分享方式:

了解登入記錄活動詳細資料

  • 文章

基於合規性目的,Microsoft Entra 會記錄對 Azure 租用戶的所有登入。 身為 IT 管理員,您必須知道登入記錄中的值是什麼意思,使得您可以正確地解讀記錄值。

本文說明登入記錄中有哪些值。 這些值提供了對登入錯誤進行疑難排解的重要資訊。

登入活動元件

在 Microsoft Entra ID 中,登入活動由三個主要元件組成:

  • 誰:執行登入的身分識別 (使用者)。
  • 如何:用於存取的用戶端 (應用程式)。
  • 什麼:身分識別所存取的目標 (資源)。

調查登入時請著重在這三個元件上,以縮小搜尋範圍,避免查看所有詳細資料。 在這三個元件中,有一些相關識別碼可能會提供詳細資訊。 每個登入也都包含唯一識別碼,會將登入嘗試與相關活動相互關聯。

負責人

以下是與使用者相關聯的詳細資料:

  • User
  • 使用者名稱
  • 使用者識別碼
  • 登入識別碼
  • 使用者類型

方式

查看下列詳細資料,可識別使用者是如何登入的:

  • 驗證需求
  • 用戶端應用程式
  • 用戶端認證類型
  • 持續性存取評估

問題為何

您可以使用下列詳細資料,識別使用者嘗試存取的資源:

  • 申請
  • Application ID
  • 資源
  • 資源識別碼
  • 資源租用戶識別碼
  • 資源服務主體識別碼

唯一識別碼

登入記錄也包含數個可讓您深入了解登入嘗試的唯一識別碼。

  • 相互關聯識別碼:相互關聯識別碼可將來自相同登入工作階段的登入分組。 此值是以用戶端所傳遞的參數為基礎,因此Microsoft Entra ID 無法保證其精確度。
  • 要求識別碼:與已發行的權杖對應的識別碼。 如果您要尋找具有特定權杖的登入,您必須先從權杖中擷取要求識別碼。
  • 唯一權杖識別碼:在登入期間傳遞之權杖的唯一識別碼。 此識別碼可將登入與權杖要求相互關聯。

登入活動詳細資料

每個登入嘗試都包含與這三個主要元件相關聯的詳細資料。 詳細資料會根據登入類型組織到數個索引標籤中。

基本資訊

[基本資訊] 索引標籤包含與登入嘗試相關聯的大量詳細資料。 請記下唯一識別碼,因為在對登入問題進行疑難排解時可能會用到。 使用 [基本資訊] 索引標籤中的詳細資料時,您可以遵循如何什麼模式。

您也可以從 [基本資訊] 索引標籤啟動「登入診斷」。如需詳細資訊,請參閱如何使用登入診斷

登入錯誤碼

如果登入失敗,您可以在相關記錄項目的 [基本資訊] 索引標籤中取得原因的詳細資訊。 錯誤碼和相關聯的失敗原因會出現在詳細資料中。 如需詳細資訊,請參閱如何對登入錯誤進行疑難排解

[基本] 索引標籤上登入錯誤碼的螢幕擷取畫面。

位置和裝置

[位置] 和 [裝置資訊] 索引標籤會顯示關於使用者位置和 IP 位址的一般資訊。 [裝置資訊] 索引標籤會詳細說明用於登入的瀏覽器和作業系統。 此索引標籤也會提供裝置是否符合規範、受控或已加入混合式 Microsoft Entra 的詳細資料。

驗證詳細資料

登入記錄詳細資料中的 [驗證詳細資料] 索引標籤會提供下列資訊,以進行每個驗證嘗試:

  • 套用的驗證原則清單,例如條件式存取或安全性預設值。
  • 用於登入的驗證方法序列。
  • 驗證嘗試是否成功及其原因。

這項資訊可讓您針對使用者登入中的每個步驟進行疑難排解。 使用這些詳細資料來追蹤:

  • 受 MFA 保護的登入磁碟區。
  • 每個驗證方法的使用量和成功率。
  • 無密碼驗證方法的使用量,例如無密碼電話登入、FIDO2 和 Windows Hello 企業版。
  • 權杖宣告滿足驗證需求的頻率,例如不會以互動方式提示使用者輸入密碼或輸入 SMS OTP 時。

[驗證詳細資料] 索引標籤的螢幕擷取畫面。

條件式存取

如果您的租用戶中使用了條件式存取 (CA) 原則,您可以查看這些原則是否已套用至登入嘗試。 可套用至登入的所有原則都會列出。 原則的最終結果隨即出現,讓您能夠快速查看原則是否對登入嘗試產生影響。

  • 成功:CA 原則已成功套用至登入嘗試。
  • 失敗:CA 原則已套用至登入嘗試,但登入嘗試失敗。
  • 未套用:登入不符合套用原則的準則。
  • 已停用:在嘗試登入時,原則處於停用狀態。

僅限報表

由於條件式存取 (CA) 原則可能變更使用者的登入體驗,且可能會中斷其程序,請務必確定您的原則已正確設定。 使用報告專用模式時,您可以設定原則,並在啟用原則前評估其潛在效果。

登入記錄的這個索引標籤會顯示原則範圍內的登入嘗試有何結果。 如需詳細資訊,請參閱什麼是條件式存取報告專用模式?一文。

登入詳細資料和考量

在檢閱登入記錄時,請務必考量下列案例。

  • IP 位址和位置:IP 位址與該位址實際所在的電腦之間沒有任何明確的連線。 行動提供者和 VPN 會從中央集區發出 IP 位址,而中央集區通常距離用戶端裝置的使用位置很遠。 目前,將 IP 位址轉換為實體位置是根據追蹤、登錄資料、反向查詢和其他資訊下所可取得的最佳結果。

  • 條件式存取:

    • Not applied:在登入期間未將原則套用至使用者和應用程式。
    • Success:在登入期間為使用者和應用程式套用或評估的一或多個條件式存取原則 (但不一定是其他條件)。 即使條件式存取原則可能不適用,但若已評估,條件式存取狀態仍會顯示 [成功]
    • Failure:登入已滿足至少一項條件式存取原則的使用者和應用程式條件,而授與控制項並未滿足或設為封鎖存取。

  • 持續性存取評估:顯示是否已將持續性存取評估 (CAE) 套用至登入事件。

  • 跨租用戶存取類型:描述執行者用來存取資源的跨租用戶存取類型。 可能的值包括:

    • none - 未跨越 Microsoft Entra 租用戶界限的登入事件。
    • b2bCollaboration - 使用 B2B 共同作業的來賓使用者執行的跨租用戶登入。
    • b2bDirectConnect - B2B 執行的跨租用戶登入。
    • microsoftSupport - Microsoft 外部租用戶中的 Microsoft 支援專員執行的跨租用戶登入。
    • serviceProvider - 雲端服務提供者 (CSP) 或類似管理員代表該 CSP 客戶在租用戶中執行的跨租用戶登入。
    • unknownFutureValue - MS Graph 所使用的 Sentinel 值,可協助用戶端處理列舉清單中的變更。 如需詳細資訊,請參閱使用 Microsoft Graph 的最佳做法

  • 租用戶:登入記錄會追蹤在跨租用戶案例中相關的兩個租用戶識別碼:

    • 主租用戶 - 擁有使用者身分識別的租用戶。 Microsoft Entra ID 會追蹤識別碼和名稱。
    • 資源租用戶 - 擁有 (目標) 資源的租用戶。
    • 基於隱私權承諾,Microsoft Entra ID 不會在跨租用戶案例期間填入主租用戶名稱。
    • 若要找出租用戶外部的使用者如何存取您的資源,請選取主租用戶與資源租用戶不符的所有項目。

  • 多重要素驗證:當使用者使用 MFA 登入時,實際上會發生數個不同的 MFA 事件。 例如,如果使用者輸入錯誤的驗證碼或未及時回應,就會傳送更多 MFA 事件,以反映登入嘗試的最新狀態。 這些登入事件會顯示為 Microsoft Entra 登入記錄中的一個明細項目。 不過,同一個登入事件在 Azure 監視器中會顯示為多個明細項目。 這些事件全都有相同的 correlationId

  • 驗證需求:顯示要成功登入,所有登入步驟所需的最高層級驗證。

    • 圖形 API 支援 $filter (僅限 eqstartsWith 運算子)。

  • 登入事件活動類型:指出事件代表的登入類別。

    • 使用者登入類別可以是 interactiveUsernonInteractiveUser,而且會對應至登入資源上的 isInteractive 屬性的值。
    • 受控識別類別是 managedIdentity
    • 服務主體類別是 servicePrincipal
    • Microsoft Graph API 支援:$filter (僅限 eq 運算子)。
    • Azure 入口網站不會顯示此值,但登入事件會放置於符合其登入事件類型的索引標籤中。 可能的值包括:
      • interactiveUser
      • nonInteractiveUser
      • servicePrincipal
      • managedIdentity
      • unknownFutureValue

  • 使用者類型:範例包括 memberguestexternal

  • 驗證詳細資料:

    • OATH 驗證碼 會記錄為 OATH 硬體和軟體權杖的驗證方法 (例如 Microsoft Authenticator 應用程式)。
    • [驗證詳細資料] 索引標籤一開始會顯示不完整或不正確的資料,直到記錄資訊完全彙總為止。 已知範例包括:
      • 一開始記錄登入事件時,會不正確地顯示由權杖中宣告滿足訊息。
      • 一開始不會記錄 [主要驗證] 資料列。
    • 如果您不確定記錄中的詳細資料,請收集要求識別碼相互關聯識別碼,以用於進一步分析或疑難排解。
    • 套用了驗證或工作階段存留期的條件式存取原則時,將會列在登入嘗試上方。 若您未看到其中一個選項,表示目前未套用這些原則。 如需詳細資訊,請參閱條件式存取工作階段控制