Microsoft Entra oturum açma günlükleri nelerdir?

  • Makale

Microsoft Entra, tüm oturum açma bilgilerini dahili uygulamalarınızı ve kaynaklarınızı içeren bir Azure kiracısında günlüğe kaydeder. BT yöneticisi olarak, günlük değerlerini doğru yorumlayabilmeniz için oturum açma günlüklerindeki değerlerin ne anlama geldiğini bilmeniz gerekir.

Oturum açma hatalarını ve desenlerini gözden geçirmek, kullanıcılarınızın uygulamalara ve hizmetlere nasıl erişip erişemleri hakkında değerli içgörüler sağlar. Microsoft Entra ID tarafından sağlanan oturum açma günlükleri, çözümleyebileceğiniz güçlü bir etkinlik günlüğü türüdür. Bu makalede oturum açma günlüklerine nasıl erişilip bu günlüklerin nasıl kullanıldığı açıklanmaktadır.

Oturum açma günlüklerinin önizleme görünümü etkileşimli ve etkileşimli olmayan kullanıcı oturum açmalarının yanı sıra hizmet sorumlusu ve yönetilen kimlik oturum açma bilgilerini içerir. Yine de yalnızca etkileşimli oturum açma işlemleri içeren klasik oturum açma günlüklerini görüntüleyebilirsiniz.

Kiracınızın durumunu izlemeye yardımcı olmak için diğer iki etkinlik günlüğü de kullanılabilir:

  • Denetim : Kiracınıza uygulanan kullanıcılar ve grup yönetimi veya kiracınızın kaynaklarına uygulanan güncelleştirmeler gibi değişiklikler hakkında bilgiler.
  • Sağlama : ServiceNow'da grup oluşturma veya Workday'den içeri aktarılan bir kullanıcı gibi bir sağlama hizmeti tarafından gerçekleştirilen etkinlikler.

Oturum açma günlükleriyle ne yapabilirsiniz?

Oturum açma günlüklerini kullanarak aşağıdaki gibi soruları yanıtlayabilirsiniz:

  • Bu hafta belirli bir uygulamada kaç kullanıcı oturum açtı?
  • Son 24 saat içinde kaç başarısız oturum açma girişimi gerçekleşti?
  • Kullanıcılar belirli tarayıcılardan mı yoksa işletim sistemlerinden mi oturum açıyor?
  • Yönetilen kimlikler ve hizmet sorumluları tarafından hangi Azure kaynaklarıma erişiliyor?

Aşağıdaki ayrıntıları belirleyerek oturum açma isteğiyle ilişkili etkinliği de açıklayabilirsiniz:

  • Who – Oturum açmayı gerçekleştiren kimlik (Kullanıcı).
  • Nasıl – Oturum açma için kullanılan istemci (Uygulama).
  • Ne – Kimlik tarafından erişilen hedef (Kaynak).

Oturum açma günlüklerinin türleri nelerdir?

Oturum açma günlükleri önizlemesinde dört tür günlük vardır:

  • Etkileşimli kullanıcı oturum açma işlemleri
  • Etkileşimli olmayan kullanıcı oturum açma işlemleri
  • Hizmet sorumlusu oturum açma işlemleri
  • Yönetilen kimlik oturum açma işlemleri

Klasik oturum açma günlükleri yalnızca etkileşimli kullanıcı oturum açma bilgilerini içerir.

Dekont

Oturum açma günlüklerindeki girdiler sistem tarafından oluşturulur ve değiştirilemez veya silinemez.

Etkileşimli kullanıcı oturum açma işlemleri

Etkileşimli oturum açma işlemleri bir kullanıcı tarafından gerçekleştirilir. Microsoft Entra Id için bir kimlik doğrulama faktörü sağlar. Bu kimlik doğrulama faktörü, Microsoft Authenticator uygulaması gibi bir yardımcı uygulamayla da etkileşimde olabilir. Kullanıcılar Microsoft Entra Id veya yardımcı bir uygulamaya parolalar, MFA zorluklarına yanıtlar, biyometrik faktörler veya QR kodları sağlayabilir. Bu günlük, Microsoft Entra Kimliği'ne federasyon olarak alınan kimlik sağlayıcılarından federasyon oturum açma bilgilerini de içerir.

Screenshot of the interactive user sign-in log.

Rapor boyutu: küçük
Örnekler:

  • Kullanıcı, Microsoft Entra oturum açma ekranında kullanıcı adı ve parola sağlar.
  • Bir kullanıcı SMS MFA sınaması geçirir.
  • Kullanıcı, windows bilgisayarının kilidini İş İçin Windows Hello ile açmak için biyometrik bir hareket sağlar.
  • Bir kullanıcı, AD FS SAML onayıyla Microsoft Entra Id ile birleştirilir.

Etkileşimli oturum açma günlüğü, varsayılan alanlara ek olarak şunları da gösterir:

  • Oturum açma konumu
  • Koşullu Erişim uygulanıp uygulanmadığı

Bilinen sınırlamalar

Etkileşimli oturum açma günlüklerinde etkileşimli olmayan oturum açma işlemleri

Daha önce, daha iyi görünürlük için Microsoft Exchange istemcilerinden bazı etkileşimli olmayan oturum açma işlemleri etkileşimli kullanıcı oturum açma günlüğüne eklenmişti. Bu artan görünürlük, etkileşimli olmayan kullanıcı oturum açma günlükleri Kasım 2020'de kullanılmadan önce gerekliydi. Ancak, FIDO2 anahtarları kullananlar gibi etkileşimli olmayan bazı oturum açma işlemleri, sistemin ayrı etkileşimli olmayan günlükler kullanılmadan önce kurulma biçiminden dolayı yine etkileşimli olarak işaretlenebilir. Bu oturum açma işlemleri, teknik olarak etkileşimli olmayan oturum açma işlemleri olsa da istemci kimlik bilgisi türü ve tarayıcı bilgileri gibi etkileşimli ayrıntıları görüntüleyebilir.

Geçişli oturum açma işlemleri

Microsoft Entra Id kimlik doğrulaması ve yetkilendirme için belirteçler verir. Bazı durumlarda Contoso kiracısında oturum açmış olan bir kullanıcı, erişimi olmayan Fabrikam kiracısında kaynaklara erişmeyi deneyebilir. Geçiş belirteci olarak adlandırılan yetkilendirmesiz belirteç, Fabrikam kiracısına verilir. Geçiş belirteci, kullanıcının herhangi bir kaynağa erişmesine izin vermez.

Bu durumun günlükleri gözden geçirilirken, belirteç ev kiracısının ilkelerine göre değerlendirilmediğinden, ev kiracısının oturum açma günlükleri (bu senaryoda Contoso) oturum açma girişimi göstermez. Oturum açma belirteci yalnızca uygun hata iletisini görüntülemek için kullanıldı. Ev kiracısının günlüklerinde oturum açma girişimi görmezsiniz.

Birinci taraf, yalnızca uygulama hizmet sorumlusu oturum açma işlemleri

Hizmet sorumlusu oturum açma günlükleri birinci taraf, yalnızca uygulama oturum açma etkinliğini içermez. Bu etkinlik türü, birinci taraf uygulamalar bir kullanıcıdan yön veya bağlam bulunmayan bir iç Microsoft işi için belirteçler aldığı zaman gerçekleşir. Kiracınızdaki iç Microsoft belirteçleriyle ilgili günlükler için ödeme yapılmaması için bu günlükleri hariç tutacağız.

Aynı Log Analytics çalışma alanına yönlendirdiğiniz MicrosoftGraphActivityLogs durumlarda hizmet sorumlusu oturum açma işlemleriyle SignInLogs bağıntılı olmayan Microsoft Graph olaylarını tanımlayabilirsiniz. Bu tümleştirme, Microsoft Graph API çağrısı için verilen belirteci oturum açma etkinliğiyle çapraz olarak başvurmanızı sağlar. UniqueTokenIdentifier Oturum açma günlükleri için ve SignInActivityId Microsoft Graph etkinlik günlüklerindekiler hizmet sorumlusu oturum açma günlüklerinde eksik olabilir.

Etkileşimli olmayan kullanıcı oturum açma işlemleri

Etkileşimli olmayan oturum açma işlemleri bir kullanıcı adına yapılır. Bu temsilcili oturum açma işlemleri bir kullanıcı adına bir istemci uygulaması veya işletim sistemi bileşenleri tarafından gerçekleştirildi ve kullanıcının kimlik doğrulama faktörü sağlamasını gerektirmez. Bunun yerine, Microsoft Entra Id kullanıcının belirtecinin ne zaman yenilenmesi gerektiğini algılar ve bunu kullanıcının oturumunu kesintiye uğratmadan arka planda yapar. Genel olarak, kullanıcı bu oturum açmaların arka planda gerçekleştiğini algılar.

Screenshot of the non-interactive user sign-in log.

Rapor boyutu: Büyük
Örnekler:

  • İstemci uygulaması erişim belirteci almak için OAuth 2.0 yenileme belirteci kullanır.
  • İstemci, erişim belirteci almak ve belirteci yenilemek için OAuth 2.0 yetkilendirme kodunu kullanır.
  • Kullanıcı, Microsoft Entra'ya katılmış bir bilgisayarda (kimlik doğrulama faktörü sağlamadan veya Microsoft Entra istemiyle etkileşim kurmadan) web veya Windows uygulamasında çoklu oturum açma (SSO) gerçekleştirir.
  • Kullanıcı, FOCI (İstemci Kimlikleri Ailesi) kullanarak mobil cihazda oturum açtığı sırada ikinci bir Microsoft Office uygulaması oturum açar.

Varsayılan alanlara ek olarak, etkileşimli olmayan oturum açma günlüğü de şunları gösterir:

  • Kaynak Kimliği
  • Gruplandırılmış oturum açma sayısı

Bu raporda gösterilen alanları özelleştiremezsiniz.

Verileri sindirme işlemini kolaylaştırmak için etkileşimli olmayan oturum açma olayları gruplandırılır. İstemciler genellikle kısa bir süre içinde aynı kullanıcı adına etkileşimli olmayan birçok oturum açma oluşturur. Etkileşimli olmayan oturum açma işlemleri, oturum açma girişiminde bulununma zamanı dışında aynı özellikleri paylaşır. Örneğin, bir istemci kullanıcı adına saatte bir erişim belirteci alabilir. Kullanıcının veya istemcinin durumu değişmezse, IP adresi, kaynak ve diğer tüm bilgiler her erişim belirteci isteği için aynıdır. Değişen tek durum, oturum açma tarihi ve saatidir.

Screenshot of an aggregate sign-in expanded to show all rows.

Microsoft Entra, saat ve tarih dışında aynı olan birden çok oturum açma işlemini günlüğe kaydederken, bu oturum açma işlemleri aynı varlıktandır ve tek bir satırda toplanır. Birden çok özdeş oturum açma içeren bir satır (verilen tarih ve saat dışında) # oturum açmalar sütununda birden büyük bir değere sahiptir . Bu toplu oturum açma işlemleri aynı zaman damgalarına da sahip gibi görünebilir. Zaman toplama filtresi 1 saat, 6 saat veya 24 saat olarak ayarlanabilir. Tüm farklı oturum açma işlemlerini ve bunların farklı zaman damgalarını görmek için satırı genişletebilirsiniz.

Aşağıdaki veriler eşleştiğinde oturum açma işlemleri etkileşimli olmayan kullanıcılarda toplanır:

  • Uygulama
  • User
  • IP Adresi
  • Status
  • Kaynak Kimliği

Dekont

Gizli istemciler tarafından gerçekleştirilen etkileşimli olmayan oturum açmaların IP adresi, yenileme belirteci isteğinin geldiği gerçek kaynak IP ile eşleşmiyor. Bunun yerine, özgün belirteç verme için kullanılan özgün IP'yi gösterir.

Hizmet sorumlusu oturum açma işlemleri

Etkileşimli ve etkileşimli olmayan kullanıcı oturum açma işlemlerinden farklı olarak, hizmet sorumlusu oturum açma işlemleri kullanıcı içermez. Bunun yerine, uygulamalar veya hizmet sorumluları gibi kullanıcı olmayan herhangi bir hesap tarafından oturum açarlar (yalnızca yönetilen kimlik oturum açma günlüğüne dahil edilen yönetilen kimlik oturum açma dışında). Bu oturum açmalarda uygulama veya hizmet, kimlik doğrulaması yapmak veya kaynaklara erişmek için sertifika veya uygulama gizli dizisi gibi kendi kimlik bilgilerini sağlar.

Screenshot of the service principal sign-in log.

Rapor boyutu: Büyük
Örnekler:

  • Hizmet sorumlusu, Kimlik doğrulaması yapmak ve Microsoft Graph'a erişmek için bir sertifika kullanır.
  • Bir uygulama, OAuth İstemci Kimlik Bilgileri akışında kimlik doğrulaması yapmak için bir istemci gizli dizisi kullanır.

Bu raporda gösterilen alanları özelleştiremezsiniz.

Hizmet sorumlusu oturum açma günlüklerindeki verileri sindirme işlemini kolaylaştırmak için hizmet sorumlusu oturum açma olayları gruplandırılır. Aynı koşulda aynı varlıktan yapılan oturum açma işlemleri tek bir satırda toplanır. Tüm farklı oturum açma işlemlerini ve bunların farklı zaman damgalarını görmek için satırı genişletebilirsiniz. Aşağıdaki veriler eşleştiğinde oturum açma işlemleri hizmet sorumlusu raporunda toplanır:

  • Hizmet asıl adı veya kimliği
  • Status
  • IP Adresi
  • Kaynak adı veya kimliği

Yönetilen kimlik oturum açma işlemleri

Azure kaynakları için yönetilen kimlikler oturum açma işlemleri, kimlik bilgisi yönetimini basitleştirmek için gizli dizilerinin Azure tarafından yönetildiği kaynaklar tarafından gerçekleştirilen oturum açma işlemleridir. Yönetilen kimlik bilgilerine sahip bir VM, Erişim Belirteci almak için Microsoft Entra Id kullanır.

Screenshot of the managed identity sign-in log.

Rapor boyutu: Küçük
Örnekler:

Bu raporda gösterilen alanları özelleştiremezsiniz.

Verileri özetlemeyi kolaylaştırmak için Azure kaynakları için yönetilen kimlikler oturum açma günlükleri, etkileşimli olmayan oturum açma olayları gruplandırılır. Aynı varlıktaki oturum açma işlemleri tek bir satırda toplanır. Tüm farklı oturum açma işlemlerini ve bunların farklı zaman damgalarını görmek için satırı genişletebilirsiniz. Aşağıdaki verilerin tümü eşleştiğinde oturum açma işlemleri yönetilen kimlikler raporunda toplanır:

  • Yönetilen kimlik adı veya kimliği
  • Status
  • Kaynak adı veya kimliği

Bir düğüm altında gruplandırılmış tüm oturum açma bilgilerini görüntülemek için liste görünümünde bir öğe seçin. Oturum açma işleminin tüm ayrıntılarını görmek için gruplandırılmış bir öğe seçin.

Diğer hizmetler tarafından kullanılan oturum açma verileri

Oturum açma verileri Azure'daki çeşitli hizmetler tarafından riskli oturum açma işlemleri izlemek, uygulama kullanımı hakkında içgörü sağlamak ve daha fazlası için kullanılır.

Microsoft Entra Kimlik Koruması

Riskli oturum açma işlemleriyle ilgili oturum açma günlük verileri görselleştirmesi, aşağıdaki verileri kullanan Microsoft Entra Kimlik Koruması genel bakış sayfasında sağlanır:

  • Riskli kullanıcılar
  • Riskli kullanıcı oturum açma işlemleri
  • Riskli iş yükü kimlikleri

Microsoft Entra Kimlik Koruması araçları hakkında daha fazla bilgi için bkz. Microsoft Entra Kimlik Koruması genel bakış.

Microsoft Entra Kullanımı ve içgörüleri

Uygulamaya özgü oturum açma verilerini görüntülemek için Microsoft Entra ID>İzleme & sistem durumu>Kullanımı & içgörülerine göz atın. Bu raporlar, Microsoft Entra uygulama etkinliği ve AD FS uygulama etkinliği için oturum açma işlemlerine daha yakından bakmanızı sağlar. Daha fazla bilgi için bkz . Microsoft Entra Usage & insights.

Screenshot of the Usage & insights report.

Kullanım & içgörüleri bölümünde çeşitli raporlar mevcuttur. Bu raporlardan bazıları önizleme aşamasındadır.

  • Microsoft Entra uygulama etkinliği (önizleme)
  • AD FS uygulama etkinliği
  • Kimlik doğrulama yöntemleri etkinliği
  • Hizmet sorumlusu oturum açma etkinliği (önizleme)
  • Uygulama kimlik bilgisi etkinliği (önizleme)

Microsoft 365 etkinlik günlükleri

Microsoft 365 etkinlik günlüklerini Microsoft 365 yönetim merkezi görüntüleyebilirsiniz. Microsoft 365 etkinliği ve Microsoft Entra etkinlik günlükleri çok sayıda dizin kaynağını paylaşır. Microsoft 365 etkinlik günlüklerinin tam görünümünü yalnızca Microsoft 365 yönetim merkezi sağlar.

Office 365 Yönetim API'lerini kullanarak Microsoft 365 etkinlik günlüklerine program aracılığıyla erişebilirsiniz.

Sonraki adımlar