Vanliga frågor och svar om Microsoft Entra-övervakning och hälsa

Se Microsoft Entra ID-licensiering för att uppgradera din Microsoft Entra-utgåva.

Om du redan har aktivitetsloggdata som en kostnadsfri licens kan du se dem direkt. Om du inte har några data tar det upp till tre dagar innan data visas i rapporterna.

Om du nyligen har bytt till en Premium-version (inklusive en utvärderingsversion) kan du se data upp till sju dagar från början. När data ackumuleras kan du se data för de senaste 30 dagarna.

Den minsta behörighetsrollen för att visa gransknings- och inloggningsloggar är Rapportläsare. Andra roller är säkerhetsläsare och säkerhetsadministratör.

Inloggnings- och granskningsloggar är båda tillgängliga för routning via Azure Monitor. B2C-relaterade granskningshändelser ingår för närvarande inte. Mer information finns i Microsoft Entra-aktivitetsloggintegreringar och översikt över Graph API-aktivitetsloggen.

Microsoft 365- och Microsoft Entra-aktivitetsloggar delar många katalogresurser. Om du vill ha en fullständig vy över Microsoft 365-aktivitetsloggarna bör du gå till Administrationscenter för Microsoft 365 för att hämta information om Office 365-aktivitetsloggen. API:erna för Microsoft 365 beskrivs i artikeln Api:er för Microsoft 365-hantering.

Hur många loggar du kan ladda ned från administrationscentret för Microsoft Entra bestäms av några faktorer, inklusive webbläsarens minnesstorlek, nätverkshastigheter och aktuell belastning på Microsoft Entra-rapporterings-API:er. I allmänhet fungerar datauppsättningar som är mindre än 250 000 för granskningsloggar och 100 000 för inloggnings- och etableringsloggar bra med nedladdningsfunktionen i webbläsaren. Beroende på antalet fält som du har inkluderat kan det här antalet variera. Om du har problem med att slutföra stora nedladdningar i webbläsaren använder du rapport-API:et för att ladda ned data eller skicka loggarna till en slutpunkt via diagnostikinställningar.

Den specifika uppsättningen loggar som du kan ladda ned bestäms av de filter som är aktiva i administrationscentret för Microsoft Entra när du påbörjar nedladdningen. Filtrering till en specifik användare i administrationscentret för Microsoft Entra innebär till exempel att nedladdningen hämtar loggar för den specifika användaren. Kolumnerna i de nedladdade loggarna ändras inte . Utdata innehåller all information om gransknings- eller inloggningsloggen, oavsett vilka kolumner du har anpassat i administrationscentret för Microsoft Entra.

Beroende på din licens lagrar Microsoft Entra ID aktivitetsloggar i mellan 7 och 30 dagar. Mer information finns i Microsoft Entra-rapportkvarhållningsprinciper.

Lagringsfunktionen för diagnostikinställningar är inaktuell. Mer information om den här ändringen finns i Migrera från lagringskvarhållning för diagnostikinställningar till Livscykelhantering i Azure Storage.

För närvarande finns det ingen specifik aktivitet i granskningsloggarna för licensköp eller aktivering. Du kanske dock kan korrelera aktiviteten "Registrera resurs till PIM" från kategorin "Resurshantering" till köp eller aktivering av en licens. Den här aktiviteten kanske inte alltid är tillgänglig eller anger exakt information.

Dessa ändringar är relaterade till hur MFA och vissa GDPR-händelser bearbetas. Händelser som att ta bort användare eller exportera användardata samlas in i granskningsloggarna, men aktivitetsbeskrivningen kan vara lite kryptisk. Vi arbetar med att förbättra dessa aktivitetsetiketter. En fullständig lista över aktiviteter relaterade till GDPR finns i Granskningsaktiviteter. Dessa aktiviteter är associerade med kategorin DirectoryManagement.

SignInActivity-resursen används för att hitta inaktiva användare som inte har loggat in på ett tag. Den uppdateras inte i nära realtid. Om du behöver hitta användarens senaste inloggningsaktivitet snabbare kan du använda Inloggningsloggarna för Microsoft Entra för att se inloggningsaktivitet i nära realtid för alla dina användare.

CSV innehåller inloggningsloggar för den typ av inloggningar som du har valt. Data som representeras som en kapslad matris i Microsoft Graph API för inloggningsloggar ingår inte . Till exempel ingår inte principer för villkorsstyrd åtkomst och rapportinformation. Om du behöver exportera all information som finns i inloggningsloggarna använder du funktionen Exportera data Inställningar.

Det är också viktigt att notera att kolumnerna som ingår i de nedladdade loggarna inte ändras, även om du har anpassat kolumnerna i administrationscentret för Microsoft Entra.

Microsoft Entra-ID kan redigera en del av en IP-adress i inloggningsloggarna för att skydda användarsekretessen när en användare kanske inte tillhör klientorganisationen som visar loggarna. Den här åtgärden sker i två fall:

• Under inloggningar mellan klientorganisationer, till exempel när en CSP-tekniker loggar in på en klientorganisation som CSP hanterar.
• När vår tjänst inte kunde fastställa användarens identitet med tillräckligt förtroende för att se till att användaren tillhör klientorganisationen som visar loggarna.

Microsoft Entra ID redigerar personligt identifierbar information (PII) som genereras av enheter som inte tillhör din klientorganisation för att säkerställa kunddata. PII sprids inte utanför klientorganisationens gränser utan användarens och dataägarens medgivande.

Det finns flera orsaker till att inloggningsposter kan dupliceras i loggarna.

• Om en risk identifieras vid en inloggning publiceras en annan nästan identisk händelse omedelbart efter med risk inkluderad.
• Om MFA-händelser som är relaterade till en inloggning tas emot aggregeras alla relaterade händelser till den ursprungliga inloggningen.
• Om partnerpublicering för en inloggningshändelse misslyckas, till exempel publicering till Kusto, görs ett nytt försök och publiceras igen, vilket kan resultera i dubbletter.
• Inloggningshändelser som omfattar flera principer för villkorsstyrd åtkomst kan delas upp i flera händelser, vilket kan resultera i minst två händelser per inloggningshändelse.

Icke-interaktiva inloggningar kan utlösa en stor mängd händelser varje timme, så de grupperas tillsammans i loggarna.

I många fall har icke-interaktiva inloggningar samma egenskaper, förutom datum och tid för inloggningen. Om tidsmängden är inställd på 24 timmar verkar loggarna visa inloggningarna samtidigt. Var och en av dessa grupperade rader kan expanderas för att visa den exakta tidsstämpeln.

Det finns flera orsaker till varför inloggningsposter kan visa användar-ID:t, objekt-ID:t eller GUID:erna i användarnamnsfältet.

• Med lösenordslös autentisering visas användar-ID:t som användarnamn. Om du vill bekräfta det här scenariot tittar du på informationen om inloggningshändelsen i fråga. I fältet authenticationDetail står det lösenordslöst.
• Användaren har autentiserats men har ännu inte loggat in. För att bekräfta finns det en felkod 50058 som korrelerar med ett avbrott.
• Om användarnamnsfältet visar 000000-00000-0000-0000 eller något liknande kan det finnas klientbegränsningar som hindrar användaren från att logga in på den valda klientorganisationen.
• Inloggningsförsök för multifaktorautentisering aggregeras med flera dataposter, vilket kan ta längre tid att visa korrekt. Data kan ta upp till två timmar att aggregera helt, men är vanligtvis snabbare.

Nej, i allmänhet löses 90025-fel genom ett automatiskt återförsök utan att användaren märker felet. Det här felet kan inträffa när en intern Microsoft Entra-undertjänst når sin återförsöksersättning och inte anger att din klientorganisation begränsas. Dessa fel löses vanligtvis av Microsoft Entra-ID internt. Om användaren inte kan logga in på grund av det här felet bör du lösa problemet genom att försöka igen manuellt.

Om tjänstens huvudnamns-ID har värdet "0000000-0000-0000-0000-0000000000000" finns det inget tjänsthuvudnamn för klientprogrammet i den autentiseringsinstansen. Microsoft Entra utfärdar inte längre åtkomsttoken utan klienttjänstens huvudnamn, förutom några microsoft- och icke-Microsoft-program.

Om resurstjänstens huvudnamns-ID har värdet "0000000-0000-0000-0000-00000000000000" finns det inget tjänsthuvudnamn för resursprogrammet i den instansen av autentiseringen.

Det här beteendet är för närvarande endast tillåtet för ett begränsat antal resursappar.

Du kan fråga efter instanser av autentisering utan en klient- eller resurstjänsthuvudnamn i klientorganisationen.

• Använd följande fråga för att hitta instanser av inloggningsloggar för din klientorganisation där klienttjänstens huvudnamn saknas:

  https://graph.microsoft.com/beta/auditLogs/signIns?$filter=signInEventTypes/any(t: t eq 'servicePrincipal') and servicePrincipalId eq '00000000-0000-0000-0000-000000000000'
  

• Använd följande fråga för att hitta instanser av inloggningsloggar för din klientorganisation där resursens tjänsthuvudnamn saknas:

  https://graph.microsoft.com/beta/auditLogs/signIns?$filter=signInEventTypes/any(t: t eq 'servicePrincipal') and resourceServicePrincipalId eq '00000000-0000-0000-0000-000000000000'
  

Du hittar även dessa inloggningsloggar i administrationscentret för Microsoft Entra.

• Logga in på administrationscentret för Microsoft Entra.
• Bläddra till Loggar för identitetsövervakning>och hälsoinloggning.>
• Välj Inloggningar för tjänstens huvudnamn.
• Välj en lämplig tidsram i fältet Datum (senaste 24 timmarna, 7 dagarna osv.).
• Lägg till ett filter och välj tjänstens huvudnamns-ID och ange värdet "0000000-0000-0000-0000-00000000000" för att hämta instanser av autentisering utan klienttjänstens huvudnamn.

Om du vill styra hur autentisering fungerar i klientorganisationen för specifika klient- eller resursappar följer du anvisningarna i artikeln Begränsa Microsoft Entra-appen till en uppsättning användare .

Vissa icke-interaktiva inloggningar gjordes tillgängliga innan de icke-interaktiva inloggningsloggarna var tillgängliga i offentlig förhandsversion. Dessa icke-interaktiva inloggningar inkluderades i de interaktiva inloggningsloggarna och fanns kvar i de interaktiva inloggningsloggarna efter att de icke-interaktiva loggarna blev tillgängliga. Inloggningar med FIDO2-nycklarna är ett exempel på icke-interaktiva inloggningar som visas i de interaktiva inloggningsloggarna. För närvarande ingår dessa icke-interaktiva loggar alltid i den interaktiva inloggningsloggen.

Du kan använda API:et för identitetsskyddsriskidentifiering för att få åtkomst till säkerhetsidentifieringar via Microsoft Graph. Det här API:et innehåller avancerad filtrering och fältval och standardiserar riskidentifieringar i en typ för enklare integrering i SIEM:er och andra datainsamlingsverktyg.

Du kan felsöka principer för villkorlig åtkomst via alla inloggningsloggar. Granska statusen för villkorsstyrd åtkomst och granska informationen om de principer som tillämpas på inloggningen och resultatet för varje princip.

Så här kommer du i gång:

• Logga in på administrationscentret för Microsoft Entra.
• Bläddra till Loggar för identitetsövervakning>och hälsoinloggning.>
• Välj den inloggning som du vill felsöka.
• Välj fliken Villkorsstyrd åtkomst för att visa alla principer som påverkade inloggningen och resultatet för varje princip.

Status för villkorsstyrd åtkomst kan ha följande värden:

• Inte tillämpad: Det fanns ingen princip för villkorsstyrd åtkomst med användaren och appen i omfånget.
• Lyckades: Det fanns en princip för villkorsstyrd åtkomst med användaren och appen i omfånget och principerna för villkorsstyrd åtkomst har uppfyllts.
• Fel: Inloggningen uppfyllde användar- och programvillkoret för minst en princip för villkorsstyrd åtkomst och bevilja kontroller är antingen inte uppfyllda eller inställda på att blockera åtkomst.

En princip för villkorsstyrd åtkomst kan ha följande resultat:

• Lyckades: Principen har uppfyllts.
• Fel: Principen var inte nöjd.
• Inte tillämpat: Principvillkoren kanske inte har uppfyllts.
• Inte aktiverat: Principen kan vara i inaktiverat tillstånd.

Principnamnet i inloggningsloggen baseras på principnamnet för villkorsstyrd åtkomst vid tidpunkten för inloggningen. Namnet kan vara inkonsekvent med principnamnet i villkorsstyrd åtkomst om du uppdaterade principnamnet efter inloggningen.

Inloggningsloggen kanske för närvarande inte visar korrekta resultat för Exchange ActiveSync-scenarier när villkorsstyrd åtkomst tillämpas. Det kan finnas fall då inloggningsresultatet i rapporten visar en lyckad inloggning, men inloggningen misslyckades faktiskt på grund av en princip.

Leta upp API-referensen för att se hur du kan använda API:erna för att komma åt aktivitetsloggar. Den här slutpunkten har två rapporter (granskning och inloggningar) som tillhandahåller alla data som du har i den gamla API-slutpunkten. Den nya slutpunkten har också en inloggningsrapport med Microsoft Entra ID P1- eller P2-licensen som du kan använda för att hämta appanvändning, enhetsanvändning och inloggningsinformation för användare.

Du kan använda API:et för identitetsskyddsriskidentifiering för att få åtkomst till säkerhetsidentifieringar via Microsoft Graph. Det här nya formatet ger större flexibilitet i hur du kan fråga efter data. Formatet innehåller avancerad filtrering, fältval och standardiserar riskidentifieringar i en typ för enklare integrering i SIEM:er och andra datainsamlingsverktyg. Eftersom data är i ett annat format kan du inte ersätta en ny fråga med dina gamla frågor. Det nya API:et använder dock Microsoft Graph, som är Microsofts standard för api:er som Microsoft 365 eller Microsoft Entra-ID. Det arbete som krävs kan antingen utöka dina aktuella Microsoft Graph-investeringar eller hjälpa dig att påbörja övergången till den nya standardplattformen.

Du kan behöva logga in på Microsoft Graph separat från administrationscentret för Microsoft Entra. Välj profilikonen i det övre högra hörnet och logga in på den högra katalogen. Du kanske försöker köra en fråga som du inte har behörighet för. Välj Ändra behörigheter och välj knappen Medgivande . Följ inloggningsanvisningarna.

Varje gång en token används för att anropa en Microsoft Graph-slutpunkt uppdateras de med det anropet MicrosoftGraphActivityLogs . Vissa av dessa anrop är anrop från första part, endast app-anrop, som inte publiceras till inloggningsloggarna för tjänstens huvudnamn. När en MicrosoftGraphActivityLogs visar en uniqueTokenIdentifier som du inte kan hitta i inloggningsloggarna refererar tokenidentifieraren till en apptoken från första part.

Om tjänsten identifierar aktivitet relaterad till den rekommendationen för något som markerats som "slutfört" ändras den automatiskt tillbaka till "aktiv".