Dzienniki logowania w usłudze Azure Active Directory

Przeglądanie błędów i wzorców logowania zapewnia cenny wgląd w sposób, w jaki użytkownicy uzyskują dostęp do aplikacji i usług. Dzienniki logowania udostępniane przez usługę Azure Active Directory (Azure AD) to zaawansowany typ dziennika aktywności, który administratorzy IT mogą analizować. W tym artykule wyjaśniono, jak uzyskać dostęp do dzienników logowania i korzystać z tych dzienników.

Dostępne są również dwa inne dzienniki aktywności, które ułatwiają monitorowanie kondycji dzierżawy:

  • Inspekcja — informacje o zmianach zastosowanych do dzierżawy, takich jak zarządzanie użytkownikami i grupami lub aktualizacje zastosowane do zasobów dzierżawy.
  • Aprowizacja — działania wykonywane przez usługę aprowizacji, takie jak tworzenie grupy w usłudze ServiceNow lub użytkownik zaimportowany z produktu Workday.

Co można zrobić za pomocą dzienników logowania?

Możesz użyć dziennika logowania, aby znaleźć odpowiedzi na pytania takie jak:

  • Co to jest wzorzec logowania użytkownika?

  • Ilu użytkowników zalogowało się w ciągu tygodnia?

  • Jaki jest stan tych logowań?

Jak uzyskać dostęp do dzienników logowania?

Zawsze możesz uzyskać dostęp do historii logowania na stronie https://mysignins.microsoft.com.

Aby uzyskać dostęp do dziennika logowania dla dzierżawy, musisz mieć jedną z następujących ról:

  • Administrator globalny
  • Administrator zabezpieczeń
  • Czytelnik zabezpieczeń
  • Czytelnik globalny
  • Czytelnik raportów

Raport aktywności związanej z logowaniem jest dostępny we wszystkich wersjach usługi Azure AD. Jeśli masz licencję usługi Azure Active Directory P1 lub P2, możesz uzyskać dostęp do raportu aktywności logowania za pośrednictwem witryny Microsoft interfejs Graph API. Aby uaktualnić swoją wersję usługi Azure Active Directory, zobacz Wprowadzenie do usługi Azure Active Directory w wersji Premium. Wyświetlenie danych w programie Graph potrwa kilka dni po uaktualnieniu do licencji Premium bez działań związanych z danymi przed uaktualnieniem.

Aby uzyskać dostęp do dziennika logowania Azure AD:

  1. Zaloguj się do Azure Portal przy użyciu odpowiedniej roli o najniższych uprawnieniach.

  2. Przejdź dodziennika logowaniausługi Azure Active Directory>.

    Zrzut ekranu przedstawiający menu boczne Monitorowanie z wyróżnionymi dziennikami logowania.

Możesz również uzyskać dostęp do dzienników logowania z następujących obszarów Azure AD:

  • Użytkownicy
  • Grupy
  • Aplikacje dla przedsiębiorstw

Wyświetlanie dziennika logów logowania

Aby efektywniej wyświetlić dzienniki logowania, poświęć chwilę na dostosowanie widoku do własnych potrzeb. Możesz określić, które kolumny mają zawierać i filtrować dane, aby zawęzić elementy.

Dostosowywanie układu

Dziennik logowania ma widok domyślny, ale widok można dostosować przy użyciu ponad 30 opcji kolumn.

  1. Wybierz pozycję Kolumny z menu w górnej części dziennika.
  2. Wybierz kolumny, które chcesz wyświetlić, i wybierz przycisk Zapisz w dolnej części okna.

Zrzut ekranu przedstawiający stronę dzienników logowania z wyróżnioną opcją Kolumny.

Filtrowanie wyników

Filtrowanie dziennika logowań jest przydatnym sposobem szybkiego znajdowania dzienników pasujących do określonego scenariusza. Można na przykład filtrować listę, aby wyświetlić tylko logowania, które wystąpiły w określonej lokalizacji geograficznej, z określonego systemu operacyjnego lub z określonego typu poświadczeń.

Niektóre opcje filtru wyświetlają monit o wybranie większej liczby opcji. Postępuj zgodnie z monitami, aby wybrać odpowiedni filtr. Można dodać wiele filtrów.

Wybierz opcję Dodaj filtry w górnej części tabeli, aby rozpocząć pracę.

Zrzut ekranu przedstawiający stronę dzienników logowania z wyróżnioną opcją Dodaj filtry.

Istnieje kilka opcji filtrowania do wyboru. Poniżej przedstawiono niektóre istotne opcje i szczegóły.

  • Użytkownika:Główna nazwa użytkownika (UPN) danego użytkownika.
  • Stan: Opcje to Powodzenie, Niepowodzenie i Przerwane.
  • Zasobów: Nazwa usługi używanej do logowania.
  • Dostęp warunkowy: Stan zasad dostępu warunkowego. Dostępne opcje:
    • Nie zastosowano: Podczas logowania nie zastosowano żadnych zasad do użytkownika i aplikacji.
    • Sukces: Co najmniej jedna zasada urzędu certyfikacji zastosowana do użytkownika i aplikacji (ale niekoniecznie innych warunków) podczas logowania.
    • Awarii: Logowanie spełnia warunek użytkownika i aplikacji co najmniej jednej zasady urzędu certyfikacji i kontrolek udzielania nie są spełnione lub ustawione, aby zablokować dostęp.
  • Adresy IP: Nie ma ostatecznego połączenia między adresem IP i miejscem, w którym komputer z tym adresem znajduje się fizycznie. Dostawcy urządzeń przenośnych i sieci VPN wystawiają adresy IP z pul centralnych, które są często dalekie od rzeczywistego użycia urządzenia klienckiego. Obecnie konwertowanie adresu IP na lokalizację fizyczną odbywa się na zasadzie największej staranności w oparciu o ślady, dane rejestru, wyszukiwanie wsteczne i inne informacje.

Poniższa tabela zawiera opcje i opisy opcji filtru aplikacji klienckiej .

Uwaga

Ze względu na zobowiązania dotyczące prywatności Azure AD nie wypełnia tego pola do dzierżawy macierzystej w przypadku scenariusza obejmującego wiele dzierżaw.

Nazwa Nowoczesne uwierzytelnianie Opis
Uwierzytelniony protokół SMTP Używane przez klienta POP i IMAP do wysyłania wiadomości e-mail.
Automatycznego wykrywania Używane przez klientów programu Outlook i programu EAS do znajdowania skrzynek pocztowych i nawiązywania z nimi połączenia w Exchange Online.
Exchange ActiveSync Ten filtr pokazuje wszystkie próby logowania, w których podjęto próbę protokołu EAS.
Przeglądarka Niebieski znacznik wyboru. Pokazuje wszystkie próby logowania użytkowników przy użyciu przeglądarek internetowych
Exchange ActiveSync Pokazuje wszystkie próby logowania użytkowników z aplikacjami klienckimi używającymi Exchange ActiveSync w celu nawiązania połączenia z Exchange Online
Exchange Online programu PowerShell Służy do nawiązywania połączenia z Exchange Online za pomocą zdalnego programu PowerShell. Jeśli zablokujesz uwierzytelnianie podstawowe dla programu Exchange Online PowerShell, musisz użyć modułu Exchange Online PowerShell, aby nawiązać połączenie. Aby uzyskać instrukcje, zobacz Nawiązywanie połączenia z programem Exchange Online PowerShell przy użyciu uwierzytelniania wieloskładnikowego.
Exchange Web Services Interfejs programowania używany przez program Outlook, Outlook dla komputerów Mac i aplikacje innych firm.
IMAP4 Starszy klient poczty korzystający z protokołu IMAP do pobierania wiadomości e-mail.
INTERFEJS MAPI za pośrednictwem protokołu HTTP Używany przez program Outlook 2010 lub nowszy.
Aplikacje mobilne i klienci klasyczni Niebieski znacznik wyboru. Przedstawia wszystkie próby logowania użytkowników korzystających z aplikacji mobilnych i klientów klasycznych.
Książka adresowa trybu offline Kopia kolekcji list adresowych, które są pobierane i używane przez program Outlook.
Outlook Anywhere (RPC over HTTP) Używane przez Outlook 2016 i starsze.
Usługa Outlook Używane przez aplikację Poczta i Kalendarz dla Windows 10.
POP3 Starszy klient poczty korzystający z programu POP3 do pobierania wiadomości e-mail.
Reporting Web Services Służy do pobierania danych raportu w usłudze Exchange Online.
Inni klienci Pokazuje wszystkie próby logowania od użytkowników, których aplikacja kliencka nie jest dołączona ani nieznana.

Analizowanie dzienników logowania

Teraz, gdy tabela dzienników logowania jest odpowiednio sformatowana, możesz efektywniej analizować dane. W tym miejscu opisano niektóre typowe scenariusze, ale nie są to jedyne sposoby analizowania danych logowania. Dalsze analizy i przechowywanie danych logowania można wykonać, eksportując dzienniki do innych narzędzi.

Kody błędów logowania

Jeśli logowanie nie powiodło się, możesz uzyskać więcej informacji o przyczynie w sekcji Informacje podstawowe powiązanego elementu dziennika. Kod błędu i skojarzona przyczyna niepowodzenia są wyświetlane w szczegółach. Ze względu na złożoność niektórych środowisk usługi Azure AD nie możemy udokumentować każdego możliwego kodu błędu i rozwiązania. Niektóre błędy mogą wymagać przesłania wniosku o pomoc techniczną w celu rozwiązania problemu.

Zrzut ekranu przedstawiający kod błędu logowania.

Aby uzyskać listę kodów błędów związanych z uwierzytelnianiem i autoryzacją usługi Azure AD, zobacz artykuł Kody błędów uwierzytelniania i autoryzacji usługi Azure AD . W niektórych przypadkach narzędzie wyszukiwania błędów logowania może zapewnić kroki korygowania. Wprowadź kod błędu podany w szczegółach logowania do narzędzia i wybierz przycisk Prześlij .

Zrzut ekranu przedstawiający narzędzie wyszukiwania kodu błędu.

Szczegóły uwierzytelniania

Karta Szczegóły uwierzytelniania w szczegółach dziennika logowania zawiera następujące informacje dotyczące każdej próby uwierzytelnienia:

  • Lista zastosowanych zasad uwierzytelniania, takich jak dostęp warunkowy lub ustawienia domyślne zabezpieczeń.
  • Zastosowano listę zasad okresu istnienia sesji, takich jak częstotliwość logowania lub Zapamiętaj uwierzytelnianie wieloskładnikowe.
  • Sekwencja metod uwierzytelniania używanych do logowania.
  • Jeśli próba uwierzytelniania zakończyła się pomyślnie, i przyczyną przyczyny.

Te informacje umożliwiają rozwiązywanie problemów z każdym krokiem logowania użytkownika. Użyj tych szczegółów do śledzenia:

  • Liczba logów chronionych przez uwierzytelnianie wieloskładnikowe.
  • Przyczyna monitu uwierzytelniania na podstawie zasad okresu istnienia sesji.
  • Użycie i współczynniki powodzenia dla każdej metody uwierzytelniania.
  • Użycie metod uwierzytelniania bez hasła, takich jak logowanie na telefon bez hasła, FIDO2 i Windows Hello dla firm.
  • Jak często wymagania dotyczące uwierzytelniania są spełnione przez oświadczenia tokenu, takie jak gdy użytkownicy nie są interaktywnie monitowani o wprowadzenie hasła lub wprowadzenie protokołu SMS OTP.

Podczas przeglądania dziennika logowania wybierz zdarzenie logowania, a następnie wybierz kartę Szczegóły uwierzytelniania .

Zrzut ekranu przedstawiający kartę Szczegóły uwierzytelniania

Podczas analizowania szczegółów uwierzytelniania zanotuj następujące szczegóły:

  • Kod weryfikacyjny OATH jest rejestrowany jako metoda uwierzytelniania zarówno dla sprzętu OATH, jak i tokenów oprogramowania (takich jak aplikacja Microsoft Authenticator).
  • Karta Szczegóły uwierzytelniania może początkowo pokazywać niekompletne lub niedokładne dane, dopóki informacje dziennika nie zostaną w pełni zagregowane. Znane przykłady obejmują:
    • Oświadczenie w komunikacie tokenu jest niepoprawnie wyświetlane po początkowym zarejestrowaniu zdarzeń logowania.
    • Wiersz uwierzytelniania podstawowego nie jest początkowo rejestrowany.

Dane logowania używane przez inne usługi

Dane logowania są używane przez kilka usług na platformie Azure do monitorowania ryzykownych logów i zapewniania wglądu w użycie aplikacji.

Ryzykowne dane logowania w usłudze Azure AD Identity Protection

Wizualizacja danych dziennika logowania związana z ryzykownym logowaniem jest dostępna w omówieniu usługi Azure AD Identity Protection , która używa następujących danych:

  • Ryzykowni użytkownicy
  • Ryzykowne logowania użytkowników
  • Ryzykowne jednostki usługi
  • Ryzykowne logowania jednostki usługi

Aby uzyskać więcej informacji na temat narzędzi usługi Azure AD Identity Protection, zobacz Omówienie usługi Azure AD Identity Protection.

Zrzut ekranu przedstawiający ryzykownych użytkowników w usłudze Identity Protection.

Działanie logowania aplikacji i uwierzytelniania usługi Azure AD

Aby wyświetlić dane logowania specyficzne dla aplikacji, przejdź do usługi Azure AD i wybierz pozycję Szczegółowe informacje o użyciu & w sekcji Monitorowanie. Te raporty zapewniają bliższe spojrzenie na logowania dla działań aplikacji usługi Azure AD i działania aplikacji usług AD FS. Aby uzyskać więcej informacji, zobacz Szczegółowe informacje o użyciu & usługi Azure AD.

Zrzut ekranu przedstawiający raport aktywności aplikacji usługi Azure AD.

Szczegółowe informacje o użyciu & usługi Azure AD udostępnia również raport aktywności Metody uwierzytelniania , który dzieli uwierzytelnianie używane przez metodę. Użyj tego raportu, aby zobaczyć, ilu użytkowników jest skonfigurowanych przy użyciu uwierzytelniania wieloskładnikowego lub uwierzytelniania bez hasła.

Zrzut ekranu przedstawiający raport Metody uwierzytelniania.

Dzienniki aktywności platformy Microsoft 365

Dzienniki aktywności platformy Microsoft 365 można wyświetlić w centrum administracyjnym platformy Microsoft 365. Działania platformy Microsoft 365 i dzienniki aktywności usługi Azure AD współdzielą znaczną liczbę zasobów katalogu. Tylko centrum administracyjne platformy Microsoft 365 zapewnia pełny widok dzienników aktywności platformy Microsoft 365.

Dostęp do dzienników aktywności platformy Microsoft 365 można uzyskać programowo przy użyciu interfejsów API zarządzania usługi Office 365.

Następne kroki