Поделиться через


Сведения о действиях журнала входа

Microsoft Entra регистрирует все входы в клиент Azure в целях соответствия требованиям. ИТ-администратор должен знать, на что указывают значения в журналах входа, чтобы правильно интерпретировать значения журнала.

В этой статье описываются значения на вкладке "Основные сведения" журнала входа.

Вкладка "Основные сведения" содержит большую часть сведений, которые также отображаются в таблице. Вы можете запустить диагностику входа на вкладке "Основные сведения". Дополнительные сведения см. в разделе "Использование диагностики входа".

Коды ошибок входа

Если сбой входа, вы можете получить дополнительные сведения о причине на вкладке "Основные сведения" соответствующего элемента журнала. Код ошибки и связанная причина сбоя отображаются в подробных сведениях. Дополнительные сведения см. в разделе "Устранение ошибок входа".

Screenshot of the sign-in error code on the basics tab.

Уникальные идентификаторы

В идентификаторе Microsoft Entra доступ к ресурсам имеет три важных компонента:

  • Кто: Удостоверение (пользователь) выполняет вход.
  • Практическое руководство. Клиент (приложение), используемый для доступа.
  • Что: целевой объект (ресурс), к которым обращается удостоверение.

Каждый компонент имеет связанный уникальный идентификатор (ID).:

  • Требование проверки подлинности. Показывает самый высокий уровень проверки подлинности, необходимый для успешного входа.

    • API Graph поддерживает ($filtereqи startsWith только операторы).
  • Оценка условного доступа. Показывает, применена ли оценка непрерывного доступа (CAE) к событию входа.

  • Идентификатор корреляции. Группы идентификаторов корреляции группирует входы из одного сеанса входа. Значение основано на параметрах, передаваемых клиентом, поэтому может гарантировать точность идентификатора Microsoft Entra.

  • Тип доступа между клиентами. Описывает тип доступа между клиентами, используемый субъектом для доступа к ресурсу. Возможны следующие значения:

    • none — Событие входа, которое не пересекает границы клиента Microsoft Entra.
    • b2bCollaboration — вход между арендаторами, выполняемый гостевым пользователем с помощью службы "Совместная работа B2B".
    • b2bDirectConnect — вход между арендаторами, выполняемый службой B2B.
    • microsoftSupport — вход между арендаторами, выполняемый агентом службы поддержки Майкрософт в арендаторе клиента Майкрософт.
    • serviceProvider — вход между арендаторами, выполняемый поставщиком облачных служб (CSP) или аналогичным администратором от имени клиента CSP в арендаторе.
    • unknownFutureValue — контрольное значение, используемое MS Graph для помощи клиентам в обработке изменений в списках перечислений. Дополнительные сведения см. в статье Рекомендации по работе с Microsoft Graph.
    • Если вход не прошел границы клиента, значение равно none.
  • Идентификатор запроса: идентификатор, соответствующий выданному токену. Если вы ищете вход с определенным маркером, сначала необходимо извлечь идентификатор запроса из маркера.

  • Вход. Строка, которая предоставляет пользователю идентификатор Microsoft Entra, чтобы идентифицировать себя при попытке входа. Обычно это имя участника-пользователя (UPN), но может быть другим идентификатором, таким как номер телефона.

  • Типы событий входа: указывает категорию события входа.

    • Категория входа пользователя может быть interactiveUser или nonInteractiveUser соответствует значению свойства isInteractive в ресурсе входа.
    • Категория управляемых удостоверений — managedIdentityэто .
    • Категория субъекта-службы — servicePrincipal.
    • Портал Azure не показывает это значение, однако событие входа в систему размещается на вкладке, соответствующей типу события входа в систему. Возможные значения:
      • interactiveUser
      • nonInteractiveUser
      • servicePrincipal
      • managedIdentity
      • unknownFutureValue
    • API Microsoft Graph поддерживает: $filter (eq только оператор).
  • Клиент: журнал входа отслеживает два идентификатора клиента:

    • главный арендатор — арендатор, которому принадлежит удостоверение пользователя. Идентификатор Microsoft Entra отслеживает идентификатор и имя.
    • арендатор ресурсов — арендатор, которому принадлежит ресурс (целевой объект).
    • Эти идентификаторы относятся к сценариям работы с несколькими арендаторами.
    • Например, чтобы узнать, как пользователи за пределами вашего арендатора обращаются к ресурсам, выберите все записи, в которых главный арендатор не совпадает с арендатором ресурсов.
  • Тип пользователя: тип пользователя.

    • Примеры: member, guest или external.

Рекомендации по журналам входа

Следующие сценарии важно учитывать при просмотре журналов входа.

  • IP-адрес и расположение: нет окончательного подключения между IP-адресом и местом, где компьютер с этим адресом находится физически. Поставщики мобильных устройств и vpn выдают IP-адреса из центральных пулов, которые часто находятся далеко от того, где на самом деле используется клиентское устройство. Сейчас преобразование IP-адреса в физическое расположение не гарантируется и осуществляется на основе трассировок, данных реестра, обратных просмотров и других сведений.

  • Условный доступ:

    • Не применяется. Во время входа в систему к пользователю и приложению политики не применялись.
    • Успех. При входе в систему применяются или оцениваются один или несколько политик условного доступа для пользователя и приложения (но не обязательно других условий). Несмотря на то, что политика условного доступа может не применяться, если она была оценена, состояние условного доступа показывает успешность.
    • Сбой. При входе в систему удовлетворено условие пользователя и приложения по крайней мере одной политики условного доступа, а элементы управления предоставлением разрешения либо не удовлетворены, либо заданы для блокировки доступа.
  • Имя домашнего клиента: из-за обязательств по конфиденциальности идентификатор Microsoft Entra ID не заполняет поле имени домашнего клиента во время сценариев между клиентами.

  • Многофакторная проверка подлинности. При входе пользователя с помощью MFA происходит несколько отдельных событий MFA. Например, если пользователь вводит неправильный код проверки или не отвечает вовремя, дополнительные события MFA отправляются в соответствии с последним состоянием попытки входа. Эти события входа отображаются как один элемент строки в журналах входа Microsoft Entra. Однако это же событие входа в Azure Monitor отображается в виде нескольких элементов строки. Все эти события одинаковы correlationId.

Следующие шаги