Läs mer om inloggningsloggens aktivitetsinformation

Microsoft Entra loggar alla inloggningar till en Azure-klientorganisation i efterlevnadssyfte. Som IT-administratör behöver du veta vad värdena i inloggningsloggarna betyder, så att du kan tolka loggvärdena korrekt.

• Läs mer om inloggningsloggarna.
• Anpassa och filtrera inloggningsloggarna

Den här artikeln förklarar värdena på fliken Grundläggande information i inloggningsloggen.

Grundläggande information

Fliken Grundläggande information innehåller de flesta detaljer som också visas i tabellen. Du kan starta inloggningsdiagnostiken från fliken Grundläggande information. Mer information finns i Använda inloggningsdiagnostik.

Felkoder för inloggning

Om en inloggning misslyckades kan du få mer information om orsaken på fliken Grundläggande information i det relaterade loggobjektet. Felkoden och den associerade felorsaken visas i informationen. Mer information finns i Felsöka inloggningsfel..

Plats och enhet

Flikarna Plats och Enhetsinformation visar allmän information om användarens plats och IP-adress. Fliken Enhetsinformation innehåller information om webbläsaren och operativsystemet som används för att logga in. Den här fliken innehåller också information om huruvida enheten är kompatibel, hanterad eller Microsoft Entra-hybridanslutning.

Autentiseringsinformation

Fliken Autentiseringsinformation i information om en inloggningslogg innehåller följande information för varje autentiseringsförsök:

• En lista över autentiseringsprinciper som tillämpas, till exempel villkorsstyrd åtkomst eller standardinställningar för säkerhet.
• Sekvensen med autentiseringsmetoder som används för inloggning.
• Om autentiseringsförsöket lyckades och varför.

Med den här informationen kan du felsöka varje steg i en användares inloggning. Använd den här informationen för att spåra:

• Mängden inloggningar som skyddas av MFA.
• Användnings- och framgångsfrekvenser för varje autentiseringsmetod.
• Användning av lösenordslösa autentiseringsmetoder, till exempel Lösenordsfri Telefon inloggning, FIDO2 och Windows Hello för företag.
• Hur ofta autentiseringskrav uppfylls av tokenanspråk, till exempel när användare inte uppmanas att ange ett lösenord interaktivt eller ange ett SMS OTP.

När du analyserar autentiseringsinformation bör du notera följande information:

• OATH-verifieringskoden loggas som autentiseringsmetod för både OATH-maskinvaru- och programvarutoken (till exempel Microsoft Authenticator-appen).
• Fliken Autentiseringsinformation kan inledningsvis visa ofullständiga eller felaktiga data tills logginformationen är helt aggregerad. Kända exempel är:
  • Ett uppfyllt anspråk i tokenmeddelandet visas felaktigt när inloggningshändelser loggas från början.
  • Den primära autentiseringsraden loggas inte från början.
• Om du är osäker på en detalj i loggarna samlar du in det begärande-ID och korrelations-ID som ska användas för ytterligare analys eller felsökning.
• Om principer för villkorlig åtkomst för autentisering eller sessionslivslängd tillämpas visas de ovanför inloggningsförsöken. Om du inte ser något av dessa tillämpas inte dessa principer för närvarande. Mer information finns i Sessionskontroller för villkorsstyrd åtkomst.

Unika identifierare

I Microsoft Entra-ID har en resursåtkomst tre relevanta komponenter:

• Vem: Identiteten (användaren) som gör inloggningen.
• Hur: Klienten (programmet) som används för åtkomsten.
• Vad: Målet (resursen) som används av identiteten.

Varje komponent har en associerad unik identifierare (ID).:

• Autentiseringskrav: Visar den högsta autentiseringsnivån som krävs genom alla inloggningssteg för att inloggningen ska lyckas.

  • Graph API stöder $filter (eq och startsWith endast operatorer).

• Utvärdering av villkorsstyrd åtkomst: Visar om utvärdering av kontinuerlig åtkomst (CAE) har tillämpats på inloggningshändelsen.

  • Det finns flera inloggningsbegäranden för varje autentisering, som kan visas på antingen interaktiva eller icke-interaktiva flikar.
  • CAE visas bara som sant för en av begäranden och kan visas på den interaktiva fliken eller på en icke-interaktiv flik.
  • Mer information finns i Övervaka och felsöka inloggningar med kontinuerlig åtkomstutvärdering i Microsoft Entra-ID.

• Korrelations-ID: Korrelations-ID:t grupper loggar in från samma inloggningssession. Värdet baseras på parametrar som skickas av en klient, så kan Microsoft Entra ID inte garantera dess noggrannhet.

• Åtkomsttyp mellan klientorganisationer: Beskriver vilken typ av åtkomst mellan klientorganisationer som aktören använder för att komma åt resursen. Möjliga värden är:

  • none – En inloggningshändelse som inte gick över gränserna för en Microsoft Entra-klientorganisation.
  • b2bCollaboration– En inloggning mellan klientorganisationer som utförs av en gästanvändare med B2B Collaboration.
  • b2bDirectConnect – En inloggning mellan klientorganisationer som utförs av en B2B.
  • microsoftSupport– En inloggning mellan klientorganisationer som utförs av en Microsoft-supportagent i en Microsoft-kundklientorganisation.
  • serviceProvider – En inloggning mellan klientorganisationer som utförs av en molntjänstleverantör (CSP) eller liknande administratör för den CSP-kunden i en klientorganisation
  • unknownFutureValue – Ett sentinel-värde som används av MS Graph för att hjälpa klienter att hantera ändringar i uppräkningslistor. Mer information finns i Metodtips för att arbeta med Microsoft Graph.
  • Om inloggningen inte har passerat gränserna för en klientorganisation är nonevärdet .

• Begärande-ID: En identifierare som motsvarar en utfärdad token. Om du letar efter inloggningar med en specifik token måste du först extrahera begärande-ID:t från token.

• Inloggning: Sträng som användaren tillhandahåller Microsoft Entra-ID för att identifiera sig när han eller hon försöker logga in. Det är vanligtvis ett UPN (User Principal Name), men kan vara en annan identifierare, till exempel ett telefonnummer.

• Typer av inloggningshändelser: Anger kategorin för den inloggning som händelsen representerar.

  • Användarinloggningskategorin kan vara interactiveUser eller nonInteractiveUser och motsvarar värdet för egenskapen isInteractive på inloggningsresursen.
  • Kategorin hanterad identitet är managedIdentity.
  • Kategorin tjänstens huvudnamn är servicePrincipal.
  • Azure-portalen visar inte det här värdet, men inloggningshändelsen placeras på fliken som matchar dess typ av inloggningshändelse. Möjliga värden är:
    • interactiveUser
    • nonInteractiveUser
    • servicePrincipal
    • managedIdentity
    • unknownFutureValue
  • Microsoft Graph API stöder: $filter (eq endast operator).

• Klientorganisation: Inloggningsloggen spårar två klientidentifierare:

  • Hemklientorganisation – den klientorganisation som äger användaridentiteten. Microsoft Entra ID spårar ID och namn.
  • Resursklient – den klientorganisation som äger resursen (mål).
  • Dessa identifierare är relevanta i scenarier mellan klientorganisationer.
  • Om du till exempel vill ta reda på hur användare utanför din klientorganisation kommer åt dina resurser väljer du alla poster där hemklientorganisationen inte matchar resursklientorganisationen.

• Användartyp: Typ av användare.

  • Exempel är member, guesteller external.

Överväganden för inloggningsloggar

Följande scenarier är viktiga att tänka på när du granskar inloggningsloggar.

• IP-adress och plats: Det finns ingen slutgiltig anslutning mellan en IP-adress och där datorn med den adressen finns fysiskt. Mobilleverantörer och VPN-nätverk utfärdar IP-adresser från centrala pooler som ofta är långt ifrån där klientenheten faktiskt används. För närvarande konverteras IP-adresser till en fysisk plats baserat på spårningar, registerdata, omvända sökningar och annan information.

• Villkorsstyrd åtkomst:

  • Inte tillämpad: Ingen princip som tillämpas på användaren och programmet under inloggningen.
  • Lyckades: En eller flera principer för villkorsstyrd åtkomst som tillämpades på eller utvärderades för användaren och programmet (men inte nödvändigtvis de andra villkoren) under inloggningen. Även om en princip för villkorsstyrd åtkomst kanske inte gäller, visar statusen för villkorsstyrd åtkomst lyckad om den utvärderades.
  • Fel: Inloggningen uppfyllde användar- och programvillkoret för minst en princip för villkorsstyrd åtkomst och bevilja kontroller är antingen inte uppfyllda eller inställda på att blockera åtkomst.

• Namn på hemklientorganisation: På grund av sekretessåtaganden fyller Inte Microsoft Entra-ID i fältet hemklientnamn under scenarier mellan klientorganisationer.

• Multifaktorautentisering: När en användare loggar in med MFA sker faktiskt flera separata MFA-händelser. Om en användare till exempel anger fel valideringskod eller inte svarar i tid skickas ytterligare MFA-händelser för att återspegla den senaste statusen för inloggningsförsöket. Dessa inloggningshändelser visas som ett radobjekt i inloggningsloggarna för Microsoft Entra. Samma inloggningshändelse i Azure Monitor visas dock som flera radobjekt. Alla dessa händelser har samma correlationId.

Nästa steg

• Lär dig mer om att exportera Inloggningsloggar för Microsoft Entra
• Utforska inloggningsdiagnostiken i Microsoft Entra-ID