Vad är Inloggningsloggar för Microsoft Entra?
Microsoft Entra loggar alla inloggningar till en Microsoft Entra-klientorganisation, som innehåller dina interna appar och resurser. Som IT-administratör behöver du veta vad värdena i inloggningsloggarna betyder, så att du kan tolka loggvärdena korrekt.
Genom att granska inloggningsfel och mönster får du värdefull insikt i hur användarna får åtkomst till program och tjänster. Inloggningsloggarna som tillhandahålls av Microsoft Entra ID är en kraftfull typ av aktivitetslogg som du kan analysera. Den här artikeln beskriver flera viktiga aspekter av inloggningsloggarna.
Två andra aktivitetsloggar är också tillgängliga för att övervaka hälsotillståndet för din klientorganisation:
- Granskning – Information om ändringar som tillämpas på din klientorganisation, till exempel användare och grupphantering eller uppdateringar som tillämpas på klientorganisationens resurser.
- Etablering – aktiviteter som utförs av en etableringstjänst, till exempel skapandet av en grupp i ServiceNow eller en användare som importerats från Workday.
Licens- och rollkrav
De roller och licenser som krävs varierar beroende på rapporten. Separata behörigheter krävs för åtkomst till övervaknings- och hälsodata i Microsoft Graph. Vi rekommenderar att du använder en roll med minst behörighet för att anpassa till Nolltillit vägledning. En fullständig lista över roller finns i Minst privilegierade roller efter uppgift.
| Logg/rapport | Roller | Licenser |
|---|---|---|
| Granskningsloggar | Rapportläsare Säkerhetsläsare Säkerhetsadministratör |
Alla utgåvor av Microsoft Entra ID |
| Inloggningsloggar | Rapportläsare Säkerhetsläsare Säkerhetsadministratör |
Alla utgåvor av Microsoft Entra ID |
| Etableringsloggar | Rapportläsare Säkerhetsläsare Programadministratör Molnappadministratör |
Microsoft Entra ID P1 eller P2 |
| Granskningsloggar för anpassade säkerhetsattribut* | Administratör för attributlogg Attributloggläsare |
Alla utgåvor av Microsoft Entra ID |
| Hälsa | Rapportläsare Säkerhetsläsare Supportadministratör |
Microsoft Entra ID P1 eller P2 |
| Microsoft Entra ID Protection** | Säkerhetsadministratör Säkerhetsoperator Säkerhetsläsare Global läsare |
Microsoft Entra-ID kostnadsfritt Microsoft 365-applikationer Microsoft Entra ID P1 eller P2 |
| Microsoft Graph-aktivitetsloggar | Säkerhetsadministratör Behörigheter för åtkomst till data i motsvarande loggmål |
Microsoft Entra ID P1 eller P2 |
| Användning och insikter | Rapportläsare Säkerhetsläsare Säkerhetsadministratör |
Microsoft Entra ID P1 eller P2 |
*Om du vill visa anpassade säkerhetsattribut i granskningsloggarna eller skapa diagnostikinställningar för anpassade säkerhetsattribut krävs en av rollerna i attributloggen. Du behöver också rätt roll för att visa standardgranskningsloggarna.
**Åtkomstnivån och funktionerna för Microsoft Entra ID Protection varierar beroende på roll och licens. Mer information finns i licenskraven för ID Protection.
Vad kan du göra med inloggningsloggar?
Du kan använda inloggningsloggarna för att besvara frågor som:
- Hur många användare har loggat in på ett visst program den här veckan?
- Hur många misslyckade inloggningsförsök har inträffat under de senaste 24 timmarna?
- Loggar användare in från specifika webbläsare eller operativsystem?
- Vilka av mina Azure-resurser användes av hanterade identiteter och tjänstens huvudnamn?
Du kan också beskriva aktiviteten som är associerad med en inloggningsbegäran genom att identifiera följande information:
- Vem – identiteten (användaren) som utför inloggningen.
- How – Klienten (programmet) som används för inloggningen.
- Vad – målet (resursen) som används av identiteten.
Hur kommer du åt inloggningsloggarna?
Det finns flera sätt att komma åt loggarna, beroende på dina behov. Mer information finns i Komma åt aktivitetsloggar.
Så här visar du inloggningsloggarna från administrationscentret för Microsoft Entra:
- Logga in på administrationscentret för Microsoft Entra som minst en rapportläsare.
- Bläddra till Loggar för identitetsövervakning>och hälsoinloggning.>
Om du vill använda inloggningsloggarna mer effektivt i administrationscentret för Microsoft Entra justerar du filtren så att de endast visar en specifik uppsättning loggar. Mer information finns i Filtrera inloggningsloggar.
Vilka är typerna av inloggningsloggar?
Det finns fyra typer av loggar i förhandsversionen av inloggningsloggarna:
- Interaktiva användarinloggningar
- Icke-interaktiva användarinloggningar
- Inloggningar för tjänstens huvudnamn
- Inloggningar för hanterad identitet
De klassiska inloggningsloggarna innehåller bara interaktiva användarinloggningar.
Not
Poster i inloggningsloggarna genereras av systemet och kan inte ändras eller tas bort.
Inloggningsdata som används av andra tjänster
Inloggningsdata används av flera tjänster i Azure och Microsoft Entra för att övervaka riskfyllda inloggningar, ge insikter om programanvändning med mera.
Microsoft Entra ID Protection
Visualisering av inloggningsloggdata som relaterar till riskfyllda inloggningar finns i översikten över Microsoft Entra ID Protection , som använder följande data:
- Riskfyllda användare
- Riskfyllda användarinloggningar
- Riskfyllda arbetsbelastningsidentiteter
Mer information om Microsoft Entra ID Protection-verktygen finns i översikten över Microsoft Entra ID Protection.
Microsoft Entra-användning och insikter
Om du vill visa programspecifika inloggningsdata bläddrar du till Microsoft Entra ID>Monitoring &health Usage &insights (Övervakning och hälsoanvändning>i Microsoft Entra). Dessa rapporter ger en närmare titt på inloggningar för Microsoft Entra-programaktivitet och AD FS-programaktivitet. Mer information finns i Microsoft Entra Usage &insights .
Det finns flera rapporter i Användning och insikter. Vissa av dessa rapporter är i förhandsversion.
- Microsoft Entra-programaktivitet (förhandsversion)
- AD FS-programaktivitet
- Aktivitet för autentiseringsmetoder
- Inloggningsaktivitet för tjänstens huvudnamn
- Aktivitet för programautentiseringsuppgifter
Microsoft 365-aktivitetsloggar
Du kan visa Microsoft 365-aktivitetsloggar från Administrationscenter för Microsoft 365. Microsoft 365-aktivitets- och Microsoft Entra-aktivitetsloggar delar ett stort antal katalogresurser. Endast Administrationscenter för Microsoft 365 ger en fullständig vy över Microsoft 365-aktivitetsloggarna.
Du kan komma åt Microsoft 365-aktivitetsloggarna programmatiskt med hjälp av Api:erna för Office 365-hantering.