你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

Azure AD 登录日志中的基本信息

Azure AD 将所有登录记录到 Azure 租户中以实现符合性。 IT 管理员需要了解登录日志中的值的含义,以便可以正确解释日志值。

本文介绍登录日志的“基本信息”选项卡上的值。

唯一标识符

在 Azure AD 中,资源访问具有三个相关组件:

  • 用户 – 进行登录的身份(用户)。
  • 方式 – 用于访问的客户端(应用程序)。
  • 对象 – 身份访问的目标(资源)。

每个组件都有一个关联的唯一标识符 (ID)。 下面是使用 Microsoft Azure 经典部署模型访问 Azure 门户的用户示例。

Open audit logs

租户标识符

登录日志跟踪两个租户标识符:

  • 主租户 – 拥有用户身份的租户。
  • 资源租户 – 拥有(目标)资源的租户。

这些标识符与跨租户方案相关。 例如,要了解租户外部的用户如何访问资源,请选择主租户与资源租户不匹配的所有条目。 对于主租户,Azure AD 会跟踪 ID 和名称。

请求 ID

请求 ID 是对应于已颁发令牌的标识符。 如果你正在查找使用特定令牌的登录,则需要先从令牌中提取请求 ID。

相关性 ID

相关 ID 组从同一登录会话登录。 为方便起见,已实现标识符。 不保证其准确度,因为该值基于客户端传递的参数。

登录标识符

登录标识符是用户提供给 Azure AD 的字符串,用于在尝试登录时标识自己。 它通常是 UPN,但也可以是另一个标识符,例如电话号码。

身份验证要求

此属性显示登录成功的所有登录步骤所需的最高级别的身份验证。 在图形 API 中,支持 $filter(仅限 eqstartsWith 运算符)。

登录事件类型

指示事件表示的登录的类别。 对于用户登录,类别可以是 interactiveUsernonInteractiveUser,并且与登录资源上的 isInteractive 属性的值相对应。 对于托管标识登录,类别为 managedIdentity。 对于服务主体登录,类别为 servicePrincipal。 Azure 门户不会显示此值,但登录事件会置于与其登录事件类型匹配的选项卡中。 可能的值包括:

  • interactiveUser
  • nonInteractiveUser
  • servicePrincipal
  • managedIdentity
  • unknownFutureValue

Microsoft 图形 API 支持 $filter(仅限 eq 运算符)。

用户类型

用户的类型。 示例包括 memberguestexternal

跨租户访问类型

此属性描述参与者用于访问资源的跨租户访问的类型。 可能的值为:

  • none - 未跨越 Azure AD 租户边界的登录事件。
  • b2bCollaboration- 使用 B2B 协作由来宾用户执行的跨租户登录。
  • b2bDirectConnect - B2B 执行的跨租户登录。
  • microsoftSupport- 由 Microsoft 客户租户中的 Microsoft 支持代理执行的跨租户登录。
  • serviceProvider - 由云服务提供商 (CSP) 或代表租户中 CSP 客户的类似管理员进行的跨租户登录
  • unknownFutureValue - MS Graph 用于帮助客户端处理枚举列表中的更改的 sentinel 值。 有关详细信息,请参阅使用 Microsoft Graph的最佳做法

如果登录未超过租户的边界,则值为 none

条件访问评估

此值显示是否对登录事件应用了连续访问评估 (CAE)。 每项身份验证有多个登录请求。 某些项显示在“交互”选项卡上,而其他项显示在“非交互”选项卡上。 CAE 仅对其中一个请求显示为 true,它可以在“交互”选项卡或“非交互”选项卡上显示。有关详细信息,请参阅在 Azure AD 中使用持续访问评估进行监视和故障排除

后续步骤