Сведения о действиях журнала входа

Microsoft Entra регистрирует все входы в клиент Azure в целях соответствия требованиям. ИТ-администратор должен знать, на что указывают значения в журналах входа, чтобы правильно интерпретировать значения журнала.

• Сведения о журналах входа.
• Настройка и фильтрация журналов входа

В этой статье описываются значения на вкладке "Основные сведения" журнала входа.

Основные сведения

Вкладка "Основные сведения" содержит большую часть сведений, которые также отображаются в таблице. Вы можете запустить диагностику входа на вкладке "Основные сведения". Дополнительные сведения см. в разделе "Использование диагностики входа".

Коды ошибок входа

Если сбой входа, вы можете получить дополнительные сведения о причине на вкладке "Основные сведения" соответствующего элемента журнала. Код ошибки и связанная причина сбоя отображаются в подробных сведениях. Дополнительные сведения см. в разделе "Устранение ошибок входа".

Расположение и устройство

На вкладках сведений о расположении и устройстве отображаются общие сведения о расположении и IP-адресе пользователя. Вкладка сведений об устройстве содержит сведения о браузере и операционной системе, используемой для входа. Эта вкладка также содержит сведения о том, соответствует ли устройство, управляется или присоединено к гибридному присоединению к Microsoft Entra.

Подробные сведения о проверке подлинности

Вкладка "Сведения о проверке подлинности" в журнале входа содержит следующие сведения для каждой попытки проверки подлинности:

• Список примененных политик проверки подлинности, таких как условный доступ или параметры безопасности по умолчанию.
• Последовательность методов проверки подлинности, используемых для входа.
• Если попытка проверки подлинности прошла успешно и причина.

Эти сведения позволяют устранять неполадки при каждом шаге входа пользователя. Используйте эти сведения для отслеживания:

• Объем входов, защищенных MFA.
• Показатели использования и успешности для каждого метода проверки подлинности.
• Использование методов проверки подлинности без пароля, таких как без пароля Телефон входа, FIDO2 и Windows Hello для бизнеса.
• Как часто требования к проверке подлинности удовлетворяются утверждениями маркеров, например, когда пользователям не предлагается ввести пароль или ввести SMS OTP.

При анализе сведений о проверке подлинности обратите внимание на следующие сведения:

• Код проверки OATH регистрируется как метод проверки подлинности для аппаратных и программных маркеров OATH (например, приложение Microsoft Authenticator).
• Вкладка сведений о проверке подлинности изначально может отображать неполные или неточные данные, пока данные журнала не будут полностью агрегированы. Известные примеры:
  • Сообщение удовлетворено утверждением в маркере может отображаться ошибочно при первоначальной регистрации событий входа.
  • Строка первичной проверки подлинности изначально не регистрируется.
• Если вы не уверены в деталях в журналах, соберите идентификатор запроса и идентификатор корреляции, чтобы использовать для дальнейшего анализа или устранения неполадок.
• Если применяются политики условного доступа для проверки подлинности или времени существования сеанса, они перечислены выше попыток входа. Если вы не видите ни одного из этих политик, эти политики в настоящее время не применяются. Дополнительные сведения см. в разделе "Элементы управления сеансами условного доступа".

Уникальные идентификаторы

В идентификаторе Microsoft Entra доступ к ресурсам имеет три важных компонента:

• Кто: Удостоверение (пользователь) выполняет вход.
• Практическое руководство. Клиент (приложение), используемый для доступа.
• Что: целевой объект (ресурс), к которым обращается удостоверение.

Каждый компонент имеет связанный уникальный идентификатор (ID).:

• Требование проверки подлинности. Показывает самый высокий уровень проверки подлинности, необходимый для успешного входа.

  • API Graph поддерживает ($filtereqи startsWith только операторы).

• Оценка условного доступа. Показывает, применена ли оценка непрерывного доступа (CAE) к событию входа.

  • Существует несколько запросов на вход для каждой проверки подлинности, которые могут отображаться на интерактивных или неинтерактивных вкладках.
  • CAE отображается только как true для одного из запросов, и он может отображаться на интерактивной вкладке или на неинтерактивной вкладке.
  • Дополнительные сведения см. в статье "Мониторинг и устранение неполадок входа с помощью оценки непрерывного доступа" в идентификаторе Microsoft Entra.

• Идентификатор корреляции. Группы идентификаторов корреляции группирует входы из одного сеанса входа. Значение основано на параметрах, передаваемых клиентом, поэтому может гарантировать точность идентификатора Microsoft Entra.

• Тип доступа между клиентами. Описывает тип доступа между клиентами, используемый субъектом для доступа к ресурсу. Возможны следующие значения:

  • none — Событие входа, которое не пересекает границы клиента Microsoft Entra.
  • b2bCollaboration — вход между арендаторами, выполняемый гостевым пользователем с помощью службы "Совместная работа B2B".
  • b2bDirectConnect — вход между арендаторами, выполняемый службой B2B.
  • microsoftSupport — вход между арендаторами, выполняемый агентом службы поддержки Майкрософт в арендаторе клиента Майкрософт.
  • serviceProvider — вход между арендаторами, выполняемый поставщиком облачных служб (CSP) или аналогичным администратором от имени клиента CSP в арендаторе.
  • unknownFutureValue — контрольное значение, используемое MS Graph для помощи клиентам в обработке изменений в списках перечислений. Дополнительные сведения см. в статье Рекомендации по работе с Microsoft Graph.
  • Если вход не прошел границы клиента, значение равно none.

• Идентификатор запроса: идентификатор, соответствующий выданному токену. Если вы ищете вход с определенным маркером, сначала необходимо извлечь идентификатор запроса из маркера.

• Вход. Строка, которая предоставляет пользователю идентификатор Microsoft Entra, чтобы идентифицировать себя при попытке входа. Обычно это имя участника-пользователя (UPN), но может быть другим идентификатором, таким как номер телефона.

• Типы событий входа: указывает категорию события входа.

  • Категория входа пользователя может быть interactiveUser или nonInteractiveUser соответствует значению свойства isInteractive в ресурсе входа.
  • Категория управляемых удостоверений — managedIdentityэто .
  • Категория субъекта-службы — servicePrincipal.
  • Портал Azure не показывает это значение, однако событие входа в систему размещается на вкладке, соответствующей типу события входа в систему. Возможные значения:
    • interactiveUser
    • nonInteractiveUser
    • servicePrincipal
    • managedIdentity
    • unknownFutureValue
  • API Microsoft Graph поддерживает: $filter (eq только оператор).

• Клиент: журнал входа отслеживает два идентификатора клиента:

  • главный арендатор — арендатор, которому принадлежит удостоверение пользователя. Идентификатор Microsoft Entra отслеживает идентификатор и имя.
  • арендатор ресурсов — арендатор, которому принадлежит ресурс (целевой объект).
  • Эти идентификаторы относятся к сценариям работы с несколькими арендаторами.
  • Например, чтобы узнать, как пользователи за пределами вашего арендатора обращаются к ресурсам, выберите все записи, в которых главный арендатор не совпадает с арендатором ресурсов.

• Тип пользователя: тип пользователя.

  • Примеры: member, guest или external.

Рекомендации по журналам входа

Следующие сценарии важно учитывать при просмотре журналов входа.

• IP-адрес и расположение: нет окончательного подключения между IP-адресом и местом, где компьютер с этим адресом находится физически. Поставщики мобильных устройств и vpn выдают IP-адреса из центральных пулов, которые часто находятся далеко от того, где на самом деле используется клиентское устройство. Сейчас преобразование IP-адреса в физическое расположение не гарантируется и осуществляется на основе трассировок, данных реестра, обратных просмотров и других сведений.

• Условный доступ:

  • Не применяется. Во время входа в систему к пользователю и приложению политики не применялись.
  • Успех. При входе в систему применяются или оцениваются один или несколько политик условного доступа для пользователя и приложения (но не обязательно других условий). Несмотря на то, что политика условного доступа может не применяться, если она была оценена, состояние условного доступа показывает успешность.
  • Сбой. При входе в систему удовлетворено условие пользователя и приложения по крайней мере одной политики условного доступа, а элементы управления предоставлением разрешения либо не удовлетворены, либо заданы для блокировки доступа.

• Имя домашнего клиента: из-за обязательств по конфиденциальности идентификатор Microsoft Entra ID не заполняет поле имени домашнего клиента во время сценариев между клиентами.

• Многофакторная проверка подлинности. При входе пользователя с помощью MFA происходит несколько отдельных событий MFA. Например, если пользователь вводит неправильный код проверки или не отвечает вовремя, дополнительные события MFA отправляются в соответствии с последним состоянием попытки входа. Эти события входа отображаются как один элемент строки в журналах входа Microsoft Entra. Однако это же событие входа в Azure Monitor отображается в виде нескольких элементов строки. Все эти события одинаковы correlationId.

Следующие шаги

• Сведения об экспорте журналов входа Microsoft Entra
• Изучение диагностики входа в идентификаторе Microsoft Entra