Часто задаваемые вопросы о мониторинге и работоспособности Microsoft Entra

См . лицензирование идентификатора Microsoft Entra для обновления выпуска Microsoft Entra.

Если у вас уже есть данные журнала действий в качестве бесплатной лицензии, вы можете сразу же увидеть его. Если у вас нет данных, то для отображения данных в отчетах требуется до трех дней.

Если вы недавно перешли на версию Premium (включая пробную версию), вы можете просмотреть данные до семи дней первоначально. По мере накопления данных этот период увеличится до 30 дней.

Наименее привилегированная роль для просмотра журналов аудита и входа — средство чтения отчетов. К другим ролям относятся читатель безопасности и администратор безопасности.

Журналы входа и аудита доступны для маршрутизации через Azure Monitor. События аудита, связанные с B2C, в настоящее время не включены. Дополнительные сведения см. в статье Об интеграции журналов действий Microsoft Entra и обзоре журнала действий API Graph.

Журналы действий Microsoft 365 и Microsoft Entra используют множество ресурсов каталога. Если требуется полное представление журналов действий Microsoft 365, перейдите к Центр администрирования Microsoft 365, чтобы получить сведения о журнале действий Office 365. API для Microsoft 365 описаны в статье API управления Microsoft 365.

Некоторые факторы определяют количество журналов, которые можно скачать из Центра администрирования Microsoft Entra, например размер памяти браузера, скорость сети и нагрузки API отчетов Microsoft Entra. Как правило, наборы данных меньше 250 000 для журналов аудита и 100 000 журналов входа и подготовки, хорошо работают с функцией скачивания браузера. В зависимости от количества включенных полей это число может отличаться. При возникновении проблем с большими загрузками в браузере используйте API отчетов для скачивания данных или отправки журналов в конечную точку с помощью параметров диагностики.

Активные фильтры в Центре администрирования Microsoft Entra при запуске скачивания определяют конкретный набор журналов, которые можно скачать. Например, фильтрация по конкретному пользователю в Центре администрирования Microsoft Entra означает, что скачивание извлекает журналы для конкретного пользователя. Столбцы в скачанных журналах не изменяются. Выходные данные содержат все сведения о журнале аудита или входа независимо от столбцов, настроенных в Центре администрирования Microsoft Entra.

В зависимости от лицензии идентификатор Microsoft Entra хранит журналы действий в течение 7–30 дней. Дополнительные сведения см. в политиках хранения отчетов Microsoft Entra.

Функция хранения параметров диагностики не рекомендуется. Дополнительные сведения об этом изменении см. в статье "Миграция из хранения параметров диагностики в хранилище служба хранилища Azure жизненного цикла".

В настоящее время в журналах аудита нет определенного действия для покупок лицензий или включения. Однако вы можете сопоставить действие "Подключение ресурса к PIM" из категории "Управление ресурсами" с покупкой или включением лицензии. Это действие может не всегда быть доступным или указать точные сведения.

Ресурс signInActivity используется для поиска неактивных пользователей, которые не вошли в систему в течение некоторого времени. Он не обновляется практически в режиме реального времени. Если вам нужно быстрее найти последнее действие входа пользователя, вы можете использовать журналы входа Microsoft Entra, чтобы увидеть практически в режиме реального времени действия входа для всех пользователей.

Csv содержит журналы входа для выбранного типа входа. Данные, представленные как вложенный массив в API Microsoft Graph для журналов входа, не включаются. Например, политики условного доступа и сведения, доступные только для отчета, не включаются. Если вам нужно экспортировать всю информацию, содержащуюся в журналах входа, используйте функцию Экспорт параметров данных.

Также важно отметить, что столбцы, включенные в скачанные журналы, не изменяются, даже если вы настроили столбцы в Центре администрирования Microsoft Entra.

Идентификатор Microsoft Entra может изменить часть IP-адреса в журналах входа, чтобы защитить конфиденциальность пользователей, если пользователь не может принадлежать клиенту, просматривая журналы. Это действие происходит в двух случаях:

• Во время входа между клиентами, например, когда специалист CSP входит в клиент, которым управляет CSP.
• Когда наша служба не смогла определить удостоверение пользователя с достаточной уверенностью, чтобы убедиться, что пользователь принадлежит клиенту, просматривая журналы.

Идентификатор Microsoft Entra ID редактирует личную идентифицируемую информацию (PII), созданную устройствами, которые не принадлежат вашему клиенту для обеспечения данных клиента. PiI не распространяется за пределы клиента без согласия пользователя и владельца данных.

В журналах может быть дублировано несколько причин входа.

• Если риск определяется при входе, еще одно почти идентичное событие публикуется сразу после включения риска.
• Если события MFA, связанные с входом, получены, все связанные события агрегируются в исходном входе.
• Если публикация партнера для события входа завершается ошибкой, например публикация в Kusto, выполняется повторная попытка и публикация всего пакета событий, что может привести к дубликатам.
• События входа, связанные с несколькими политиками условного доступа, могут быть разделены на несколько событий, что может привести к по крайней мере двумя событиями для каждого входа.

Поле TimeGenerated в Log Analytics — это время получения и публикации записи Log Analytics. Помните, чтобы журналы отображались в Log Analytics, необходимо настроить параметры диагностика для отправки журналов в рабочую область Log Analytics. Этот процесс занимает время, поэтому поле TimeGenerated может не соответствовать фактическому времени входа.

Чтобы подтвердить соответствие даты и времени входу, найдите CreatedDateTime поле немного ниже в результатах Log Analytics. Поля AuthenticationDetails также можно развернуть, чтобы увидеть точное время входа. Время в Log Analytics отображается в формате UTC, но время входа в Центр администрирования Microsoft Entra отображается в локальном времени, поэтому может потребоваться изменить время.

Неинтерактивные входы могут активировать большой объем событий каждый час, поэтому они группируются в журналах.

Во многих случаях неинтерактивные входы имеют одинаковые характеристики, за исключением даты и времени входа. Если статистическое значение времени равно 24 часам, журналы отображаются одновременно. Каждый из этих группированных строк можно развернуть для просмотра точной метки времени.

Существует несколько причин, по которым записи входа могут отображать идентификаторы пользователей, идентификаторы объектов или идентификаторы GUID в поле имени пользователя.

• При проверке подлинности без пароля идентификаторы пользователей отображаются в качестве имени пользователя. Чтобы подтвердить этот сценарий, ознакомьтесь с подробными сведениями о событии входа в систему. Поле authenticationDetail говорит без пароля.
• Пользователь прошел проверку подлинности, но еще не выполнил вход. Для подтверждения существует код ошибки 50058 , который коррелирует с прерыванием.
• Если поле имени пользователя отображает 000000-00000-0000-0000 или что-то подобное, возможно, существуют ограничения клиента, предотвращающие вход пользователя в выбранный клиент.
• Попытки входа в многофакторную проверку подлинности агрегируются с несколькими записями данных, что может занять больше времени для правильного отображения. Данные могут занять до двух часов для полной статистической обработки, но редко занимает это время.

Нет, в общем случае ошибки 90025 разрешаются автоматическим повтором без уведомления пользователя об ошибке. Эта ошибка может возникать, когда внутренняя подслужба Microsoft Entra попадает в ее пособие на повторные попытки и не указывает, что клиент регулируется. Эти ошибки обычно разрешаются идентификатором Microsoft Entra ID. Если пользователю не удается войти из-за этой ошибки, повторите попытку вручную.

Если идентификатор субъекта-службы имеет значение "00000000-0000-0000-0000-00000000000000000" в клиентском приложении в этом экземпляре проверки подлинности нет субъекта-службы. Microsoft Entra больше не выдает маркеры доступа без субъекта-службы клиента, за исключением нескольких приложений Майкрософт и не microsoft.

Если идентификатор субъекта-службы ресурсов имеет значение "00000000000-0000-0000-0000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000" в этом экземпляре проверки подлинности не существует субъекта-службы.

Это поведение в настоящее время разрешено только для ограниченного количества приложений ресурсов.

Вы можете запрашивать экземпляры проверки подлинности без клиента или субъекта-службы ресурсов в клиенте.

• Чтобы найти экземпляры журналов входа для клиента, где отсутствует субъект-служба клиента, используйте следующий запрос:

  https://graph.microsoft.com/beta/auditLogs/signIns?$filter=signInEventTypes/any(t: t eq 'servicePrincipal') and servicePrincipalId eq '00000000-0000-0000-0000-000000000000'
  

• Чтобы найти экземпляры журналов входа для клиента, где отсутствует субъект-служба ресурсов, используйте следующий запрос:

  https://graph.microsoft.com/beta/auditLogs/signIns?$filter=signInEventTypes/any(t: t eq 'servicePrincipal') and resourceServicePrincipalId eq '00000000-0000-0000-0000-000000000000'
  

Эти журналы входа также можно найти в Центре администрирования Microsoft Entra.

• Войдите в центр администрирования Microsoft Entra.
• Перейдите к журналам мониторинга удостоверений и работоспособности>>входа.
• Выберите вход субъекта-службы.
• Выберите соответствующий интервал времени в поле "Дата" (последние 24 часа, 7 дней и т. д.).
• Добавьте фильтр и выберите идентификатор субъекта-службы и укажите значение 00000000-0000-0000-0000-00000000000000, чтобы получить экземпляры проверки подлинности без субъекта-службы клиента.

Если вы хотите контролировать работу проверки подлинности в клиенте для определенных клиентских или ресурсных приложений, следуйте инструкциям в статье "Ограничить приложение Microsoft Entra набором пользователей ".

Некоторые неинтерактивные входы были доступны до того, как журналы входа без интерактивного входа были доступны в общедоступной предварительной версии. Эти неинтерактивные входы были включены в интерактивные журналы входа и остались в журналах интерактивного входа после того, как неинтерактивные журналы стали доступными. Входы с помощью ключей FIDO2 являются примером неинтерактивных входов, которые отображаются в журналах интерактивного входа. В настоящее время эти неинтерактивные журналы всегда включаются в интерактивный журнал входа.

Вы можете использовать API обнаружения риска защиты идентификации для получения сведений об обнаружениях через Microsoft Graph. Этот API включает расширенные фильтры и выбор полей и стандартизирует обнаружение рисков в одном типе для упрощения интеграции с SIEMs и другими средствами сбора данных.

Политики условного доступа можно устранить с помощью всех журналов входа. Просмотрите состояние условного доступа и ознакомьтесь с подробными сведениями о политиках, применяемых к входу и результату каждой политики.

Чтобы начать работу:

• Войдите в центр администрирования Microsoft Entra.
• Перейдите к журналам мониторинга удостоверений и работоспособности>>входа.
• Выберите вход, который требуется устранить.
• Перейдите на вкладку условного доступа , чтобы просмотреть все политики, влияющие на вход и результат каждой политики.

Состояние условного доступа может иметь следующие значения:

• Не применяется: не было политики условного доступа с пользователем и приложением в области.
• Успешное выполнение: была политика условного доступа с пользователем и приложением в области действия, а политики условного доступа были успешно удовлетворены.
• Сбой. При входе в систему удовлетворено условие пользователя и приложения по крайней мере одной политики условного доступа, а элементы управления предоставлением разрешения либо не удовлетворены, либо заданы для блокировки доступа.

Результат политики условного доступа может иметь следующие значения:

• Успешно. Политика была успешно выполнена.
• Сбой: политика не была удовлетворена.
• Не применено: условия политики, возможно, не выполнены.
• Не включена: политика может находиться в отключенном состоянии.

Имя политики в журнале входа основано на имени политики условного доступа во время входа. Имя может быть несогласовано с именем политики в условном доступе, если вы обновили имя политики после входа.

В настоящее время журнал входа может не отображать точные результаты для сценариев Exchange ActiveSync при применении условного доступа. Могут возникнуть случаи, когда в результате входа в отчет отображается успешный вход, но вход на самом деле завершился ошибкой из-за политики.

Политики условного доступа не применяются к входу в Windows или Windows Hello для бизнеса. Политики условного доступа защищают попытки входа в облачные ресурсы, а не процесс входа в Windows.

Ознакомьтесь со ссылкой на API, чтобы узнать, как использовать API для доступа к журналам действий. Эта конечная точка поддерживает два отчета (аудит и события входа), которые предоставляют все данные, доступные в старой конечной точке API. Эта новая конечная точка также содержит отчет о входе с лицензией Microsoft Entra ID P1 или P2, которую можно использовать для получения сведений об использовании приложений, использовании устройств и входе пользователей.

Вы можете использовать API обнаружения риска защиты идентификации для получения сведений об обнаружениях через Microsoft Graph. Этот новый формат обеспечивает большую гибкость в том, как можно запрашивать данные. Формат обеспечивает расширенную фильтрацию, выбор полей и стандартизирует обнаружение рисков в одном типе для упрощения интеграции с SIEMs и другими средствами сбора данных. Так как формат данных изменился, вы не можете использовать старые запросы для новых источников. Однако новый API использует Microsoft Graph, который является стандартом Майкрософт для таких API, как Microsoft 365 или Идентификатор Microsoft Entra. Поэтому все действия по преобразованию усовершенствуют вашу систему Microsoft Graph или помогут начать переход на новую стандартную платформу.

Возможно, вам потребуется войти в Microsoft Graph отдельно от Центра администрирования Microsoft Entra. Щелкните значок профиля в правом верхнем углу и войдите в нужный каталог. Возможно, вы пытаетесь запустить запрос, для которых у вас нет разрешений. Нажмите кнопку "Изменить разрешения" и нажмите кнопку "Согласие ". Следуйте запросам входа.

Каждый раз, когда маркер используется для вызова конечной точки Microsoft Graph, MicrosoftGraphActivityLogs обновляется с помощью этого вызова. Некоторые из этих вызовов являются сторонними, вызовами только приложений, которые не публикуются в журналах входа субъекта-службы. MicrosoftGraphActivityLogs Если отображаетсяuniqueTokenIdentifier, что вы не можете найти в журналах входа, идентификатор маркера ссылается на маркер только для первого приложения.

Если служба обнаруживает действие, связанное с этой рекомендацией для чего-то, помеченное как "завершенное", оно автоматически возвращается на "активный".