Activiteitenlogboeken voor identiteiten aanpassen en filteren

Aanmeldingslogboeken zijn een veelgebruikt hulpprogramma voor het oplossen van problemen met gebruikerstoegang en het onderzoeken van riskante aanmeldingsactiviteiten. Auditlogboeken verzamelen elke geregistreerde gebeurtenis in Microsoft Entra-id en kunnen worden gebruikt om wijzigingen in uw omgeving te onderzoeken. Er zijn meer dan 30 kolommen waaruit u kunt kiezen om uw weergave van de aanmeldingslogboeken in het Microsoft Entra-beheercentrum aan te passen. Auditlogboeken en inrichtingslogboeken kunnen ook worden aangepast en gefilterd op uw behoeften.

In dit artikel leest u hoe u de kolommen aanpast en vervolgens de logboeken filtert om de informatie die u nodig hebt efficiënter te vinden.

Voorwaarden

De vereiste rollen en licenties variëren op basis van het rapport. Afzonderlijke machtigingen zijn vereist voor toegang tot bewakings- en statusgegevens in Microsoft Graph. We raden u aan een rol met minimale toegangsrechten te gebruiken om te voldoen aan de richtlijnen voor Zero Trust. Zie Rollen met minimale bevoegdheden per taak voor een volledige lijst met rollen.

Logboek/rapport	Rollen	Licenties
Auditlogboeken	Rapportlezer Beveiligingslezer Beveiligingsbeheerder	Alle edities van Microsoft Entra ID
Aanmeldingslogboeken	Rapportlezer Beveiligingslezer Beveiligingsbeheerder	Alle edities van Microsoft Entra ID
Inrichtingslogboeken	Rapportlezer Beveiligingslezer Toepassingsbeheerder Cloud-app-beheerder	Microsoft Entra ID P1 of P2
Auditlogboeken voor aangepaste beveiligingskenmerken*	Kenmerklogboekbeheerder Kenmerklogboeklezer	Alle edities van Microsoft Entra ID
Gezondheid	Rapportlezer Beveiligingslezer Helpdeskbeheerder	Microsoft Entra ID P1 of P2
Microsoft Entra ID Protection**	Beveiligingsbeheerder Beveiligingsoperator Beveiligingslezer Globale lezer	Microsoft Entra ID Free Microsoft 365-apps Microsoft Entra ID P1 of P2
Activiteitenlogboeken van Microsoft Graph	Beveiligingsbeheerder Machtigingen voor toegang tot gegevens in de bijbehorende logboekbestemming	Microsoft Entra ID P1 of P2
Gebruik en inzichten	Rapportlezer Beveiligingslezer Beveiligingsbeheerder	Microsoft Entra ID P1 of P2

*Voor het weergeven van de aangepaste beveiligingskenmerken in de auditlogboeken of het maken van diagnostische instellingen voor aangepaste beveiligingskenmerken is een van de kenmerklogboekrollen vereist. U hebt ook de juiste rol nodig om de standaardcontrolelogboeken weer te geven.

**Het toegangsniveau en de mogelijkheden voor Microsoft Entra ID Protection is afhankelijk van de rol en licentie. Zie de licentievereisten voor ID Protection voor meer informatie.

Toegang krijgen tot de activiteitenlogboeken in het Microsoft Entra-beheercentrum

U hebt altijd toegang tot uw eigen aanmeldingsgeschiedenis op https://mysignins.microsoft.com. U kunt ook toegang krijgen tot de aanmeldingslogboeken van gebruikers - en bedrijfstoepassingen in Microsoft Entra-id.

Fooi

Stappen in dit artikel kunnen enigszins variëren op basis van de portal waaruit u begint.

1. Meld u aan bij het Microsoft Entra-beheercentrum als minimaal een rapportlezer.
2. Blader naar aanmeldingslogboeken voor identiteitsbewaking>en statuscontrolelogboeken.>//

Auditlogboeken

Met de informatie in de auditlogboeken van Microsoft Entra hebt u toegang tot alle records van systeemactiviteiten voor nalevingsdoeleinden. Auditlogboeken kunnen worden geopend vanuit de sectie Bewaking en status van Microsoft Entra-id, waar u kunt sorteren en filteren op elke categorie en activiteit. U kunt ook auditlogboeken openen in het gebied van het beheercentrum voor de service die u onderzoekt.

Als u bijvoorbeeld wijzigingen in Microsoft Entra-groepen bekijkt, hebt u toegang tot de auditlogboeken van Microsoft Entra-id-groepen>. Wanneer u de auditlogboeken van de service opent, wordt het filter automatisch aangepast volgens de service.

De indeling van de auditlogboeken aanpassen

U kunt de kolommen in de auditlogboeken aanpassen om alleen de informatie weer te geven die u nodig hebt. De kolommen Service, Categorie en Activiteit zijn aan elkaar gerelateerd, zodat deze kolommen altijd zichtbaar moeten zijn.

De auditlogboeken filteren

Wanneer u de logboeken filtert op service, worden de details van de categorie en de activiteit automatisch gewijzigd. In sommige gevallen is er mogelijk slechts één categorie of activiteit. Zie Controleactiviteiten voor een gedetailleerde tabel met alle mogelijke combinaties van deze details.

• Service: standaard ingesteld op alle beschikbare services, maar u kunt de lijst filteren op een of meer door een optie te selecteren in de vervolgkeuzelijst.

• Categorie: standaard ingesteld op alle categorieën, maar kan worden gefilterd om de activiteitscategorie weer te geven, zoals het wijzigen van een beleid of het activeren van een in aanmerking komende Microsoft Entra-rol.

• Activiteit: Op basis van de selectie van het type categorie en activiteitsresource. U kunt een specifieke activiteit selecteren die u wilt zien of alles kiezen.

  U kunt de lijst met alle controleactiviteiten ophalen met behulp van de Microsoft Graph API: https://graph.windows.net/<tenantdomain>/activities/auditActivityTypesV2?api-version=beta

• Status: Hiermee kunt u het resultaat bekijken op basis van of de activiteit is geslaagd of mislukt.

• Doel: Hiermee kunt u zoeken naar het doel of de ontvanger van een activiteit. Zoek op de eerste paar letters van een naam of user principal name (UPN). De doelnaam en UPN zijn hoofdlettergevoelig.

• Gestart door: Hiermee kunt u zoeken door wie de activiteit heeft gestart met behulp van de eerste paar letters van hun naam of UPN. De naam en UPN zijn hoofdlettergevoelig.

• Datumbereik: hiermee kunt u een tijdsbestek definiëren voor de geretourneerde gegevens. U kunt de afgelopen 7 dagen, 24 uur of een aangepast bereik doorzoeken. Wanneer u een aangepast tijdsbestek selecteert, kunt u een begintijd en een eindtijd configureren.

Aanmeldingslogboeken

Op de aanmeldingslogboekpagina kunt u schakelen tussen vier aanmeldingslogboektypen.

• Interactieve aanmeldingen van gebruikers: aanmeldingen waarbij een gebruiker een verificatiefactor biedt, zoals een wachtwoord, een antwoord via een MFA-app, een biometrische factor of een QR-code.

• Niet-interactieve gebruikersaanmelding: aanmeldingen die door een client worden uitgevoerd namens een gebruiker. Voor deze aanmeldingen is geen interactie- of verificatiefactor van de gebruiker vereist. Verificatie en autorisatie met behulp van vernieuwings- en toegangstokens waarvoor geen gebruiker referenties hoeft in te voeren.

• Aanmeldingen voor service-principals: aanmeldingen door apps en service-principals waarvoor geen gebruiker is betrokken. In deze aanmeldingen geeft de app of service namens zichzelf een referentie om resources te verifiëren of te openen.

• Beheerde identiteiten voor aanmeldingen van Azure-resources: aanmeldingen door Azure-resources die geheimen hebben die worden beheerd door Azure. Zie Wat zijn beheerde identiteiten voor Azure-resources? voor meer informatie.

De indeling van de aanmeldingslogboeken aanpassen

U kunt de kolommen voor het interactieve aanmeldingslogboek van gebruikers aanpassen met behulp van meer dan 30 kolomopties. Als u het aanmeldingslogboek effectiever wilt weergeven, past u de weergave aan uw behoeften aan.

1. Selecteer Kolommen in het menu bovenaan het logboek.
2. Selecteer de kolommen die u wilt weergeven en selecteer de knop Opslaan onderaan het venster.

De aanmeldingslogboeken filteren

Het filteren van de aanmeldingslogboeken is een handige manier om snel logboeken te vinden die overeenkomen met een specifiek scenario. U kunt de lijst bijvoorbeeld filteren om alleen aanmeldingen weer te geven die zijn opgetreden op een specifieke geografische locatie, van een specifiek besturingssysteem of van een specifiek type referentie.

Bij sommige filteropties wordt u gevraagd meer opties te selecteren. Volg de aanwijzingen om de gewenste selectie voor het filter te maken. U kunt meerdere filters toevoegen.

1. Selecteer de knop Filters toevoegen, kies een filteroptie en selecteer Toepassen.

   

2. Voer een specifieke details in, zoals een aanvraag-id, of selecteer een andere filteroptie.

   

U kunt filteren op verschillende details. In de volgende tabel worden enkele veelgebruikte filters beschreven. Niet alle filteropties worden beschreven.

Filter	Beschrijving
Aanvraag-id	Unieke id voor een aanmeldingsaanvraag
Correlatie-id	Unieke id voor alle aanmeldingsaanvragen die deel uitmaken van een poging tot eenmalige aanmelding
Gebruiker	De UPN (User Principal Name) van de gebruiker
Toepassing	De toepassing waarop de aanmeldingsaanvraag betrekking heeft
Status	Opties zijn geslaagd, mislukt en onderbroken
Hulpbron	De naam van de service die wordt gebruikt voor de aanmelding
IP-adres	Het IP-adres van de client die wordt gebruikt voor de aanmelding
Voorwaardelijke toegang	Opties worden niet toegepast, geslaagd en mislukt

Nu de tabel met aanmeldingslogboeken is opgemaakt voor uw behoeften, kunt u de gegevens effectiever analyseren. Verdere analyse en retentie van aanmeldingsgegevens kunnen worden uitgevoerd door de logboeken naar andere hulpprogramma's te exporteren.

Door de kolommen aan te passen en het filter aan te passen, kunt u logboeken met vergelijkbare kenmerken bekijken. Als u de details van een aanmelding wilt bekijken, selecteert u een rij in de tabel om het deelvenster Activiteitsgegevens te openen. Er zijn verschillende tabbladen in het deelvenster om te verkennen. Zie Details van aanmeldingslogboekactiviteiten voor meer informatie.

Client-app-filter

Wanneer u controleert waar een aanmelding vandaan komt, moet u mogelijk het client-app-filter gebruiken. Client-app heeft twee subcategorieën: Clients voor moderne verificatie en verouderde verificatieclients. Moderne verificatieclients hebben nog twee subcategorieën: browser - en mobiele apps en desktopclients. Er zijn verschillende subcategorieën voor verouderde verificatieclients, die zijn gedefinieerd in de tabel met details van de verouderde verificatieclient.

Browser-aanmeldingen omvatten alle aanmeldingspogingen vanuit webbrowsers. Wanneer u de details van een aanmelding vanuit een browser bekijkt, ziet u op het tabblad Basisinformatie de client-app: Browser.

Op het tabblad Apparaatgegevens worden de details van de webbrowser weergegeven. Het browsertype en de versie worden vermeld, maar in sommige gevallen is de naam van de browser en versie niet beschikbaar. Mogelijk ziet u iets als Rich Client 4.0.0.0.

Details van verouderde verificatieclient

De volgende tabel bevat de details voor elk van de verouderde verificatieclientopties .

Naam	Beschrijving
Geverifieerde SMTP	Wordt gebruikt door POP- en IMAP-clients om e-mailberichten te verzenden.
Automatisch opsporen	Wordt gebruikt door Outlook- en EAS-clients om postvakken in Exchange Online te zoeken en er verbinding mee te maken.
Exchange ActiveSync	Dit filter toont alle aanmeldingspogingen waarbij het EAS-protocol is geprobeerd.
Exchange ActiveSync	Toont alle aanmeldingspogingen van gebruikers met client-apps die Exchange ActiveSync gebruiken om verbinding te maken met Exchange Online
Exchange Online PowerShell	Wordt gebruikt om verbinding te maken met Exchange Online met externe PowerShell. Als u basisverificatie voor Exchange Online PowerShell blokkeert, moet u de Exchange Online PowerShell-module gebruiken om verbinding te maken. Zie Verbinding maken met Exchange Online PowerShell met behulp van meervoudige verificatie voor instructies.
Exchange-webservices	Een programmeerinterface die wordt gebruikt door Outlook-, Outlook voor Mac- en niet-Microsoft-apps.
IMAP4	Een verouderde e-mailclient met IMAP om e-mail op te halen.
MAPI via HTTP	Wordt gebruikt door Outlook 2010 en hoger.
Offlineadresboek	Een kopie van adreslijstverzamelingen die door Outlook worden gedownload en gebruikt.
Outlook Anywhere (RPC via HTTP)	Wordt gebruikt door Outlook 2016 en eerder.
Outlook Service	Wordt gebruikt door de app Mail en Agenda voor Windows 10.
POP3	Een verouderde e-mailclient die POP3 gebruikt om e-mail op te halen.
Reporting Web Services	Wordt gebruikt om rapportgegevens op te halen in Exchange Online.
Andere clients	Toont alle aanmeldingspogingen van gebruikers waar de client-app niet is opgenomen of onbekend.

Inrichtingslogboeken

Als u het inrichtingslogboek effectiever wilt weergeven, past u de weergave aan uw behoeften aan. U kunt opgeven welke kolommen u wilt opnemen en filteren om de gegevens te verfijnen.

De indeling aanpassen

Het inrichtingslogboek heeft een standaardweergave, maar u kunt kolommen aanpassen.

1. Selecteer Kolommen in het menu bovenaan het logboek.
2. Selecteer de kolommen die u wilt weergeven en selecteer de knop Opslaan onderaan het venster.

De resultaten filteren

Wanneer u de inrichtingsgegevens filtert, worden sommige filterwaarden dynamisch ingevuld op basis van uw tenant. Als u bijvoorbeeld geen 'create'-gebeurtenissen in uw tenant hebt, is de optie = Filter maken niet beschikbaar.

Met het identiteitsfilter kunt u de naam of identiteit opgeven die u belangrijk vindt. Deze identiteit kan een gebruiker, groep, rol of ander object zijn.

U kunt zoeken op de naam of id van het object. De id verschilt per scenario.

• Als u een object van Microsoft Entra-id inricht in Salesforce, is de bron-id de object-id van de gebruiker in Microsoft Entra-id. De doel-id is de id van de gebruiker bij Salesforce.
• Als u van Workday naar Microsoft Entra-id inricht, is de bron-id de werknemer-id van Workday. De doel-id is de id van de gebruiker in Microsoft Entra-id.
• Als u gebruikers inricht voor synchronisatie tussen tenants, is de bron-id van de gebruiker in de brontenant. De doel-id is de id van de gebruiker in de doeltenant.

Notitie

De naam van de gebruiker is mogelijk niet altijd aanwezig in de kolom Identiteit . Er zal altijd één id zijn.

Met het datumfilter kunt u een tijdsbestek definiëren voor de geretourneerde gegevens. Mogelijke waarden zijn:

• Eén maand
• Zeven dagen
• 30 dagen
• 24 uur
• Aangepast tijdsinterval (een begindatum en een einddatum configureren)

Met het statusfilter kunt u het volgende selecteren:

• Alle
• Succes
• Mislukking
• Overgeslagen

Met het actiefilter kunt u deze acties filteren:

• Scheppen
• Update
• Verwijderen
• Uitschakelen
• Ander

Naast de filters van de standaardweergave kunt u de volgende filters instellen.

• Taak-id: Er is een unieke taak-id gekoppeld aan elke toepassing waarvoor u inrichting hebt ingeschakeld.

• Cyclus-id: De cyclus-id identificeert de inrichtingscyclus uniek. U kunt deze id delen met productondersteuning om de cyclus op te zoeken waarin deze gebeurtenis heeft plaatsgevonden.

• Wijzigings-id: de wijzigings-id is een unieke id voor de inrichtings gebeurtenis. U kunt deze id delen met productondersteuning om de inrichtingsevenement op te zoeken.

• Bronsysteem: U kunt opgeven waar de identiteit wordt ingericht. Wanneer u bijvoorbeeld een object van Microsoft Entra-id inricht naar ServiceNow, is het bronsysteem Microsoft Entra-id.

• Doelsysteem: u kunt opgeven waar de identiteit wordt ingericht. Wanneer u bijvoorbeeld een object van Microsoft Entra ID inricht naar ServiceNow, is het doelsysteem ServiceNow.

• Toepassing: U kunt alleen records van toepassingen weergeven met een weergavenaam of object-id die een specifieke tekenreeks bevat. Voor synchronisatie tussen tenants gebruikt u de object-id van de configuratie en niet de toepassings-id.

Volgende stappen

• Een aanmeldingsfout analyseren
• Aanmeldingsfouten oplossen
• Alle auditlogboekcategorieën en -activiteiten verkennen