Настройка и фильтрация журналов действий удостоверений

Журналы входа часто используются для устранения проблем с доступом пользователей и изучения рискованного входа. Журналы аудита собирают все зарегистрированные события в идентификаторе Microsoft Entra и могут использоваться для изучения изменений в вашей среде. Существует более 30 столбцов, которые можно выбрать для настройки представления журналов входа в Центре администрирования Microsoft Entra. Журналы аудита и журналы подготовки также можно настроить и отфильтровать для ваших потребностей.

В этой статье показано, как настроить столбцы, а затем отфильтровать журналы, чтобы найти нужную информацию более эффективно.

Необходимые условия

Требуемые роли и лицензии зависят от отчета. Для доступа к данным мониторинга и работоспособности в Microsoft Graph требуются отдельные разрешения. Мы рекомендуем использовать роль с минимальными привилегиями для согласования с руководством по нулю доверия. Полный список ролей см. в разделе "Наименее привилегированные роли по задачам".

Журнал или отчет	Роли	Лицензии
Журналы аудита	Средство чтения отчетов Средство чтения безопасности Администратор безопасности	Все выпуски идентификатора Microsoft Entra
Журналы входа	Средство чтения отчетов Средство чтения безопасности Администратор безопасности	Все выпуски идентификатора Microsoft Entra
Журналы подготовки	Средство чтения отчетов Средство чтения безопасности Администратор приложений Администратор облачных приложений	Идентификатор Microsoft Entra P1 или P2
Журналы аудита настраиваемых атрибутов безопасности*	Администратор журнала атрибутов Читатель журналов атрибутов	Все выпуски идентификатора Microsoft Entra
Здоровье	Средство чтения отчетов Средство чтения безопасности Администратор службы технической поддержки	Идентификатор Microsoft Entra P1 или P2
Защита идентификации Microsoft Entra**	Администратор безопасности Оператор безопасности Средство чтения безопасности Глобальный читатель	Бесплатный идентификатор Microsoft Entra Приложения Microsoft 365 Идентификатор Microsoft Entra P1 или P2
Журналы действий Microsoft Graph	Администратор безопасности Разрешения на доступ к данным в соответствующем назначении журнала	Идентификатор Microsoft Entra P1 или P2
Использование и аналитические сведения	Средство чтения отчетов Средство чтения безопасности Администратор безопасности	Идентификатор Microsoft Entra P1 или P2

*Просмотр настраиваемых атрибутов безопасности в журналах аудита или создание параметров диагностики для настраиваемых атрибутов безопасности требует одной из ролей журнала атрибутов. Вам также нужна соответствующая роль для просмотра стандартных журналов аудита.

**Уровень доступа и возможностей для Защита идентификации Microsoft Entra зависит от роли и лицензии. Дополнительные сведения см. в требованиях к лицензии для защиты идентификаторов.

Доступ к журналам действий в Центре администрирования Microsoft Entra

Вы всегда можете получить доступ к собственному журналу https://mysignins.microsoft.comвхода. Вы также можете получить доступ к журналам входа из приложений Users и Enterprise в идентификаторе Microsoft Entra ID.

Кончик

Действия, описанные в этой статье, могут немного отличаться на портале, с который вы начинаете работу.

1. Войдите в Центр администрирования Microsoft Entra как минимум средство чтения отчетов.
2. Перейдите к журналам мониторинга удостоверений и аудита работоспособности>>журналов/входа в журналы/ подготовки.

Журналы аудита

Используя сведения в журналах аудита Microsoft Entra, вы можете получить доступ ко всем записям системных действий в целях соответствия требованиям. Журналы аудита можно получить из раздела "Мониторинг и работоспособность " идентификатора Microsoft Entra, где можно сортировать и фильтровать по каждой категории и действиям. Вы также можете получить доступ к журналам аудита в области центра администрирования для исследуемой службы.

Например, если вы изучаете изменения групп Microsoft Entra, вы можете получить доступ к журналам аудита из групп идентификаторов Microsoft Entra.> При доступе к журналам аудита из службы фильтр автоматически настраивается в соответствии со службой.

Настройка макета журналов аудита

Столбцы в журналах аудита можно настроить, чтобы просмотреть только необходимые сведения. Столбцы службы, категории и действия связаны друг с другом, поэтому эти столбцы всегда должны быть видимыми.

Фильтрация журналов аудита

При фильтрации журналов по службе сведения о категории и действиях автоматически изменяются. В некоторых случаях может быть только одна категория или действие. Подробную таблицу всех возможных сочетаний этих сведений см. в разделе "Действия аудита".

• Служба: по умолчанию для всех доступных служб, но вы можете отфильтровать список до одного или нескольких, выбрав параметр из раскрывающегося списка.

• Категория: по умолчанию для всех категорий, но можно отфильтровать для просмотра категории действий, таких как изменение политики или активация соответствующей роли Microsoft Entra.

• Действие. На основе выбранного типа ресурса категории и действия. Вы можете выбрать определенное действие, которое вы хотите просмотреть или выбрать все.

  Список всех действий аудита можно получить с помощью API Microsoft Graph: https://graph.windows.net/<tenantdomain>/activities/auditActivityTypesV2?api-version=beta

• Состояние: позволяет просмотреть результат на основе того, было ли действие успешно или неудачно.

• Целевой объект: позволяет искать целевой объект или получатель действия. Выполните поиск по первым нескольким буквам имени или имени участника-пользователя (UPN). Целевое имя и имя участника-пользователя учитывает регистр.

• Инициированный: позволяет выполнять поиск, инициируя действие с помощью первых нескольких букв имени или имени участника-пользователя. Имя и имя участника-пользователя учитывает регистр.

• Диапазон дат: позволяет определить интервал времени для возвращаемых данных. Вы можете искать последние 7 дней, 24 часа или настраиваемый диапазон. При выборе настраиваемого интервала времени можно настроить время начала и время окончания.

Журналы входа

На странице журналов входа можно переключаться между четырьмя типами журналов входа.

• Интерактивные входы пользователей: входы, в которых пользователь предоставляет фактор проверки подлинности, например пароль, ответ через приложение MFA, биометрический фактор или QR-код.

• Неинтерактивные входы пользователей: входы, выполняемые клиентом от имени пользователя. Эти входы не требуют какого-либо взаимодействия или фактора проверки подлинности от пользователя. Например, проверка подлинности и авторизация с помощью маркеров обновления и доступа, которые не требуют ввода учетных данных пользователем.

• Вход субъекта-службы: входы в приложения и субъекты-службы, не связанные с пользователем. В этих входах приложение или служба предоставляет учетные данные от собственного имени для проверки подлинности или доступа к ресурсам.

• Управляемые удостоверения для входа в ресурсы Azure: входы с помощью ресурсов Azure с секретами, управляемыми Azure. Дополнительные сведения см. в статье "Что такое управляемые удостоверения для ресурсов Azure?".

Настройка макета журналов входа

Столбцы для интерактивного журнала входа пользователя можно настроить с помощью более 30 параметров столбцов. Чтобы более эффективно просмотреть журнал входа, затратите несколько минут на настройку представления для ваших потребностей.

1. Выберите столбцы в меню в верхней части журнала.
2. Выберите столбцы, которые вы хотите просмотреть, и нажмите кнопку "Сохранить " в нижней части окна.

Фильтрация журналов входа

Фильтрация журналов входа — это полезный способ быстро найти журналы, соответствующие определенному сценарию. Например, можно отфильтровать список, чтобы просмотреть только входы, произошедшие в определенном географическом расположении, из определенной операционной системы или с определенного типа учетных данных.

Некоторые параметры фильтра запрашивают выбор дополнительных параметров. Следуйте инструкциям, чтобы выбрать нужный фильтр. Можно добавить несколько фильтров.

1. Нажмите кнопку "Добавить фильтры" , выберите параметр фильтра и нажмите кнопку "Применить".

   

2. Введите определенную информацию, например идентификатор запроса, или выберите другой параметр фильтра.

   

Вы можете отфильтровать несколько сведений. В следующей таблице описаны некоторые часто используемые фильтры. Не все параметры фильтра описаны.

Фильтр	Описание
Идентификатор запроса	Уникальный идентификатор запроса на вход
Идентификатор корреляции	Уникальный идентификатор для всех запросов на вход, которые являются частью попытки единого входа.
Пользователь	Имя участника-пользователя (UPN) пользователя
Приложение	Приложение, предназначенное для запроса на вход
Статус	Параметры : "Успех", "Сбой" и "Прервано"
Ресурс	Имя службы, используемой для входа
IP-адрес	IP-адрес клиента, используемый для входа
Условный доступ	Параметры не применяются, успешно и неудачно

Теперь, когда таблица журналов входа форматируется для ваших потребностей, вы можете более эффективно анализировать данные. Дальнейший анализ и хранение данных входа можно выполнить, экспортируя журналы в другие средства.

Настройка столбцов и настройка фильтра помогает просмотреть журналы с аналогичными характеристиками. Чтобы просмотреть сведения о входе, выберите строку в таблице, чтобы открыть панель сведений о действиях. На панели есть несколько вкладок для изучения. Дополнительные сведения см. в разделе "Сведения о действиях журнала входа".

Фильтр клиентского приложения

При проверке происхождения входа может потребоваться использовать фильтр клиентского приложения . Клиентское приложение имеет две подкатегории: современные клиенты проверки подлинности и устаревшие клиенты проверки подлинности. Современные клиенты проверки подлинности имеют еще две подкатегории: браузерные и мобильные приложения и классические клиенты. Существует несколько подкатегорий для устаревших клиентов проверки подлинности, определенных в таблице сведений о клиенте устаревшей проверки подлинности.

Входы в браузер включают все попытки входа из веб-браузеров. При просмотре сведений о входе из браузера на вкладке "Базовая информация " отображается клиентское приложение: Браузер.

На вкладке сведений об устройстве браузер отображает сведения о веб-браузере. Тип браузера и версия перечислены, но в некоторых случаях имя браузера и версии недоступно. Возможно, вы увидите что-то вроде Rich Client 4.0.0.0.

Устаревшие сведения о клиенте проверки подлинности

В следующей таблице приведены сведения о каждом из вариантов клиента проверки подлинности прежних версий.

Имя	Описание
Прошедший проверку подлинности SMTP	Используется клиентами POP и IMAP для отправки сообщений электронной почты.
Автообнаружения	Используется клиентами Outlook и EAS для поиска и подключения к почтовым ящикам в Exchange Online.
Exchange ActiveSync	В этом фильтре показаны все попытки входа, в которых был выполнен протокол EAS.
Exchange ActiveSync	Отображение всех попыток входа пользователей с клиентскими приложениями с помощью Exchange ActiveSync для подключения к Exchange Online
Exchange Online PowerShell	Используется для подключения к Exchange Online с помощью удаленной оболочки PowerShell. Если вы блокируете обычную проверку подлинности для Exchange Online PowerShell, необходимо использовать модуль Exchange Online PowerShell для подключения. Инструкции см. в разделе "Подключение к Exchange Online PowerShell" с помощью многофакторной проверки подлинности.
Веб-службы Exchange	Программный интерфейс, используемый приложениями Outlook, Outlook для Mac и не microsoft.
IMAP4	Устаревший почтовый клиент с помощью IMAP для получения электронной почты.
MAPI по протоколу HTTP	Используется Outlook 2010 и более поздних версий.
Автономная адресная книга	Копия коллекций списков адресов, скачанных и используемых Outlook.
Outlook Anywhere (RPC по протоколу HTTP)	Используется Outlook 2016 и более ранних версий.
Служба Outlook	Используется приложением "Почта" и "Календарь" для Windows 10.
POP3	Устаревший почтовый клиент с помощью POP3 для получения электронной почты.
Веб-службы Reporting Services	Используется для получения данных отчета в Exchange Online.
Другие клиенты	Отображает все попытки входа от пользователей, где клиентское приложение не включено или неизвестно.

Журналы подготовки

Чтобы более эффективно просмотреть журнал подготовки, затратите несколько минут на настройку представления для ваших потребностей. Можно указать, какие столбцы следует включить и отфильтровать данные, чтобы сузить их.

Настройка макета

Журнал подготовки имеет представление по умолчанию, но можно настроить столбцы.

1. Выберите столбцы в меню в верхней части журнала.
2. Выберите столбцы, которые вы хотите просмотреть, и нажмите кнопку "Сохранить " в нижней части окна.

Фильтрация результатов

При фильтрации данных подготовки некоторые значения фильтров динамически заполняются на основе клиента. Например, если в клиенте нет событий create, параметр "Создать фильтр" недоступен.

Фильтр удостоверений позволяет указать имя или нужное удостоверение. Это удостоверение может быть пользователем, группой, ролью или другим объектом.

Вы можете выполнить поиск по имени или идентификатору объекта. Идентификатор зависит от сценария.

• Если вы подготавливаете объект из Microsoft Entra ID в Salesforce, исходный идентификатор является идентификатором объекта пользователя в Microsoft Entra ID. Целевой идентификатор — это идентификатор пользователя в Salesforce.
• Если вы подготавливаете данные из Workday в идентификатор Microsoft Entra, исходный идентификатор является идентификатором сотрудника Workday. Целевой идентификатор — это идентификатор пользователя в идентификаторе Microsoft Entra.
• Если вы подготавливаете пользователей для синхронизации между клиентами, исходный идентификатор является идентификатором пользователя в исходном клиенте. Целевой идентификатор — это идентификатор пользователя в целевом клиенте.

Заметка

Имя пользователя может не всегда присутствовать в столбце Identity . Всегда будет один идентификатор.

Фильтр даты позволяет определить интервал времени для возвращаемых данных. Возможные значения:

• Один месяц
• Семь дней
• 30 дней
• 24 часа
• Настраиваемый интервал времени (настройка даты начала и даты окончания)

Фильтр состояния позволяет выбрать:

• Все
• Успех
• Неудача
• Пропущен

Фильтр действий позволяет фильтровать следующие действия:

• Создавать
• Обновлять
• Удалить
• Отключить
• Другой

Помимо фильтров представления по умолчанию можно задать следующие фильтры.

• Идентификатор задания: уникальный идентификатор задания связан с каждым приложением, для которого включена подготовка.

• Идентификатор цикла: идентификатор цикла однозначно определяет цикл подготовки. Этот идентификатор можно поделиться с поддержкой продукта для поиска цикла, в котором произошло это событие.

• Идентификатор изменения: идентификатор изменения является уникальным идентификатором события подготовки. Этот идентификатор можно поделиться с поддержкой продукта для поиска события подготовки.

• Исходная система: можно указать, откуда подготавливается удостоверение. Например, при подготовке объекта из Идентификатора Microsoft Entra в ServiceNow исходная система — это идентификатор Microsoft Entra.

• Целевая система: вы можете указать, где удостоверение подготавливается. Например, при подготовке объекта из идентификатора Microsoft Entra в ServiceNow целевая система — ServiceNow.

• Приложение. Вы можете отображать только записи приложений с отображаемого имени или идентификатором объекта, содержащего определенную строку. Для синхронизации между клиентами используйте идентификатор объекта конфигурации, а не идентификатор приложения.

Дальнейшие действия

• Анализ ошибки входа
• Устранение ошибок входа
• Изучение всех категорий и действий журнала аудита