Wat zijn aanmeldingslogboeken van Microsoft Entra?
Microsoft Entra registreert alle aanmeldingen in een Microsoft Entra-tenant, waaronder uw interne apps en resources. Als IT-beheerder moet u weten wat de waarden in de aanmeldingslogboeken betekenen, zodat u de logboekwaarden correct kunt interpreteren.
Het controleren van aanmeldingsfouten en -patronen biedt waardevol inzicht in hoe uw gebruikers toegang hebben tot toepassingen en services. De aanmeldingslogboeken van Microsoft Entra ID zijn een krachtig type activiteitenlogboek dat u kunt analyseren. In dit artikel worden verschillende belangrijke aspecten van de aanmeldingslogboeken beschreven.
Er zijn ook twee andere activiteitenlogboeken beschikbaar om de status van uw tenant te bewaken:
- Controle : informatie over wijzigingen die zijn toegepast op uw tenant, zoals gebruikers en groepsbeheer of updates die zijn toegepast op de resources van uw tenant.
- Inrichten: activiteiten die worden uitgevoerd door een inrichtingsservice, zoals het maken van een groep in ServiceNow of een gebruiker die is geïmporteerd uit Workday.
Licentie- en rolvereisten
De vereiste rollen en licenties variëren op basis van het rapport. Afzonderlijke machtigingen zijn vereist voor toegang tot bewakings- en statusgegevens in Microsoft Graph. We raden u aan een rol met minimale toegangsrechten te gebruiken om te voldoen aan de richtlijnen voor Zero Trust. Zie Rollen met minimale bevoegdheden per taak voor een volledige lijst met rollen.
| Logboek/rapport | Rollen | Licenties |
|---|---|---|
| Auditlogboeken | Rapportlezer Beveiligingslezer Beveiligingsbeheerder |
Alle edities van Microsoft Entra ID |
| Aanmeldingslogboeken | Rapportlezer Beveiligingslezer Beveiligingsbeheerder |
Alle edities van Microsoft Entra ID |
| Inrichtingslogboeken | Rapportlezer Beveiligingslezer Toepassingsbeheerder Cloud-app-beheerder |
Microsoft Entra ID P1 of P2 |
| Auditlogboeken voor aangepaste beveiligingskenmerken* | Kenmerklogboekbeheerder Kenmerklogboeklezer |
Alle edities van Microsoft Entra ID |
| Gezondheid | Rapportlezer Beveiligingslezer Helpdeskbeheerder |
Microsoft Entra ID P1 of P2 |
| Microsoft Entra ID Protection** | Beveiligingsbeheerder Beveiligingsoperator Beveiligingslezer Globale lezer |
Microsoft Entra ID Free Microsoft 365-apps Microsoft Entra ID P1 of P2 |
| Activiteitenlogboeken van Microsoft Graph | Beveiligingsbeheerder Machtigingen voor toegang tot gegevens in de bijbehorende logboekbestemming |
Microsoft Entra ID P1 of P2 |
| Gebruik en inzichten | Rapportlezer Beveiligingslezer Beveiligingsbeheerder |
Microsoft Entra ID P1 of P2 |
*Voor het weergeven van de aangepaste beveiligingskenmerken in de auditlogboeken of het maken van diagnostische instellingen voor aangepaste beveiligingskenmerken is een van de kenmerklogboekrollen vereist. U hebt ook de juiste rol nodig om de standaardcontrolelogboeken weer te geven.
**Het toegangsniveau en de mogelijkheden voor Microsoft Entra ID Protection is afhankelijk van de rol en licentie. Zie de licentievereisten voor ID Protection voor meer informatie.
Wat kunt u doen met aanmeldingslogboeken?
U kunt de aanmeldingslogboeken gebruiken om vragen te beantwoorden, zoals:
- Hoeveel gebruikers hebben zich deze week aangemeld bij een bepaalde toepassing?
- Hoeveel mislukte aanmeldingspogingen zijn er in de afgelopen 24 uur opgetreden?
- Melden gebruikers zich aan bij specifieke browsers of besturingssystemen?
- Welke van mijn Azure-resources zijn geopend door beheerde identiteiten en service-principals?
U kunt ook de activiteit beschrijven die is gekoppeld aan een aanmeldingsaanvraag door de volgende gegevens te identificeren:
- Wie : de identiteit (gebruiker) die de aanmelding uitvoert.
- Hoe : de client (toepassing) die wordt gebruikt voor de aanmelding.
- Wat : het doel (resource) dat wordt geopend door de identiteit.
Hoe opent u de aanmeldingslogboeken?
Er zijn verschillende manieren om toegang te krijgen tot de logboeken, afhankelijk van uw behoeften. Zie Activiteitenlogboeken openen voor meer informatie.
De aanmeldingslogboeken bekijken vanuit het Microsoft Entra-beheercentrum:
- Meld u aan bij het Microsoft Entra-beheercentrum als minimaal een rapportlezer.
- Blader naar aanmeldingslogboeken voor identiteitsbewaking>en -status>.
Als u de aanmeldingslogboeken in het Microsoft Entra-beheercentrum effectiever wilt gebruiken, past u de filters aan om alleen een specifieke set logboeken weer te geven. Zie Aanmeldingslogboeken filteren voor meer informatie.
Wat zijn de typen aanmeldingslogboeken?
Er zijn vier typen logboeken in de voorbeeldweergave van aanmeldingslogboeken:
- Interactieve gebruikersaanmelding
- Aanmeldingen van niet-interactieve gebruikers
- Aanmeldingen voor de service-principal
- Aanmeldingen voor beheerde identiteiten
De klassieke aanmeldingslogboeken bevatten alleen interactieve aanmeldingen van gebruikers.
Notitie
Vermeldingen in de aanmeldingslogboeken worden door het systeem gegenereerd en kunnen niet worden gewijzigd of verwijderd.
Aanmeldingsgegevens die worden gebruikt door andere services
Aanmeldingsgegevens worden gebruikt door verschillende services in Azure en Microsoft Entra om riskante aanmeldingen te bewaken, inzicht te bieden in het gebruik van toepassingen en meer.
Microsoft Entra ID Protection
Visualisatie van aanmeldingsgegevens die betrekking heeft op riskante aanmeldingen, is beschikbaar in het overzicht van Microsoft Entra ID Protection , waarin de volgende gegevens worden gebruikt:
- Riskante gebruikers
- Riskante gebruikersaanmelding
- Riskante workloadidentiteiten
Zie het overzicht van Microsoft Entra ID Protection voor meer informatie over de hulpprogramma's voor Microsoft Entra ID Protection.
Gebruik en inzichten van Microsoft Entra
Als u toepassingsspecifieke aanmeldingsgegevens wilt bekijken, bladert u naar Microsoft Entra ID>Monitoring & health>Usage & insights. Deze rapporten bieden een beter overzicht van aanmeldingen voor Microsoft Entra-toepassingsactiviteit en AD FS-toepassingsactiviteit. Zie Microsoft Entra Usage &insights voor meer informatie.
Er zijn verschillende rapporten beschikbaar in Gebruik en inzichten. Sommige van deze rapporten zijn in preview.
- Microsoft Entra-toepassingsactiviteit (preview)
- AD FS-toepassingsactiviteit
- Activiteit verificatiemethoden
- Aanmeldingsactiviteit voor service-principal
- Activiteit van toepassingsreferenties
Activiteitenlogboeken van Microsoft 365
U kunt Microsoft 365-activiteitenlogboeken bekijken vanuit de Microsoft 365-beheercentrum. Activiteitenlogboeken van Microsoft 365 en Microsoft Entra delen een aanzienlijk aantal directory-resources. Alleen de Microsoft 365-beheercentrum biedt een volledig overzicht van de Activiteitenlogboeken van Microsoft 365.
U kunt programmatisch toegang krijgen tot de Microsoft 365-activiteitenlogboeken met behulp van de Office 365-beheer-API's.