en naam bij.
  • Resourcetenant : de tenant die eigenaar is van de (doel) resource.
  • Vanwege privacyverplichtingen vult Microsoft Entra-id de naam van de thuistenant niet tijdens scenario's voor meerdere tenants.
  • Als u wilt zien hoe gebruikers buiten uw tenant toegang hebben tot uw resources, selecteert u alle vermeldingen waarin de thuistenant niet overeenkomt met de resourcetenant.

• Meervoudige verificatie: wanneer een gebruiker zich aanmeldt met MFA, worden er verschillende afzonderlijke MFA-gebeurtenissen uitgevoerd. Als een gebruiker bijvoorbeeld de verkeerde validatiecode invoert of niet tijdig reageert, worden er meer MFA-gebeurtenissen verzonden om de meest recente status van de aanmeldingspoging weer te geven. Deze aanmeldingsgebeurtenissen worden weergegeven als één regelitem in de aanmeldingslogboeken van Microsoft Entra. Dezelfde aanmeldingsgebeurtenis in Azure Monitor wordt echter weergegeven als meerdere regelitems. Deze gebeurtenissen hebben allemaal hetzelfde correlationId.

• Verificatievereiste: toont het hoogste verificatieniveau dat nodig is via alle aanmeldingsstappen om de aanmelding te voltooien.

  • Graph API ondersteunt $filter (eq en startsWith alleen operators).

• Typen aanmeldingsgebeurtenissen: geeft de categorie van de aanmelding aan die gebeurtenis vertegenwoordigt.

  • De categorie gebruikersaanmelding kan of interactiveUser nonInteractiveUser komt overeen met de waarde voor de eigenschap isInteractive in de aanmeldingsresource.
  • De categorie beheerde identiteit is managedIdentity.
  • De categorie service-principal is servicePrincipal.
  • De Microsoft Graph API ondersteunt: $filter (eq alleen operator).
  • Deze waarde wordt niet weergegeven in Azure Portal, maar de aanmeldingsgebeurtenis wordt op het tabblad geplaatst dat overeenkomt met het aanmeldingsgebeurtenistype. Mogelijke waarden zijn:
    • interactiveUser
    • nonInteractiveUser
    • servicePrincipal
    • managedIdentity
    • unknownFutureValue

• Gebruikerstype: voorbeelden zijn onder andere member, guestof external.

• Verificatiedetails:

  • OATH-verificatiecode wordt geregistreerd als de verificatiemethode voor zowel OATH-hardware- als softwaretokens (zoals de Microsoft Authenticator-app).
  • Op het tabblad Verificatiegegevens kunnen in eerste instantie onvolledige of onjuiste gegevens worden weergegeven totdat logboekgegevens volledig zijn samengevoegd. Bekende voorbeelden zijn:
    • Het bericht is aan voldaan door claim in token wordt onjuist weergegeven wanneer aanmeldingsgebeurtenissen in eerste instantie worden geregistreerd.
    • De primaire verificatierij wordt in eerste instantie niet geregistreerd.
  • Als u niet zeker weet wat er in de logboeken wordt beschreven, verzamelt u de aanvraag-id en correlatie-id die u wilt gebruiken voor verdere analyse of probleemoplossing.
  • Als beleid voor voorwaardelijke toegang voor verificatie of sessielevensduur wordt toegepast, worden deze boven de aanmeldingspogingen vermeld. Als u een van deze opties niet ziet, worden deze beleidsregels momenteel niet toegepast. Zie Sessiebesturingselementen voor voorwaardelijke toegang voor meer informatie.