Dowiedz się więcej o szczegółach aktywności dziennika logowania

Firma Microsoft Entra rejestruje wszystkie logowania do dzierżawy platformy Azure na potrzeby zgodności. Jako administrator IT musisz wiedzieć, jakie wartości w dziennikach logowania oznaczają, aby można było poprawnie interpretować wartości dziennika.

• Dowiedz się więcej o dziennikach logowania.
• Dostosowywanie i filtrowanie dzienników logowania

W tym artykule wyjaśniono wartości na karcie Informacje podstawowe dziennika logowania.

Podstawowe informacje

Karta Informacje podstawowe zawiera większość szczegółów, które są również wyświetlane w tabeli. Diagnostykę logowania można uruchomić na karcie Informacje podstawowe. Aby uzyskać więcej informacji, zobacz Jak używać diagnostyki logowania.

Kody błędów logowania

Jeśli logowanie nie powiodło się, możesz uzyskać więcej informacji na temat przyczyny na karcie Podstawowe informacje powiązanego elementu dziennika. Kod błędu i skojarzona przyczyna błędu są wyświetlane w szczegółach. Aby uzyskać więcej informacji, zobacz Jak rozwiązywać problemy z błędami logowania.

Lokalizacja i urządzenie

Na kartach Lokalizacja i Informacje o urządzeniu są wyświetlane ogólne informacje o lokalizacji i adresie IP użytkownika. Karta Informacje o urządzeniu zawiera szczegółowe informacje dotyczące przeglądarki i systemu operacyjnego używanego do logowania. Ta karta zawiera również szczegółowe informacje o tym, czy urządzenie jest zgodne, zarządzane lub dołączone hybrydowe rozwiązanie Microsoft Entra.

Szczegóły uwierzytelniania

Karta Szczegóły uwierzytelniania w szczegółach dziennika logowania zawiera następujące informacje dotyczące każdej próby uwierzytelnienia:

• Lista zastosowanych zasad uwierzytelniania, takich jak dostęp warunkowy lub ustawienia domyślne zabezpieczeń.
• Sekwencja metod uwierzytelniania używanych do logowania.
• Jeśli próba uwierzytelnienia zakończyła się powodzeniem i przyczyną.

Te informacje umożliwiają rozwiązywanie problemów z każdym krokiem logowania użytkownika. Użyj tych szczegółów do śledzenia:

• Liczba logów chronionych przez uwierzytelnianie wieloskładnikowe.
• Użycie i współczynniki powodzenia dla każdej metody uwierzytelniania.
• Użycie metod uwierzytelniania bez hasła, takich jak logowanie bez hasła Telefon, FIDO2 i Windows Hello dla firm.
• Jak często wymagania dotyczące uwierzytelniania są spełnione przez oświadczenia tokenu, takie jak wtedy, gdy użytkownicy nie są interaktywnie monitowani o wprowadzenie hasła lub wprowadzenie protokołu SMS OTP.

Podczas analizowania szczegółów uwierzytelniania zanotuj następujące szczegóły:

• Kod weryfikacyjny OATH jest rejestrowany jako metoda uwierzytelniania zarówno dla sprzętu OATH, jak i tokenów oprogramowania (takich jak aplikacja Microsoft Authenticator).
• Karta Szczegóły uwierzytelniania może początkowo pokazywać niekompletne lub niedokładne dane, dopóki informacje dziennika nie zostaną w pełni zagregowane. Znane przykłady obejmują:
  • Oświadczenie w komunikacie tokenu jest niepoprawnie wyświetlane po początkowym zarejestrowaniu zdarzeń logowania.
  • Wiersz uwierzytelniania podstawowego nie jest początkowo rejestrowany.
• Jeśli nie masz pewności co do szczegółów w dziennikach, zbierz identyfikator żądania i identyfikator korelacji, aby użyć ich do dalszej analizy lub rozwiązywania problemów.
• Jeśli zastosowano zasady dostępu warunkowego na potrzeby uwierzytelniania lub okresu istnienia sesji, są one wymienione powyżej prób logowania. Jeśli nie widzisz żadnej z tych funkcji, te zasady nie są obecnie stosowane. Aby uzyskać więcej informacji, zobacz Kontrole sesji dostępu warunkowego.

Unikatowe identyfikatory

W usłudze Microsoft Entra ID dostęp do zasobu ma trzy istotne składniki:

• KtoTo: Tożsamość (użytkownik) wykonuje logowanie.
• Instrukcje: klient (aplikacja) używany do uzyskiwania dostępu.
• Co: element docelowy (zasób) uzyskiwany przez tożsamość.

Każdy składnik ma skojarzony unikatowy identyfikator (ID).:

• Wymaganie dotyczące uwierzytelniania: pokazuje najwyższy poziom uwierzytelniania wymagany przez wszystkie kroki logowania, aby logowanie zakończyło się pomyślnie.

  • Interfejs API programu Graph obsługuje ($filtereqi startsWith tylko operatory).

• Ocena dostępu warunkowego: pokazuje, czy ocena dostępu ciągłego (CAE) została zastosowana do zdarzenia logowania.

  • Istnieje wiele żądań logowania dla każdego uwierzytelniania, które mogą być wyświetlane na interaktywnych lub nieinterakcyjnych kartach.
  • Funkcja CAE jest wyświetlana tylko jako prawda dla jednego z żądań i może być wyświetlana na karcie interakcyjnej lub na karcie nieinterakcyjnej.
  • Aby uzyskać więcej informacji, zobacz Monitorowanie i rozwiązywanie problemów z logowaniem przy użyciu ciągłej oceny dostępu w usłudze Microsoft Entra ID.

• Identyfikator korelacji: identyfikator korelacji grupuje logowania z tej samej sesji logowania. Wartość jest oparta na parametrach przekazywanych przez klienta, więc może microsoft Entra ID nie może zagwarantować jego dokładności.

• Typ dostępu między dzierżawami: opisuje typ dostępu między dzierżawami używany przez aktora do uzyskiwania dostępu do zasobu. Dopuszczalne wartości:

  • none — Zdarzenie logowania, które nie przekroczyło granic dzierżawy firmy Microsoft Entra.
  • b2bCollaboration— Logowanie między dzierżawami wykonywane przez użytkownika-gościa przy użyciu funkcji współpracy B2B.
  • b2bDirectConnect — Logowanie między dzierżawami wykonywane przez B2B.
  • microsoftSupport— Logowanie między dzierżawami wykonywane przez agenta pomocy technicznej firmy Microsoft w dzierżawie klienta firmy Microsoft.
  • serviceProvider — Logowanie między dzierżawami wykonywane przez dostawcę usług w chmurze (CSP) lub podobnego administratora w imieniu klienta tego dostawcy usług w chmurze w dzierżawie
  • unknownFutureValue — Wartość sentinel używana przez program MS Graph do obsługi zmian na listach wyliczenia przez klientów. Aby uzyskać więcej informacji, zobacz Najlepsze rozwiązania dotyczące pracy z programem Microsoft Graph.
  • Jeśli logowanie nie zostało przekazane granice dzierżawy, wartość to none.

• Identyfikator żądania: identyfikator odpowiadający wystawionemu tokenowi. Jeśli szukasz logów przy użyciu określonego tokenu, najpierw musisz wyodrębnić identyfikator żądania z tokenu.

• Logowanie: ciąg, który użytkownik udostępnia identyfikatorowi entra firmy Microsoft, aby zidentyfikować się podczas próby zalogowania się. Zazwyczaj jest to główna nazwa użytkownika (UPN), ale może być innym identyfikatorem, takim jak numer telefonu.

• Typy zdarzeń logowania: wskazuje kategorię zdarzenia logowania reprezentuje.

  • Kategoria logowania użytkownika może być interactiveUser lub nonInteractiveUser odpowiada wartości właściwości isInteractive w zasobie logowania.
  • Kategoria tożsamości zarządzanej to managedIdentity.
  • Kategoria jednostki usługi to servicePrincipal.
  • Witryna Azure Portal nie wyświetla tej wartości, ale zdarzenie logowania znajduje się na karcie zgodnej z typem zdarzenia logowania. Możliwe wartości to:
    • interactiveUser
    • nonInteractiveUser
    • servicePrincipal
    • managedIdentity
    • unknownFutureValue
  • Interfejs API programu Microsoft Graph obsługuje: $filter (eq tylko operator).

• Dzierżawa: dziennik logowania śledzi dwa identyfikatory dzierżawy:

  • Dzierżawa domowa — dzierżawa , która jest właścicielem tożsamości użytkownika. Identyfikator Entra firmy Microsoft śledzi identyfikator i nazwę.
  • Dzierżawa zasobów — dzierżawa , która jest właścicielem zasobu (docelowego).
  • Te identyfikatory są istotne w scenariuszach obejmujących wiele dzierżaw.
  • Aby na przykład dowiedzieć się, jak użytkownicy spoza dzierżawy uzyskują dostęp do zasobów, wybierz wszystkie wpisy, w których dzierżawa domowa nie jest zgodna z dzierżawą zasobów.

• Typ użytkownika: typ użytkownika.

  • Przykłady obejmują member, guestlub external.

Zagadnienia dotyczące dzienników logowania

Poniższe scenariusze są ważne, aby wziąć pod uwagę podczas przeglądania dzienników logowania.

• Adres IP i lokalizacja: nie ma ostatecznego połączenia między adresem IP i miejscem, w którym komputer z tym adresem jest fizycznie zlokalizowany. Dostawcy urządzeń przenośnych i sieci VPN wystawiają adresy IP z pul centralnych, które są często dalekie od tego, gdzie urządzenie klienckie jest rzeczywiście używane. Obecnie konwertowanie adresu IP na lokalizację fizyczną odbywa się na zasadzie największej staranności w oparciu o ślady, dane rejestru, wyszukiwanie wsteczne i inne informacje.

• Dostęp warunkowy:

  • Nie zastosowano: żadne zasady nie są stosowane do użytkownika i aplikacji podczas logowania.
  • Powodzenie: co najmniej jedna zasada dostępu warunkowego zastosowana do lub została obliczona dla użytkownika i aplikacji (ale niekoniecznie innych warunków) podczas logowania. Mimo że zasady dostępu warunkowego mogą nie mieć zastosowania, jeśli zostały ocenione, stan dostępu warunkowego wskazuje powodzenie.
  • Niepowodzenie: Logowanie spełnia warunek użytkownika i aplikacji co najmniej jednego zasad dostępu warunkowego i kontrole udzielania nie są spełnione lub ustawione w celu zablokowania dostępu.

• Nazwa dzierżawy głównej: ze względu na zobowiązania dotyczące prywatności identyfikator Entra firmy Microsoft nie wypełnia pola nazwy dzierżawy głównej podczas scenariuszy między dzierżawami.

• Uwierzytelnianie wieloskładnikowe: gdy użytkownik loguje się przy użyciu uwierzytelniania wieloskładnikowego, w rzeczywistości odbywa się kilka oddzielnych zdarzeń uwierzytelniania wieloskładnikowego. Jeśli na przykład użytkownik wprowadzi nieprawidłowy kod weryfikacji lub nie odpowie na czas, wysyłane są dodatkowe zdarzenia uwierzytelniania wieloskładnikowego, aby odzwierciedlić najnowszy stan próby logowania. Te zdarzenia logowania są wyświetlane jako jeden element wiersza w dziennikach logowania firmy Microsoft Entra. To samo zdarzenie logowania w usłudze Azure Monitor jest jednak wyświetlane jako wiele elementów wiersza. Wszystkie te zdarzenia mają ten sam correlationIdelement .

Następne kroki

• Dowiedz się więcej o eksportowaniu dzienników logowania w usłudze Microsoft Entra
• Eksplorowanie diagnostyki logowania w usłudze Microsoft Entra ID