通过

什么是 Microsoft Entra 登录日志?

Microsoft Entra 将所有登录记录到 Microsoft Entra 租户中,其中包括内部应用和资源。 IT 管理员需要了解登录日志详细信息的含义,以便可以正确解释日志值。

查看登录错误和模式可以获得有关用户如何访问应用程序和服务的有用见解。 Microsoft Entra ID 提供的登录日志是信息量十足的一种活动日志,可对其进行分析。 本文介绍登录日志的几个关键方面。

还可以使用另外三种活动日志来帮助监视租户的运行状况:

  • 审核:有关应用于租户的更改(如用户和组管理)或应用于租户资源的更新的信息。
  • 注册(预览版) - 仅适用于 外部租户 ,有关所有自助注册尝试的信息,包括成功注册和失败尝试。
  • 预配:由预配服务执行的活动(例如在 ServiceNow 中创建组,或从 Workday 导入用户)。

登录日志有哪些作用?

可以使用登录日志回答如下问题:

  • 本周有多少用户登录特定应用程序?
  • 过去 24 小时内发生了多少次失败的登录尝试?
  • 用户是否从特定浏览器或操作系统登录?
  • 托管标识和服务主体访问了我的哪些 Azure 资源?

还可以通过标识以下详细信息来描述与登录请求关联的活动:

  • 用户:执行登录的身份(用户)。
  • 方式:用于登录的客户端(应用程序)。
  • 对象:身份访问的目标(资源)。

注意

登录日志中的条目是系统生成的,无法更改或删除。

如何访问登录日志?

有多种方法可以访问日志,具体取决于你的需求。 有关详细信息,请参阅如何访问活动日志

在 Microsoft Entra 管理中心中,查看登录日志。

  1. 至少以报表读取者身份登录到 Microsoft Entra 管理中心
  2. 浏览到 Entra ID>监控和运行状况>登录日志

如果要更有效地使用 Microsoft Entra 管理中心中的登录日志,请调整筛选器以只查看一组特定的日志。 有关详细信息,请参阅筛选器登录日志

登录日志的类型有哪些?

登录日志预览中有四种类型的日志:

经典登录日志仅包含交互式用户登录。

Microsoft Entra 代理 ID

Microsoft Entra Agent ID 是在 Microsoft Build 2025 大会上发布的,它提供了一个统一的目录来记录在 Microsoft Copilot Studio 和 Azure AI Foundry 中创建的所有代理身份。 使用此初始版本,IT 管理员可以直接在 Microsoft Entra 管理中心(包括更新的登录日志)中查看和管理代理标识。 由于代理可以使用用户委托权限或仅限应用的权限进行操作,因此其登录活动可能会出现在四种登录日志类型的每一种中。

新的复杂登录日志资源类型 agentSignIn已添加到 Microsoft Entra 登录日志。 此资源类型包含有关代理的属性,例如代理是应用或应用的实例。 如果代理类型为 agenticAppInstance,则包含该 parentID 属性以提供预配代理的可跟踪性。

Microsoft Entra 管理中心和 Microsoft Graph API 中提供了新的登录日志资源类型。

  • 使用 Microsoft Entra 管理中心登录日志中的 isAgent 筛选器仅筛选出代理登录事件。
  • 企业应用程序中,将 应用程序类型 筛选器设置为 代理 ID(预览版), 以查看租户中的所有代理标识。 然后,从应用详细信息页中选择 “登录日志 ”以查看登录活动。
  • 有关 Microsoft Graph 中的资源类型的信息,请参阅 agentSignIn

有关详细信息,请参阅 Microsoft Entra 博客 公告。

其他服务使用的登录数据

Azure 和 Microsoft Entra 中的多个服务使用登录数据来监视风险登录、提供应用程序使用情况的见解,等等。

Microsoft Entra ID 保护

Microsoft Entra ID 保护概述中提供了与风险登录相关的登录日志数据可视化效果,其中使用了以下数据:

  • 有风险用户
  • 风险用户登录
  • 风险工作负载标识

有关 Microsoft Entra ID 保护工具的详细信息,请参阅 Microsoft Entra ID 保护概述

Microsoft Entra 使用情况和见解

若要查看特定于应用程序的登录数据,请浏览到 Microsoft Entra ID>监视和运行状况>使用情况和见解。 这些报告更详细地展示了 Microsoft Entra 应用程序活动和 AD FS 应用程序活动的登录信息。 有关详细信息,请参阅 Microsoft Entra 使用情况&见解

使用情况和见解报表的屏幕截图。

使用情况和见解中有多个报表。 其中一些报表处于预览状态。

  • Microsoft Entra 应用程序活动(预览版)
  • AD FS 应用程序活动
  • 身份验证方法活动
  • 服务主体登录活动
  • 应用程序凭据活动

Microsoft 365 活动日志

可以从 Microsoft 365 管理中心查看 Microsoft 365 活动日志。 Microsoft 365 活动和 Microsoft Entra 活动日志共享大量的目录资源。 只有 Microsoft 365 管理中心提供 Microsoft 365 活动日志的完整视图。

你可以使用 Office 365 管理 API 以编程方式访问 Microsoft 365 活动日志。