Vanliga frågor och svar om Microsoft Entra-övervakning och hälsa

Den här artikeln innehåller svar på vanliga frågor om Microsoft Entra-övervakning och hälsa. Mer information finns i Microsoft Entra-övervakning och hälsoöversikt.

Licensiering

Hur gör jag för att få en premiumlicens?

Se Microsoft Entra ID-licensiering för att uppgradera din Microsoft Entra-utgåva.

Hur snart ska jag se aktivitetsloggdata när jag har fått en Premium-licens?

Om du redan har aktivitetsloggdata med en kostnadsfri licens kan du se dem direkt. Om du inte har några data kan det ta upp till tre dagar innan data visas i rapporterna.

Kan jag se förra månadens data när jag har fått en Microsoft Entra-ID P1- eller P2-licens?

Om du nyligen bytte till en Premium-version (inklusive en utvärderingsversion) kan du se data upp till sju dagar från början. När data ackumuleras kan du se data för de senaste 30 dagarna.

Aktivitetsloggar och rapporter

Vilken roll behöver jag för att se aktivitetsloggarna i administrationscentret för Microsoft Entra?

Den minst privilegierade rollen för att visa gransknings- och inloggningsloggar är Rapportläsare. Andra roller är säkerhetsläsare och säkerhetsadministratör.

Vilka loggar kan jag integrera med Azure Monitor?

Inloggning, granskning, etablering, ID Protection, nätverksåtkomst och många andra loggar kan integreras med Azure Monitor och andra övervaknings- och aviseringsverktyg. B2C-relaterade granskningshändelser ingår för närvarande inte. En fullständig lista över Microsoft Entra-loggar som kan integreras med andra slutpunkter finns i Loggalternativ för direktuppspelning till slutpunkter.

Kan jag hämta information om Microsoft 365-aktivitetsloggen via administrationscentret för Microsoft Entra eller Azure Portal?

Microsoft 365- och Microsoft Entra-aktivitetsloggar delar många katalogresurser. Om du vill ha en fullständig vy över Microsoft 365-aktivitetsloggarna bör du gå till administrationscentret för Microsoft 365 för att hämta information om Office 365-aktivitetsloggen. API:erna för Microsoft 365 beskrivs i artikeln Api:er för Microsoft 365-hantering .

Hur många poster kan jag ladda ned från administrationscentret för Microsoft Entra?

Flera faktorer avgör hur många loggar du kan ladda ned från administrationscentret för Microsoft Entra, till exempel webbläsarens minnesstorlek, nätverkshastigheter och Microsoft Entra-rapporterings-API:er. I allmänhet fungerar datauppsättningar som är mindre än 250 000 för granskningsloggar och 100 000 för inloggnings- och etableringsloggar bra med nedladdningsfunktionen i webbläsaren. Beroende på antalet fält som du har inkluderat kan det här antalet variera. Om du har problem med att slutföra stora nedladdningar i webbläsaren använder du rapport-API :et för att ladda ned data eller skicka loggarna till en slutpunkt via diagnostikinställningar.

De aktiva filtren i administrationscentret för Microsoft Entra när du påbörjar nedladdningen avgör vilken uppsättning loggar du kan ladda ned. Filtrering till en specifik användare i administrationscentret för Microsoft Entra innebär till exempel att nedladdningen hämtar loggar för den specifika användaren. Kolumnerna i de nedladdade loggarna ändras inte . Utdata innehåller all information om gransknings- eller inloggningsloggen, oavsett vilka kolumner du har anpassat i administrationscentret för Microsoft Entra.

Hur länge lagrar Microsoft Entra ID aktivitetsloggar? Vad är datakvarhållning?

Beroende på din licens lagrar Microsoft Entra ID aktivitetsloggar i mellan 7 och 30 dagar. Mer information finns i Microsoft Entra-rapportkvarhållningsprinciper.

Varför visas "Hittades inte" när jag väljer en app i rapporten **Användning och insikter**?

Rapporten Användning och insikter innehåller nu tjänst-till-tjänst-autentisering för Microsoft Cloud Services-program. Om ett program visas i den här listan innebär det sannolikt att det autentiserades till eller från ett program som finns i din klientorganisation. Men programmet i listan finns inte i din klientorganisation, bara en instans av det visas i rapporten för att visa autentiseringen.

Granskningsloggar

Hur kan jag ta reda på om en användare har köpt en licens eller aktiverat en utvärderingslicens för min klientorganisation? Jag ser inte den här aktiviteten i granskningsloggarna.

För närvarande finns det ingen specifik aktivitet i granskningsloggarna för licensköp eller aktivering. Du kanske dock kan korrelera aktiviteten "Registrera resurs till PIM" från kategorin "Resurshantering" till köp eller aktivering av en licens. Den här aktiviteten kanske inte alltid är tillgänglig eller anger exakt information.

Inloggningsloggar

Jag använde signInActivity-resursen för att leta upp en användares senaste inloggningstid, men den har inte uppdaterats efter några timmar. När uppdateras den med den senaste inloggningstiden?

SignInActivity-resursen används för att hitta inaktiva användare som inte har loggat in på ett tag. Den uppdateras inte i nära realtid. Om du behöver hitta användarens senaste inloggningsaktivitet snabbare kan du använda Inloggningsloggarna för Microsoft Entra för att se inloggningsaktivitet i nära realtid för alla dina användare.

Vilka data ingår i CSV-filen som jag kan ladda ned från Inloggningsloggarna för Microsoft Entra?

CSV innehåller inloggningsloggar för den typ av inloggningar som du har valt. Data som representeras som en kapslad matris i Microsoft Graph API för inloggningsloggar ingår inte . Till exempel ingår inte principer för villkorsstyrd åtkomst och rapportinformation. Om du behöver exportera all information som finns i inloggningsloggarna använder du funktionen Exportera datainställningar .

Det är också viktigt att notera att kolumnerna som ingår i de nedladdade loggarna inte ändras, även om du har anpassat kolumnerna i administrationscentret för Microsoft Entra.

Jag ser .XXX i en del av IP-adressen eller "PII Borttagen" i enhetsinformationen för en användare i mina inloggningsloggar. Varför händer det?

Microsoft Entra-ID kan redigera en del av en inloggningslogg för att skydda användarsekretessen i följande scenarier:

• Under inloggningar mellan klientorganisationer, till exempel när en CSP-tekniker loggar in på en klientorganisation som CSP hanterar.
• När vår tjänst inte kunde fastställa användarens identitet med tillräckligt förtroende för att se till att användaren tillhör klientorganisationen som visar loggarna.
• Microsoft Entra ID redigerar personligt identifierbar information (PII) som genereras av enheter som inte tillhör din klientorganisation för att säkerställa kunddata. PII sprids inte utanför klientorganisationens gränser utan användarens och dataägarens medgivande.

Jag ser duplicerade inloggningsposter/flera inloggningshändelser per requestID. Varför händer det?

Det finns flera orsaker till att inloggningsposter kan dupliceras i loggarna.

• Om en risk identifieras vid en inloggning publiceras en annan nästan identisk händelse omedelbart efter med risk inkluderad.
• Om MFA-händelser som är relaterade till en inloggning tas emot aggregeras alla relaterade händelser till den ursprungliga inloggningen.
• Om partnerpublicering för en inloggningshändelse misslyckas, till exempel publicering till Kusto, görs ett nytt försök och publiceras igen, vilket kan resultera i dubbletter.
• Inloggningshändelser som omfattar flera principer för villkorsstyrd åtkomst kan delas upp i flera händelser, vilket kan resultera i minst två händelser per inloggningshändelse.

Jag undersöker en inloggningshändelse med Log Analytics, men tidsgenererad tid matchar inte den faktiska tiden för inloggningen. Varför händer det?

Fältet TimeGenerated i Log Analytics är den tid då posten togs emot och publicerades av Log Analytics. Kom ihåg att för att loggarna ska visas i Log Analytics måste du konfigurera diagnostikinställningar för att skicka loggarna till Log Analytics-arbetsytan. Den processen tar tid, så fältet TimeGenerated kanske inte matchar den faktiska tiden för inloggningen.

Om du vill bekräfta att datum och tid matchar inloggningen letar du efter fältet CreatedDateTime lite längre ned i Log Analytics-resultaten. Fälten AuthenticationDetails kan också expanderas för att se den exakta tiden för inloggningen. Tiden i Log Analytics visas i UTC, men tiden i inloggningsloggarna i administrationscentret för Microsoft Entra visas i lokal tid, så du kan behöva justera.

Riskfyllda inloggningshändelser har också en annan TidGenererad tid än den faktiska inloggningstiden. TidGenererad tid för riskfyllda inloggningar är den tid då risken identifierades, inte tidpunkten för inloggningen. Kontrollera själva den riskfyllda inloggningshändelsen för aktivitetstiden, vilket är den faktiska tiden för inloggningen.

Varför verkar mina icke-interaktiva inloggningar ha samma tidsstämpel?

Icke-interaktiva inloggningar kan utlösa en stor mängd händelser varje timme, så de grupperas tillsammans i loggarna.

I många fall har icke-interaktiva inloggningar samma egenskaper, förutom datum och tid för inloggningen. Om tidsmängden är inställd på 24 timmar verkar loggarna visa inloggningarna samtidigt. Var och en av dessa grupperade rader kan expanderas för att visa den exakta tidsstämpeln.

Jag ser användar-ID:t/objekt-ID:t/GUID:erna i användarnamnsfältet i inloggningsloggen. Varför händer detta?

Det finns flera orsaker till varför inloggningsposter kan visa användar-ID:t, objekt-ID:t eller GUID:erna i användarnamnsfältet.

• Med lösenordslös autentisering visas användar-ID:t som användarnamn. Om du vill bekräfta det här scenariot tittar du på informationen om inloggningshändelsen i fråga. I fältet authenticationDetail står det lösenordslöst.
• Användaren har autentiserats men har ännu inte loggat in. För att bekräfta finns det en felkod 50058 som korrelerar med ett avbrott.
• Om användarnamnsfältet visar 000000-00000-0000-0000 eller något liknande kan det finnas klientbegränsningar som hindrar användaren från att logga in på den valda klientorganisationen.
• Inloggningsförsök för multifaktorautentisering aggregeras med flera dataposter, vilket kan ta längre tid att visa korrekt. Data kan ta upp till två timmar att aggregera helt, men tar sällan så lång tid.

Jag ser ett 90025-fel i inloggningsloggarna. Innebär det att min användare inte kunde logga in? Har min klientorganisation nått en begränsningsgräns?

Nej, i allmänhet löses 90025-fel genom ett automatiskt återförsök utan att användaren märker felet. Det här felet kan inträffa när en intern Microsoft Entra-undertjänst når sin återförsöksersättning och inte anger att din klientorganisation begränsas. Dessa fel löses vanligtvis av Microsoft Entra-ID internt. Om användaren inte kan logga in på grund av det här felet bör du lösa problemet genom att försöka igen manuellt.

Vad betyder det i inloggningsloggarna för tjänstens huvudnamn om jag ser "00000000-0000-0000-0000-000000000000" eller " " för tjänstens huvudnamns-ID eller resurstjänsthuvudnamns-ID i mina inloggningsloggar?

Om tjänstens huvudnamns-ID har värdet "0000000-0000-0000-0000-0000000000000" finns det inget tjänsthuvudnamn för klientprogrammet i den autentiseringsinstansen. Microsoft Entra utfärdar inte längre åtkomsttoken utan klienttjänstens huvudnamn, förutom några microsoft- och icke-Microsoft-program.

Om resurstjänstens huvudnamns-ID har värdet "0000000-0000-0000-0000-000000000000000" finns det inget tjänsthuvudnamn för resursprogrammet i den instansen av autentiseringen.

Det här beteendet är för närvarande endast tillåtet för ett begränsat antal resursappar.

Du kan fråga efter instanser av autentisering utan en klient- eller resurstjänsthuvudnamn i klientorganisationen.

• Använd följande fråga för att hitta instanser av inloggningsloggar för din klientorganisation där klienttjänstens huvudnamn saknas:

  https://graph.microsoft.com/beta/auditLogs/signIns?$filter=signInEventTypes/any(t: t eq 'servicePrincipal') and servicePrincipalId eq '00000000-0000-0000-0000-000000000000'
  

• Använd följande fråga för att hitta instanser av inloggningsloggar för din klientorganisation där resursens tjänsthuvudnamn saknas:

  https://graph.microsoft.com/beta/auditLogs/signIns?$filter=signInEventTypes/any(t: t eq 'servicePrincipal') and resourceServicePrincipalId eq '00000000-0000-0000-0000-000000000000'
  

Du hittar även dessa inloggningsloggar i administrationscentret för Microsoft Entra.

• Logga in på administrationscentret för Microsoft Entra.
• Bläddra tillÖvervaknings- och hälsologgar> för Entra-ID>.
• Välj Inloggningar för tjänstens huvudnamn.
• Välj en lämplig tidsram i fältet Datum (senaste 24 timmarna, 7 dagarna och så vidare).
• Lägg till ett filter och välj tjänstens huvudnamns-ID och ange värdet "0000000-0000-0000-0000-00000000000" för att hämta instanser av autentisering utan klienttjänstens huvudnamn.

Hur kan jag begränsa inloggningen (autentisering) för olika appar som jag ser i inloggningsloggarna för tjänstens huvudnamn?

Om du vill styra hur autentisering fungerar i klientorganisationen för specifika klient- eller resursappar följer du anvisningarna i artikeln Begränsa Microsoft Entra-appen till en uppsättning användare .

Varför visas inloggningar som tekniskt sett inte är interaktiva i mina interaktiva inloggningsloggar?

Vissa icke-interaktiva inloggningar gjordes tillgängliga innan de icke-interaktiva inloggningsloggarna var tillgängliga i offentlig förhandsversion. Dessa icke-interaktiva inloggningar inkluderades i de interaktiva inloggningsloggarna och fanns kvar i de interaktiva inloggningsloggarna efter att de icke-interaktiva loggarna blev tillgängliga. Inloggningar med FIDO2-nycklarna är ett exempel på icke-interaktiva inloggningar som visas i de interaktiva inloggningsloggarna. För närvarande ingår dessa icke-interaktiva loggar alltid i den interaktiva inloggningsloggen.

Vilket rapporterings-API ska jag använda för Identity Protection-riskidentifieringar, till exempel läckta autentiseringsuppgifter eller inloggningar från anonyma IP-adresser?

Du kan använda API:et för identitetsskyddsriskidentifiering för att få åtkomst till säkerhetsidentifieringar via Microsoft Graph. Det här API:et innehåller avancerad filtrering och fältval och standardiserar riskidentifieringar i en typ för enklare integrering i SIEM:er och andra datainsamlingsverktyg.

Villkorlig åtkomst

Vilken information om villkorsstyrd åtkomst kan jag se i inloggningsloggarna?

Du kan felsöka principer för villkorlig åtkomst via alla inloggningsloggar. Granska statusen för villkorsstyrd åtkomst och granska informationen om de principer som tillämpas på inloggningen och resultatet för varje princip.

Så här kommer du i gång:

• Logga in på administrationscentret för Microsoft Entra.
• Bläddra tillÖvervaknings- och hälsologgar> för Entra-ID>.
• Välj den inloggning som du vill felsöka.
• Välj fliken Villkorsstyrd åtkomst för att visa alla principer som påverkade inloggningen och resultatet för varje princip.

Vilka är alla möjliga värden för status för villkorsstyrd åtkomst?

Status för villkorsstyrd åtkomst kan ha följande värden:

• Inte tillämpad: Det fanns ingen princip för villkorsstyrd åtkomst med användaren och appen i omfånget.
• Lyckades: Det fanns en princip för villkorsstyrd åtkomst med användaren och appen i omfånget och principerna för villkorsstyrd åtkomst har uppfyllts.
• Fel: Inloggningen uppfyllde användar- och programvillkoret för minst en princip för villkorsstyrd åtkomst och bevilja kontroller är antingen inte uppfyllda eller inställda på att blockera åtkomst.

Vilka är alla möjliga värden för resultatet av principen för villkorsstyrd åtkomst?

En princip för villkorsstyrd åtkomst kan ha följande resultat:

• Lyckades: Principen har uppfyllts.
• Fel: Principen var inte nöjd.
• Inte tillämpat: Principvillkoren kanske inte har uppfyllts.
• Inte aktiverat: Principen kan vara i inaktiverat tillstånd.

Principnamnet i inloggningsloggen matchar inte principnamnet i villkorlig åtkomst. Varför?

Principnamnet i inloggningsloggen baseras på principnamnet för villkorsstyrd åtkomst vid tidpunkten för inloggningen. Namnet kan vara inkonsekvent med principnamnet i villkorsstyrd åtkomst om du uppdaterade principnamnet efter inloggningen.

Min inloggning blockerades på grund av en princip för villkorsstyrd åtkomst, men inloggningsloggen visar att inloggningen lyckades. Varför?

Inloggningsloggen kanske för närvarande inte visar korrekta resultat för Exchange ActiveSync-scenarier när villkorsstyrd åtkomst tillämpas. Det kan finnas fall då inloggningsresultatet i rapporten visar en lyckad inloggning, men inloggningen misslyckades faktiskt på grund av en princip.

Varför visas Windows-inloggning eller Windows Hello för företag som "utanför omfånget" eller "inte tillämpligt" på fliken Villkorsstyrd åtkomst i inloggningslogginformationen?

Principer för villkorlig åtkomst gäller inte för Windows-inloggning eller Windows Hello för företag. Principer för villkorlig åtkomst skyddar inloggningsförsök till molnresurser, inte windows-inloggningsprocessen.

Microsoft Graph-API:er

Jag använder för närvarande slutpunkts-API:er för "https://graph.windows.net/<tenant-name>/reports/" för att hämta Microsoft Entra-gransknings- och integrerade programanvändningsrapporter till våra rapporteringssystem programmatiskt. Vad ska jag byta till?

Leta upp API-referensen för att se hur du kan använda API:erna för att komma åt aktivitetsloggar. Den här slutpunkten har två rapporter (granskning och inloggningar) som tillhandahåller alla data som du har i den gamla API-slutpunkten. Den nya slutpunkten har också en inloggningsrapport med Microsoft Entra ID P1- eller P2-licensen som du kan använda för att hämta appanvändning, enhetsanvändning och inloggningsinformation för användare.

Jag använder för närvarande slutpunkts-API:er för "https://graph.windows.net/<tenant-name>/reports/" för att hämta Microsoft Entra-säkerhetsrapporter (specifika typer av identifieringar, till exempel läckta autentiseringsuppgifter eller inloggningar från anonyma IP-adresser) till våra rapporteringssystem programmatiskt. Vad ska jag byta till?

Du kan använda API:et för identitetsskyddsriskidentifiering för att få åtkomst till säkerhetsidentifieringar via Microsoft Graph. Det här nya formatet ger större flexibilitet i hur du kan fråga efter data. Formatet innehåller avancerad filtrering, fältval och standardiserar riskidentifieringar i en typ för enklare integrering i SIEM:er och andra datainsamlingsverktyg. Eftersom data är i ett annat format kan du inte ersätta en ny fråga med dina gamla frågor. Det nya API:et använder dock Microsoft Graph, som är Microsofts standard för api:er som Microsoft 365 eller Microsoft Entra-ID. Det arbete som krävs kan antingen utöka dina aktuella Microsoft Graph-investeringar eller hjälpa dig att påbörja övergången till den nya standardplattformen.

Jag får behörighetsfel när jag kör frågor. Jag trodde att jag hade rätt roll.

Du kan behöva logga in på Microsoft Graph separat från administrationscentret för Microsoft Entra. Välj profilikonen i det övre högra hörnet och logga in på den högra katalogen. Du kanske försöker köra en fråga som du inte har behörighet för. Välj Ändra behörigheter och välj knappen Medgivande . Följ inloggningsanvisningarna.

Varför finns det "MicrosoftGraphActivityLogs"-händelser som inte korrelerar med en inloggning med tjänstens huvudnamn?

Varje gång en token används för att anropa en Microsoft Graph-slutpunkt uppdateras de med det anropet MicrosoftGraphActivityLogs . Vissa av dessa anrop är anrop från första part, endast app-anrop, som inte publiceras till inloggningsloggarna för tjänstens huvudnamn. När en MicrosoftGraphActivityLogs visar en uniqueTokenIdentifier som du inte kan hitta i inloggningsloggarna refererar tokenidentifieraren till en apptoken från första part.

Rekommendationer

Varför ändrades en rekommendation som "slutfördes" tillbaka till "aktiv"?

Om tjänsten identifierar aktivitet relaterad till den rekommendationen för något som markerats som "slutfört" ändras den automatiskt tillbaka till "aktiv".

Inloggningsloggar för tjänstprincipal i Microsoft (förhandsversion)

Jag har aktiverat "MicrosoftServicePrincipalSignInLogs" via diagnostikinställningar, men jag är osäker på vad jag ska göra med dessa data.

Den här loggen är i förhandsversion och kanske inte är tillgänglig för alla kunder. Dessa loggar ger insyn i tjänst-till-tjänst-autentisering, särskilt för Microsoft-ägda program för att hålla tokenutfärdande autentiseringar till kundägda resurser transparenta.

I det osannolika scenariot där ett program används för att få åtkomst till andra resurser kan dessa loggar ge den information som behövs för att hitta källan till kompromissen.

Var kan jag lära mig mer om varför dessa samtal sker?

De specifika orsakerna till att Microsoft-ägda program begär eller utfärdar token är en del av vårt system design och kan inte delas offentligt. Loggarna delas för att upprätthålla transparens och ge insyn i autentiseringar som sker inom gränserna för våra kunders klienter.

Är dessa data nödvändiga för säkerhetsutredningar?

Vi har kategoriserat datauppsättningar från våra Microsoft Entra-loggströmmar baserat på deras betydelse för säkerhetsutredningar. Den här datamängden anses vara en mycket lägre prioritet jämfört med andra. Även om det är fördelaktigt att ha dessa data bör det inte påverka din säkerhetsstatus negativt om du inte aktiverar dem.

Vilka åtgärder kan jag vidta för dessa data?

Vi rekommenderar att du är mycket försiktig innan du gör några ändringar i Microsoft-ägda program. Dessa program har ofta viktiga inställningar, till exempel tokenutfärding för faktureringsprogram. Om du inaktiverar dem kan du förlora åtkomsten till ditt konto. Våra interna säkerhetsteam har implementerat omfattande säkerhetskontroller och åtkomstprinciper för att skydda dessa program. Vi är säkra på deras säkerhet och vi avråder starkt från att göra ytterligare ändringar i dem.

Om du väljer att blockera eller kontrollera dessa program kan det leda till oväntade problem, och tyvärr kan vi inte stödja eller ta ansvar för dessa problem.

Den här artikeln innehåller svar på vanliga frågor om Microsoft Entra-övervakning och hälsa. Mer information finns i Microsoft Entra-övervakning och hälsoöversikt.

Se Microsoft Entra ID-licensiering för att uppgradera din Microsoft Entra-utgåva.

Om du redan har aktivitetsloggdata med en kostnadsfri licens kan du se dem direkt. Om du inte har några data kan det ta upp till tre dagar innan data visas i rapporterna.

Om du nyligen bytte till en Premium-version (inklusive en utvärderingsversion) kan du se data upp till sju dagar från början. När data ackumuleras kan du se data för de senaste 30 dagarna.

Den minst privilegierade rollen för att visa gransknings- och inloggningsloggar är Rapportläsare. Andra roller är säkerhetsläsare och säkerhetsadministratör.

Inloggning, granskning, etablering, ID Protection, nätverksåtkomst och många andra loggar kan integreras med Azure Monitor och andra övervaknings- och aviseringsverktyg. B2C-relaterade granskningshändelser ingår för närvarande inte. En fullständig lista över Microsoft Entra-loggar som kan integreras med andra slutpunkter finns i Loggalternativ för direktuppspelning till slutpunkter.

Microsoft 365- och Microsoft Entra-aktivitetsloggar delar många katalogresurser. Om du vill ha en fullständig vy över Microsoft 365-aktivitetsloggarna bör du gå till administrationscentret för Microsoft 365 för att hämta information om Office 365-aktivitetsloggen. API:erna för Microsoft 365 beskrivs i artikeln Api:er för Microsoft 365-hantering .

Flera faktorer avgör hur många loggar du kan ladda ned från administrationscentret för Microsoft Entra, till exempel webbläsarens minnesstorlek, nätverkshastigheter och Microsoft Entra-rapporterings-API:er. I allmänhet fungerar datauppsättningar som är mindre än 250 000 för granskningsloggar och 100 000 för inloggnings- och etableringsloggar bra med nedladdningsfunktionen i webbläsaren. Beroende på antalet fält som du har inkluderat kan det här antalet variera. Om du har problem med att slutföra stora nedladdningar i webbläsaren använder du rapport-API :et för att ladda ned data eller skicka loggarna till en slutpunkt via diagnostikinställningar.

De aktiva filtren i administrationscentret för Microsoft Entra när du påbörjar nedladdningen avgör vilken uppsättning loggar du kan ladda ned. Filtrering till en specifik användare i administrationscentret för Microsoft Entra innebär till exempel att nedladdningen hämtar loggar för den specifika användaren. Kolumnerna i de nedladdade loggarna ändras inte . Utdata innehåller all information om gransknings- eller inloggningsloggen, oavsett vilka kolumner du har anpassat i administrationscentret för Microsoft Entra.

Beroende på din licens lagrar Microsoft Entra ID aktivitetsloggar i mellan 7 och 30 dagar. Mer information finns i Microsoft Entra-rapportkvarhållningsprinciper.

Rapporten Användning och insikter innehåller nu tjänst-till-tjänst-autentisering för Microsoft Cloud Services-program. Om ett program visas i den här listan innebär det sannolikt att det autentiserades till eller från ett program som finns i din klientorganisation. Men programmet i listan finns inte i din klientorganisation, bara en instans av det visas i rapporten för att visa autentiseringen.

För närvarande finns det ingen specifik aktivitet i granskningsloggarna för licensköp eller aktivering. Du kanske dock kan korrelera aktiviteten "Registrera resurs till PIM" från kategorin "Resurshantering" till köp eller aktivering av en licens. Den här aktiviteten kanske inte alltid är tillgänglig eller anger exakt information.

SignInActivity-resursen används för att hitta inaktiva användare som inte har loggat in på ett tag. Den uppdateras inte i nära realtid. Om du behöver hitta användarens senaste inloggningsaktivitet snabbare kan du använda Inloggningsloggarna för Microsoft Entra för att se inloggningsaktivitet i nära realtid för alla dina användare.

CSV innehåller inloggningsloggar för den typ av inloggningar som du har valt. Data som representeras som en kapslad matris i Microsoft Graph API för inloggningsloggar ingår inte . Till exempel ingår inte principer för villkorsstyrd åtkomst och rapportinformation. Om du behöver exportera all information som finns i inloggningsloggarna använder du funktionen Exportera datainställningar .

Det är också viktigt att notera att kolumnerna som ingår i de nedladdade loggarna inte ändras, även om du har anpassat kolumnerna i administrationscentret för Microsoft Entra.

Microsoft Entra-ID kan redigera en del av en inloggningslogg för att skydda användarsekretessen i följande scenarier:

• Under inloggningar mellan klientorganisationer, till exempel när en CSP-tekniker loggar in på en klientorganisation som CSP hanterar.
• När vår tjänst inte kunde fastställa användarens identitet med tillräckligt förtroende för att se till att användaren tillhör klientorganisationen som visar loggarna.
• Microsoft Entra ID redigerar personligt identifierbar information (PII) som genereras av enheter som inte tillhör din klientorganisation för att säkerställa kunddata. PII sprids inte utanför klientorganisationens gränser utan användarens och dataägarens medgivande.

Det finns flera orsaker till att inloggningsposter kan dupliceras i loggarna.

• Om en risk identifieras vid en inloggning publiceras en annan nästan identisk händelse omedelbart efter med risk inkluderad.
• Om MFA-händelser som är relaterade till en inloggning tas emot aggregeras alla relaterade händelser till den ursprungliga inloggningen.
• Om partnerpublicering för en inloggningshändelse misslyckas, till exempel publicering till Kusto, görs ett nytt försök och publiceras igen, vilket kan resultera i dubbletter.
• Inloggningshändelser som omfattar flera principer för villkorsstyrd åtkomst kan delas upp i flera händelser, vilket kan resultera i minst två händelser per inloggningshändelse.

Fältet TimeGenerated i Log Analytics är den tid då posten togs emot och publicerades av Log Analytics. Kom ihåg att för att loggarna ska visas i Log Analytics måste du konfigurera diagnostikinställningar för att skicka loggarna till Log Analytics-arbetsytan. Den processen tar tid, så fältet TimeGenerated kanske inte matchar den faktiska tiden för inloggningen.

Om du vill bekräfta att datum och tid matchar inloggningen letar du efter fältet CreatedDateTime lite längre ned i Log Analytics-resultaten. Fälten AuthenticationDetails kan också expanderas för att se den exakta tiden för inloggningen. Tiden i Log Analytics visas i UTC, men tiden i inloggningsloggarna i administrationscentret för Microsoft Entra visas i lokal tid, så du kan behöva justera.

Riskfyllda inloggningshändelser har också en annan TidGenererad tid än den faktiska inloggningstiden. TidGenererad tid för riskfyllda inloggningar är den tid då risken identifierades, inte tidpunkten för inloggningen. Kontrollera själva den riskfyllda inloggningshändelsen för aktivitetstiden, vilket är den faktiska tiden för inloggningen.

Icke-interaktiva inloggningar kan utlösa en stor mängd händelser varje timme, så de grupperas tillsammans i loggarna.

I många fall har icke-interaktiva inloggningar samma egenskaper, förutom datum och tid för inloggningen. Om tidsmängden är inställd på 24 timmar verkar loggarna visa inloggningarna samtidigt. Var och en av dessa grupperade rader kan expanderas för att visa den exakta tidsstämpeln.

Det finns flera orsaker till varför inloggningsposter kan visa användar-ID:t, objekt-ID:t eller GUID:erna i användarnamnsfältet.

• Med lösenordslös autentisering visas användar-ID:t som användarnamn. Om du vill bekräfta det här scenariot tittar du på informationen om inloggningshändelsen i fråga. I fältet authenticationDetail står det lösenordslöst.
• Användaren har autentiserats men har ännu inte loggat in. För att bekräfta finns det en felkod 50058 som korrelerar med ett avbrott.
• Om användarnamnsfältet visar 000000-00000-0000-0000 eller något liknande kan det finnas klientbegränsningar som hindrar användaren från att logga in på den valda klientorganisationen.
• Inloggningsförsök för multifaktorautentisering aggregeras med flera dataposter, vilket kan ta längre tid att visa korrekt. Data kan ta upp till två timmar att aggregera helt, men tar sällan så lång tid.

Nej, i allmänhet löses 90025-fel genom ett automatiskt återförsök utan att användaren märker felet. Det här felet kan inträffa när en intern Microsoft Entra-undertjänst når sin återförsöksersättning och inte anger att din klientorganisation begränsas. Dessa fel löses vanligtvis av Microsoft Entra-ID internt. Om användaren inte kan logga in på grund av det här felet bör du lösa problemet genom att försöka igen manuellt.

Om tjänstens huvudnamns-ID har värdet "0000000-0000-0000-0000-0000000000000" finns det inget tjänsthuvudnamn för klientprogrammet i den autentiseringsinstansen. Microsoft Entra utfärdar inte längre åtkomsttoken utan klienttjänstens huvudnamn, förutom några microsoft- och icke-Microsoft-program.

Om resurstjänstens huvudnamns-ID har värdet "0000000-0000-0000-0000-000000000000000" finns det inget tjänsthuvudnamn för resursprogrammet i den instansen av autentiseringen.

Det här beteendet är för närvarande endast tillåtet för ett begränsat antal resursappar.

Du kan fråga efter instanser av autentisering utan en klient- eller resurstjänsthuvudnamn i klientorganisationen.

• Använd följande fråga för att hitta instanser av inloggningsloggar för din klientorganisation där klienttjänstens huvudnamn saknas:

  https://graph.microsoft.com/beta/auditLogs/signIns?$filter=signInEventTypes/any(t: t eq 'servicePrincipal') and servicePrincipalId eq '00000000-0000-0000-0000-000000000000'
  

• Använd följande fråga för att hitta instanser av inloggningsloggar för din klientorganisation där resursens tjänsthuvudnamn saknas:

  https://graph.microsoft.com/beta/auditLogs/signIns?$filter=signInEventTypes/any(t: t eq 'servicePrincipal') and resourceServicePrincipalId eq '00000000-0000-0000-0000-000000000000'
  

Du hittar även dessa inloggningsloggar i administrationscentret för Microsoft Entra.

• Logga in på administrationscentret för Microsoft Entra.
• Bläddra tillÖvervaknings- och hälsologgar> för Entra-ID>.
• Välj Inloggningar för tjänstens huvudnamn.
• Välj en lämplig tidsram i fältet Datum (senaste 24 timmarna, 7 dagarna och så vidare).
• Lägg till ett filter och välj tjänstens huvudnamns-ID och ange värdet "0000000-0000-0000-0000-00000000000" för att hämta instanser av autentisering utan klienttjänstens huvudnamn.

Om du vill styra hur autentisering fungerar i klientorganisationen för specifika klient- eller resursappar följer du anvisningarna i artikeln Begränsa Microsoft Entra-appen till en uppsättning användare .

Vissa icke-interaktiva inloggningar gjordes tillgängliga innan de icke-interaktiva inloggningsloggarna var tillgängliga i offentlig förhandsversion. Dessa icke-interaktiva inloggningar inkluderades i de interaktiva inloggningsloggarna och fanns kvar i de interaktiva inloggningsloggarna efter att de icke-interaktiva loggarna blev tillgängliga. Inloggningar med FIDO2-nycklarna är ett exempel på icke-interaktiva inloggningar som visas i de interaktiva inloggningsloggarna. För närvarande ingår dessa icke-interaktiva loggar alltid i den interaktiva inloggningsloggen.

Du kan använda API:et för identitetsskyddsriskidentifiering för att få åtkomst till säkerhetsidentifieringar via Microsoft Graph. Det här API:et innehåller avancerad filtrering och fältval och standardiserar riskidentifieringar i en typ för enklare integrering i SIEM:er och andra datainsamlingsverktyg.

Du kan felsöka principer för villkorlig åtkomst via alla inloggningsloggar. Granska statusen för villkorsstyrd åtkomst och granska informationen om de principer som tillämpas på inloggningen och resultatet för varje princip.

Så här kommer du i gång:

• Logga in på administrationscentret för Microsoft Entra.
• Bläddra tillÖvervaknings- och hälsologgar> för Entra-ID>.
• Välj den inloggning som du vill felsöka.
• Välj fliken Villkorsstyrd åtkomst för att visa alla principer som påverkade inloggningen och resultatet för varje princip.

Status för villkorsstyrd åtkomst kan ha följande värden:

• Inte tillämpad: Det fanns ingen princip för villkorsstyrd åtkomst med användaren och appen i omfånget.
• Lyckades: Det fanns en princip för villkorsstyrd åtkomst med användaren och appen i omfånget och principerna för villkorsstyrd åtkomst har uppfyllts.
• Fel: Inloggningen uppfyllde användar- och programvillkoret för minst en princip för villkorsstyrd åtkomst och bevilja kontroller är antingen inte uppfyllda eller inställda på att blockera åtkomst.

En princip för villkorsstyrd åtkomst kan ha följande resultat:

• Lyckades: Principen har uppfyllts.
• Fel: Principen var inte nöjd.
• Inte tillämpat: Principvillkoren kanske inte har uppfyllts.
• Inte aktiverat: Principen kan vara i inaktiverat tillstånd.

Principnamnet i inloggningsloggen baseras på principnamnet för villkorsstyrd åtkomst vid tidpunkten för inloggningen. Namnet kan vara inkonsekvent med principnamnet i villkorsstyrd åtkomst om du uppdaterade principnamnet efter inloggningen.

Inloggningsloggen kanske för närvarande inte visar korrekta resultat för Exchange ActiveSync-scenarier när villkorsstyrd åtkomst tillämpas. Det kan finnas fall då inloggningsresultatet i rapporten visar en lyckad inloggning, men inloggningen misslyckades faktiskt på grund av en princip.

Principer för villkorlig åtkomst gäller inte för Windows-inloggning eller Windows Hello för företag. Principer för villkorlig åtkomst skyddar inloggningsförsök till molnresurser, inte windows-inloggningsprocessen.

Leta upp API-referensen för att se hur du kan använda API:erna för att komma åt aktivitetsloggar. Den här slutpunkten har två rapporter (granskning och inloggningar) som tillhandahåller alla data som du har i den gamla API-slutpunkten. Den nya slutpunkten har också en inloggningsrapport med Microsoft Entra ID P1- eller P2-licensen som du kan använda för att hämta appanvändning, enhetsanvändning och inloggningsinformation för användare.

Du kan använda API:et för identitetsskyddsriskidentifiering för att få åtkomst till säkerhetsidentifieringar via Microsoft Graph. Det här nya formatet ger större flexibilitet i hur du kan fråga efter data. Formatet innehåller avancerad filtrering, fältval och standardiserar riskidentifieringar i en typ för enklare integrering i SIEM:er och andra datainsamlingsverktyg. Eftersom data är i ett annat format kan du inte ersätta en ny fråga med dina gamla frågor. Det nya API:et använder dock Microsoft Graph, som är Microsofts standard för api:er som Microsoft 365 eller Microsoft Entra-ID. Det arbete som krävs kan antingen utöka dina aktuella Microsoft Graph-investeringar eller hjälpa dig att påbörja övergången till den nya standardplattformen.

Du kan behöva logga in på Microsoft Graph separat från administrationscentret för Microsoft Entra. Välj profilikonen i det övre högra hörnet och logga in på den högra katalogen. Du kanske försöker köra en fråga som du inte har behörighet för. Välj Ändra behörigheter och välj knappen Medgivande . Följ inloggningsanvisningarna.

Varje gång en token används för att anropa en Microsoft Graph-slutpunkt uppdateras de med det anropet MicrosoftGraphActivityLogs . Vissa av dessa anrop är anrop från första part, endast app-anrop, som inte publiceras till inloggningsloggarna för tjänstens huvudnamn. När en MicrosoftGraphActivityLogs visar en uniqueTokenIdentifier som du inte kan hitta i inloggningsloggarna refererar tokenidentifieraren till en apptoken från första part.

Om tjänsten identifierar aktivitet relaterad till den rekommendationen för något som markerats som "slutfört" ändras den automatiskt tillbaka till "aktiv".

Den här loggen är i förhandsversion och kanske inte är tillgänglig för alla kunder. Dessa loggar ger insyn i tjänst-till-tjänst-autentisering, särskilt för Microsoft-ägda program för att hålla tokenutfärdande autentiseringar till kundägda resurser transparenta.

I det osannolika scenariot där ett program används för att få åtkomst till andra resurser kan dessa loggar ge den information som behövs för att hitta källan till kompromissen.

De specifika orsakerna till att Microsoft-ägda program begär eller utfärdar token är en del av vårt system design och kan inte delas offentligt. Loggarna delas för att upprätthålla transparens och ge insyn i autentiseringar som sker inom gränserna för våra kunders klienter.

Vi har kategoriserat datauppsättningar från våra Microsoft Entra-loggströmmar baserat på deras betydelse för säkerhetsutredningar. Den här datamängden anses vara en mycket lägre prioritet jämfört med andra. Även om det är fördelaktigt att ha dessa data bör det inte påverka din säkerhetsstatus negativt om du inte aktiverar dem.

Vi rekommenderar att du är mycket försiktig innan du gör några ändringar i Microsoft-ägda program. Dessa program har ofta viktiga inställningar, till exempel tokenutfärding för faktureringsprogram. Om du inaktiverar dem kan du förlora åtkomsten till ditt konto. Våra interna säkerhetsteam har implementerat omfattande säkerhetskontroller och åtkomstprinciper för att skydda dessa program. Vi är säkra på deras säkerhet och vi avråder starkt från att göra ytterligare ändringar i dem.

Om du väljer att blockera eller kontrollera dessa program kan det leda till oväntade problem, och tyvärr kan vi inte stödja eller ta ansvar för dessa problem.