Журналы входа в Azure Active Directory

Просмотр ошибок и шаблонов входа позволяет получить ценные сведения о том, как пользователи получают доступ к приложениям и службам. Журналы входа, предоставляемые Azure Active Directory (Azure AD), — это эффективный тип журнала действий, который ИТ-администраторы могут анализировать. В этой статье объясняется, как получить доступ к журналам входа и использовать их.

Также доступны два других журнала действий, которые помогают отслеживать работоспособность клиента:

  • Аудит — сведения об изменениях, примененных к клиенту, например о пользователях и управлении группами, а также об обновлениях, примененных к ресурсам клиента.
  • Подготовка — действия, выполняемые службой подготовки, например создание группы в ServiceNow или импорт пользователя из Workday.

Что можно сделать с журналами входа?

Вы можете использовать журнал входа, чтобы найти ответы на следующие вопросы.

  • Что такое шаблон входа пользователя?

  • Сколько пользователей входили в течение недели?

  • Каков статус их входа?

Как получить доступ к журналам входа?

Вы всегда можете получить доступ к собственному журналу входа по адресу https://mysignins.microsoft.com.

Чтобы получить доступ к журналу входа для клиента, необходимо иметь одну из следующих ролей:

  • глобальный администратор
  • Администратор безопасности
  • Читатель сведений о безопасности
  • Глобальный читатель
  • Читатель отчетов

Отчет о действиях входа доступен во всех выпусках Azure AD. Если у вас есть лицензия Azure Active Directory P1 или P2, вы можете получить доступ к отчету о действиях входа через API Graph Майкрософт. Чтобы обновить выпуск Azure Active Directory, ознакомьтесь со статьей Регистрация для работы с выпусками Azure Active Directory Premium. После обновления до лицензии уровня Premium потребуется несколько дней, пока данные начнут появляться в Graph, если до обновления не выполнялись операции с данными.

Чтобы получить доступ к журналу входа Azure AD, выполните следующие действия.

  1. Войдите в портал Azure, используя соответствующую роль с минимальными привилегиями.

  2. Перейдитев журнал входа AzureActive Directory>.

    Снимок экрана: боковое меню

Вы также можете получить доступ к журналам входа из следующих областей Azure AD:

  • Пользователи
  • Группы
  • корпоративные приложения.

Просмотр журнала входа

Чтобы более эффективно просматривать журнал входа, потратьте несколько минут на настройку представления в соответствии со своими потребностями. Вы можете указать, какие столбцы следует включить, и отфильтровать данные, чтобы сузить их.

Настройка макета

В журнале входа есть представление по умолчанию, но вы можете настроить представление, используя более 30 параметров столбцов.

  1. Выберите Столбцы в меню в верхней части журнала.
  2. Выберите столбцы, которые нужно просмотреть, и нажмите кнопку Сохранить в нижней части окна.

Снимок экрана: страница журналов входа с выделенным параметром Столбцы.

Фильтрация результатов

Фильтрация журнала входа — это полезный способ быстрого поиска журналов, соответствующих определенному сценарию. Например, можно отфильтровать список, чтобы просмотреть только входы, выполненные в определенном географическом расположении, из определенной операционной системы или из определенного типа учетных данных.

Для некоторых параметров фильтра предлагается выбрать дополнительные параметры. Следуйте инструкциям, чтобы выбрать нужный фильтр. Можно добавить несколько фильтров.

Выберите параметр Добавить фильтры в верхней части таблицы, чтобы приступить к работе.

Снимок экрана: страница журналов входа с выделенным параметром

Существует несколько вариантов фильтрации. Ниже приведены некоторые важные параметры и сведения.

  • Пользователя:Имя участника-пользователя (UPN) соответствующего пользователя.
  • Статус: Возможные варианты: Success, Failure и Interrupted.
  • Ресурсов: Имя службы, используемой для входа.
  • Условный доступ: Состояние политики условного доступа (ЦС). Доступные параметры описаны ниже.
    • Не применяется: Политика не применяется к пользователю и приложению во время входа.
    • Успех: Одна или несколько политик ЦС, применяемых к пользователю и приложению (но не обязательно к другим условиям) во время входа.
    • Сбоя: Вход удовлетворяет условию пользователя и приложения по крайней мере одной политики ЦС, а элементы управления предоставлением разрешений либо не удовлетворены, либо настроены на блокировку доступа.
  • IP-адреса: Между IP-адресом и физическим расположением компьютера с этим адресом нет окончательного соединения. Поставщики мобильных услуг и VPN выдают IP-адреса из центральных пулов, которые часто находятся далеко от того места, где фактически используется клиентское устройство. Сейчас преобразование IP-адреса в физическое расположение не гарантируется и осуществляется на основе трассировок, данных реестра, обратных просмотров и других сведений.

В следующей таблице приведены параметры и описания параметра фильтра клиентского приложения .

Примечание

Ввиду требований к обеспечению конфиденциальности Azure AD не заполняет это для домашнего клиента в случае сценария подключения между клиентами.

Имя Современная проверка подлинности Описание
Протокол SMTP с проверкой подлинности Используется клиентами POP и IMAP для отправки сообщений электронной почты.
Автообнаружение Используется клиентами Outlook и EAS для поиска почтовых ящиков в Exchange Online и подключения к ним.
Exchange ActiveSync Этот фильтр показывает все попытки входа в систему, при которых была предпринята попытка использования протокола EAS.
Браузер Синяя галочка. Показывает все попытки входа пользователей в систему с помощью веб-браузеров.
Exchange ActiveSync Показывает все попытки пользователей с клиентскими приложениями войти в систему с помощью Exchange ActiveSync для подключения к Exchange Online.
Exchange Online PowerShell Используется для подключения к Exchange Online с помощью удаленной оболочки PowerShell. Если вы заблокируете обычную аутентификацию для PowerShell в Exchange Online, для подключения понадобится использовать модуль PowerShell Exchange Online. Инструкции см. в статье Подключение к PowerShell Exchange Online с помощью многофакторной проверки подлинности.
Веб-службы Exchange Программный интерфейс, используемый Outlook, Outlook для Mac и сторонними приложениями.
IMAP4 Устаревший почтовый клиент, использующий IMAP для получения сообщений электронной почты.
MAPI поверх HTTP Используется Outlook 2010 и более поздних версий.
Мобильные приложения и настольные клиенты Синяя галочка. Показывает все попытки пользователей войти в систему с помощью мобильных приложений и настольных клиентов.
Автономная адресная книга Копия коллекций списков адресов, которые скачиваются и используются в Outlook.
Outlook Anywhere (RPC поверх HTTP) Используется Outlook 2016 и более поздних версий.
Служба Outlook Используется приложениями "Почта" и "Календарь" для Windows 10.
POP3 Устаревший почтовый клиент, использующий POP3 для получения сообщений электронной почты.
Веб-службы отчетов Используются для получения данных отчетов в Exchange Online.
Другие клиенты Показывает все попытки входа от пользователей, где клиентское приложение не включено или неизвестно.

Анализ журналов входа

Теперь, когда таблица журналов входа имеет соответствующий формат, вы можете более эффективно анализировать данные. Здесь описаны некоторые распространенные сценарии, но они не являются единственными способами анализа данных входа. Дальнейший анализ и хранение данных для входа можно выполнить путем экспорта журналов в другие средства.

Коды ошибок входа

Если вход не был успешным, вы можете просмотреть причину запрета в разделе основной информации для соответствующего элемента журнала. Код ошибки и связанная с ним причина сбоя отображаются в подробных сведениях. Из-за сложности некоторых Azure AD сред мы не можем задокументировать все возможные коды ошибок и их устранение. Для устранения некоторых ошибок может потребоваться отправить запрос в службу поддержки .

Снимок экрана: код ошибки входа.

Список кодов ошибок, связанных с проверкой подлинности и авторизацией Azure AD, см. в статье коды ошибок проверки подлинности и авторизации Azure AD. В некоторых случаях средство поиска ошибок входа может предоставлять действия по исправлению. Введите в средство код ошибки , указанный в сведениях журнала входа, и нажмите кнопку Отправить .

Снимок экрана: средство поиска кода ошибки.

Подробные сведения о проверке подлинности

Вкладка Сведения о проверке подлинности в журнале входа содержит следующие сведения для каждой попытки проверки подлинности.

  • Список применяемых политик проверки подлинности, например условный доступ или параметры безопасности по умолчанию.
  • Список применяемых политик времени существования сеанса, таких как частота входа или запомнить MFA.
  • Последовательность методов проверки подлинности, используемых для входа.
  • Если попытка проверки подлинности была успешной и причина.

Эти сведения позволяют устранять неполадки на каждом шаге при входе пользователя. Используйте эти сведения для отслеживания:

  • Объем входов, защищенных MFA.
  • Причина запроса проверки подлинности на основе политик времени существования сеанса.
  • Показатели использования и успешных попыток для каждого метода проверки подлинности.
  • Использование методов проверки подлинности без пароля, таких как вход по телефону без пароля, FIDO2 и Windows Hello для бизнеса.
  • Как часто требования к проверке подлинности выполняются утверждениями маркеров, например, когда пользователям не предлагается ввести пароль или ввести SMS OTP в интерактивном режиме.

При просмотре журнала входа выберите событие входа, а затем перейдите на вкладку Сведения о проверке подлинности .

Снимок экрана: вкладка

При анализе сведений о проверке подлинности обратите внимание на следующие сведения:

  • Код проверки OATH регистрируется как метод проверки подлинности для аппаратных и программных маркеров OATH (например, приложение Microsoft Authenticator).
  • На вкладке Сведения о проверке подлинности могут отображаться неполные или неточные данные, пока не будут полностью агрегированы данные журнала. Ниже приведены известные примеры.
    • Сообщение удовлетворено утверждением в маркере может отображаться ошибочно при первоначальной регистрации событий входа.
    • Первичная строка проверки подлинности изначально не регистрируется.
  • Если вы не уверены в подробностях в журналах, соберите идентификатор запроса и идентификатор корреляции , чтобы использовать их для дальнейшего анализа или устранения неполадок.

Данные входа, используемые другими службами

Данные входа используются несколькими службами в Azure для отслеживания рискованных входов и предоставления аналитических сведений об использовании приложений.

Данные о рискованных входах в Azure AD Защиты идентификации

Визуализация данных журнала входа, относящаяся к рискованным входам, доступна в обзоре защиты идентификации Azure AD, где используются следующие данные:

  • Пользователи, выполняющие рискованные действия
  • Рискованные входы пользователей
  • Субъекты-службы с риском
  • Рискованные входы в субъект-службу

Дополнительные сведения о средствах защиты идентификации Azure AD см. в обзоре Azure AD Identity Protection.

Снимок экрана: пользователи, совершая рискованные действия в службе

Azure AD действий входа в приложение и проверку подлинности

Чтобы просмотреть данные о входе для конкретного приложения, перейдите к Azure AD и выберите Аналитика использования & в разделе Мониторинг. В этих отчетах подробно рассматриваются операции входа для Azure AD активности приложений и действий приложений AD FS. Дополнительные сведения см. в разделе Azure AD Аналитика использования&.

Снимок экрана: отчет о действиях приложения Azure AD.

Azure AD Аналитика использования & также предоставляет отчет о действиях методов проверки подлинности, который разбивает проверку подлинности по используемому методу. Используйте этот отчет, чтобы узнать, сколько пользователей настроены с многофакторной проверкой подлинности или проверкой подлинности без пароля.

Снимок экрана: отчет о методах проверки подлинности.

Журналы действий Microsoft 365

Журналы действий Microsoft 365 можно просматривать в центре администрирования Microsoft 365. Журналы действий и Azure AD действий Microsoft 365 используют значительное количество ресурсов каталога. Полностью просмотреть журналы действий Microsoft 365 можно только в центре администрирования Microsoft 365.

Доступ к журналам действий Microsoft 365 можно получить программным способом с помощью API управления Office 365.

Дальнейшие действия