如何自訂和篩選身分識別活動記錄

登入記錄是一種常用的工具，可針對使用者存取問題進行疑難排解，並調查風險性登入活動。 稽核記錄會收集 Microsoft Entra ID 中的每個記錄事件，並可用來調查您環境的變更。 有超過 30 個資料行可選擇，以自訂 Microsoft Entra 系統管理中心的登入記錄檢視。 您也可以根據需要，自訂和篩選稽核記錄與佈建記錄。

本文說明如何自訂資料行並篩選記錄，以便更有效率地尋找所需的資訊。

必要條件

需要的角色和授權會根據報表而有所不同。 需要個別權限才能存取 Microsoft Graph 中的監視和健康情況資料。 建議您使用具有最低權限存取權的角色，以符合零信任指導。

記錄/報告	角色	授權
Audit	報告讀取者 安全性讀取者 安全性系統管理員 全域讀取者	所有版本的 Microsoft Entra ID
登入	報告讀取者 安全性讀取者 安全性系統管理員 全域讀取者	所有版本的 Microsoft Entra ID
佈建	報告讀取者 安全性讀取者 安全性系統管理員 全域讀取者 安全性操作員 應用程式系統管理員 雲端應用程式管理員	Microsoft Entra ID P1 或 P2
自訂安全性屬性稽核記錄*	屬性記錄管理員 屬性記錄讀取者	所有版本的 Microsoft Entra ID
使用量和深入解析	報告讀取者 安全性讀取者 安全性系統管理員	Microsoft Entra ID P1 或 P2
身分識別保護**	安全性系統管理員 安全性操作員 安全性讀取者 全域讀取者	Microsoft Entra ID Free Microsoft 365 Apps Microsoft Entra ID P1 或 P2
Microsoft Graph 活動記錄	安全性系統管理員 存取對應記錄目的地中資料的權限	Microsoft Entra ID P1 或 P2

*檢視稽核記錄中的自訂安全性屬性，或為自訂安全性屬性建立診斷設定需要其中一個「屬性記錄」角色。 您也需要適當的角色才能檢視標準稽核記錄。

**「身分識別保護」的存取和功能層級會隨著角色和授權而有所不同。 如需詳細資訊，請參閱身分識別保護的授權需求。

如何存取 Microsoft Entra 系統管理中心的活動記錄？

您可以在 https://mysignins.microsoft.com 隨時存取自己的登入記錄。 您也可以從 Microsoft Entra ID 中的 [使用者] 和 [企業應用程式]，存取登入記錄。

提示

本文中的步驟可能會隨著您開始使用的入口網站而稍有不同。

1. 以至少報表讀者身分登入 Microsoft Entra 系統管理中心。
2. 瀏覽至 [身分識別] > [監視和健康情況] > [稽核記錄] / [登入記錄] / [佈建記錄]。

稽核記錄

透過 Microsoft Entra 稽核記錄中的資訊，您可以存取系統活動的所有記錄，以用於符合規定。 您可以從 Microsoft Entra ID 的 [監控與健康情況] 區段存取稽核記錄，您可以在其中排序和篩選每個類別和活動。 您也可以針對您要調查的服務，在系統管理中心的區域存取稽核記錄。

例如，如果您要查看 Microsoft Entra 群組的變更，您可以從 [Microsoft Entra ID] > [群組] 存取稽核記錄。 當您從服務存取稽核記錄時，會根據服務自動調整篩選條件。

自訂稽核記錄的版面配置

您可以自訂稽核記錄中的資料行，以便只檢視您需要的資訊。 [服務]、[類別] 和 [活動] 資料行彼此相關，因此這些資料行應該一律顯示。

篩選稽核記錄

當您依 [服務] 篩選記錄時，[類別] 和 [活動] 詳細資料會自動變更。 在某些情況下，可能只有一個類別或活動。 如需這些詳細資料所有潛在組合的詳細資料表，請參閱稽核活動。

• 服務：預設為所有可用的服務，但您可以從下拉式清單中選取選項，將清單篩選為一或多個。

• 類別：預設為所有類別，但可以篩選以檢視活動的類別，例如變更原則或啟用合格的 Microsoft Entra 角色。

• 活動：根據您的類別和選擇的活動資源類型而定。 您可以選取您想要查看的特定活動或全選。

  您可以使用 Microsoft Graph API 取得所有稽核活動的清單：https://graph.windows.net/<tenantdomain>/activities/auditActivityTypesV2?api-version=beta

• 狀態：可讓您查看活動是否成功或失敗的結果。

• 目標：可讓您搜尋活動的目標或收件者。 依名稱或使用者主體名稱 (UPN) 的前幾個字母搜尋。 目標名稱和 UPN 會區分大小寫。

• 起始者：可讓您根據起始活動者，使用其名稱或 UPN 的前幾個字母來進行搜尋。 執行者名稱和 UPN 會區分大小寫。

• 日期範圍：可讓您定義傳回資料的時間範圍。 您可以搜尋過去 7 天、24 小時或自訂範圍。 當您選取自訂時間範圍時，您可以設定開始時間和結束時間。

登入記錄

在登入記錄頁面上，您可以在四種登入記錄類型之間切換。 如需這四種記錄類型的詳細資訊，請參閱什麼是 Microsoft Entra 登入記錄？。

• 互動式使用者登入：使用者在此登入中提供驗證因素，例如密碼、透過 MFA 應用程式的回應、生物特徵辨識因素或 QR 代碼。

• 非互動式使用者登入：用戶端代表使用者執行的登入。 這些登入不需要使用者進行任何互動或驗證因素。 例如，使用重新整理和存取權杖來進行驗證和授權，不需要使用者輸入認證。

• 服務主體登入：應用程式和服務主體登入，未涉及任何使用者。 在這些登入中，應用程式或服務會以自己的名義提供認證，以驗證或存取資源。

• Azure 資源登入的受控識別：透過具備 Azure 管理密碼的 Azure 資源登入。 如需詳細資訊，請參閱什麼是適用於 Azure 資源的受控識別？。

自訂登入記錄的版面配置

您可以使用超過 30 個資料行選項來自訂互動式使用者登入記錄的資料行。 若要更有效率地檢視登入記錄，請花一些時間自訂您所需的檢視。

1. 從記錄頂端的功能表中選取 [資料行]。
2. 選取您要檢視的資料行，並選取視窗底部的 [儲存] 按鈕。

篩選登入記錄

篩選登入記錄是一個實用的方式，可快速尋找符合特定案例的記錄。 例如，您可以篩選清單，只檢視在特定地理位置、從特定作業系統或特定類型的認證中發生的登入。

某些篩選條件選項會提示您選取更多選項。 依照提示進行篩選所需的選取。 您可以新增多個範圍。

1. 選取 [新增篩選條件] 按鈕、選擇篩選條件選項，然後選取 [套用]。

   

2. 輸入特定詳細資料 (例如要求標識碼) 或選取另一個篩選選項。

   

您可以篩選數個詳細資料。 下表描述一些常用的篩選條件。 並未描述所有篩選條件選項。

篩選	描述
要求識別碼	登入要求的唯一識別碼
相互關聯 ID	屬於單一登入嘗試的所有登入要求唯一識別碼
User	使用者的使用者主體名稱 (UPN)
申請	以登入要求為目標的應用程式
狀態	選項為 [成功]、[失敗] 和 [已中斷]
資源	用於登入的服務名稱
IP 位址	用於登入的用戶端 IP 位址
條件式存取	選項為 [未套用]、[成功] 和 [失敗]

現在您的登入記錄資料表已根據您的需求設定格式，因此您可以更有效地分析資料。 藉由將記錄匯出至其他工具，即可進一步分析和保留登入資料。

自訂資料行並調整篩選條件有助於查看具有類似特性的記錄。 若要查看登入的詳細資料，請選取資料表中的列，以開啟 [活動詳細資料] 面板。 面板中有數個索引標籤可供探索。 如需詳細資訊，請參閱登入記錄活動詳細資料。

用戶端應用程式篩選

檢閱登入的來源時，您可能需要使用 [用戶端應用程式] 篩選條件。 用戶端應用程式有兩個子類別：[新式驗證用戶端] 和 [舊版驗證用戶端]。 新式驗證用戶端還有兩個子類別：[瀏覽] 和 [行動裝置應用程式和桌面用戶端]。 舊版驗證用戶端有數個子類別，定義於 [舊版驗證客戶端詳細資料] 資料表中。

[瀏覽器] 登入包含網頁瀏覽器的所有登入嘗試。 當您從瀏覽器檢視登入的詳細資料時，[基本資訊] 索引標籤會顯示 [用戶端應用程式：瀏覽器]。

在 [裝置資訊] 索引標籤上，[瀏覽器] 會顯示網頁瀏覽器的詳細資料。 瀏覽器類型和版本會列出，但在某些情況下，無法使用瀏覽器和版本的名稱。 您可能會看到類似 Rich Client 4.0.0.0 的項目。

舊版驗證用戶端詳細資料

下表提供每個 [舊版驗證用戶端] 選項的詳細資料。

名稱	描述
已驗證的 SMTP	POP 與 IMAP 用戶端傳送電子郵件訊息時使用。
自動探索	Outlook 與 EAS 用戶端尋找及連線至 Exchange Online 中的信箱時使用。
Exchange ActiveSync	此篩選條件會顯示已嘗試過 EAS 通訊協定的所有登入嘗試。
Exchange ActiveSync	顯示使用 Exchange ActiveSync 連線至 Exchange Online 用戶端應用程式使用者的所有登入嘗試
Exchange Online PowerShell	透過遠端 PowerShell 連線至 Exchange Online 時使用。 如果您封鎖 Exchange Online PowerShell 的基本驗證，則需使用 Exchange Online PowerShell 模組進行連線。 如需指示，請參閱使用多重要素驗證連線至 Exchange Online PowerShell。
Exchange Web 服務	Outlook、Mac 版 Outlook 及協力廠商應用程式使用的程式設計介面。
IMAP4	使用 IMAP 取出電子郵件的舊版郵件用戶端。
經由 HTTP 的 MAPI	用於 Outlook 2010 和之後的版本。
離線通訊錄	Outlook 所下載與使用的一份位址清單集合。
Outlook 無所不在 (經由 HTTP 的 RPC)	用於 Outlook 2016 和之前的版本。
Outlook 服務	用於 Windows 10 電子郵件與行事曆應用程式。
POP3	使用 POP3 取出電子郵件的舊版郵件用戶端。
報告 Web 服務	用於取出 Exchange Online 中的報告資料。
其他用戶端	顯示未包含或不明用戶端應用程式使用者的所有登入嘗試。

佈建記錄

若要更有效率地檢視佈建記錄，請花一些時間自訂您所需的檢視。 您可以指定要包含哪些資料行，並篩選資料以縮小範圍。

自訂版面配置

佈建記錄具有預設檢視，但您可以自訂資料行。

1. 從記錄頂端的功能表中選取 [資料行]。
2. 選取您要檢視的資料行，並選取視窗底部的 [儲存] 按鈕。

篩選結果

篩選佈建資料時，會根據租用戶動態填入某些篩選值。 例如，如果您的租用戶中沒有任何「建立」事件，則無法使用 =[建立] 篩選選項。

[身分識別] 篩選可讓您指定您關心的名稱或身分識別。 此身分識別可能是使用者、群組、角色或其他物件。

您可以依物件的名稱或識別碼進行搜尋。 識別碼會因案例而異。

• 將物件從 Microsoft Entra ID 佈建到 Salesforce 時，來源識別碼是 Microsoft Entra ID 中使用者的物件識別碼。 目標識別碼是 Salesforce 中的使用者識別碼。
• 從 Workday 佈建至 Microsoft Entra ID 時，來源識別碼會是 Workday 背景工作角色員工識別碼。 目標識別碼是 Microsoft Entra ID 中的使用者識別碼。
• 如果您要佈建 [跨租用戶同步處理] 的使用者，[來源識別碼] 是來源租用戶中使用者的識別碼。 目標識別碼是目標租用戶中的使用者識別碼。

注意

使用者的名稱可能不一定會出現在 [身分識別] 資料行中。 一律會有一個識別碼。

[日期] 篩選條件可讓您定義傳回資料的時間範圍。 可能的值包括：

• 一個月
• 七天
• 30 天
• 24 小時
• 自訂時間間隔 (設定開始日期和結束日期)

[狀態] 篩選條件可讓您選取︰

• 全部
• 成功
• 失敗
• 已略過

[動作] 篩選可讓您篩選這些動作：

• 建立​​
• Update
• 刪除
• 停用
• 其他

除了預設檢視的篩選之外，您還可以設定下列篩選。

• 作業識別碼：唯一的作業識別碼會與您已啟用佈建的每個應用程式相關聯。

• 週期識別碼：週期識別碼可唯一地識別佈建週期。 您可以將此識別碼與產品支援共用，以查詢發生此事件的週期。

• 變更識別碼：變更識別碼是佈建事件的唯一識別碼。 您可以將此識別碼與產品支援共用，以查詢佈建事件。

• 來源系統：您可以指定要從何處佈建身分識別。 例如，當您將物件從 Microsoft Entra ID 佈建至 ServiceNow 時，來源系統會是 Microsoft Entra ID。

• 目標系統：您可以指定要將身分識別佈建至何處。 例如，當您將物件從 Microsoft Entra ID 佈建至 ServiceNow 時，目標系統會是 ServiceNow。

• 應用程式：您只能顯示其顯示名稱或物件識別碼包含特定字串的應用程式記錄。 針對跨租用戶同步處理，請使用設定的物件識別碼，而不是應用程式識別碼。

下一步

• 分析登入錯誤
• 登入錯誤疑難排解
• 探索所有稽核記錄類別和活動