什麼是 Microsoft Entra 登入記錄?
Microsoft Entra 會將所有登入記錄到包含內部應用程式和資源的 Azure 租用戶中。 身為 IT 管理員,您必須知道登入記錄中的值是什麼意思,使得您可以正確地解讀記錄值。
檢閱登入錯誤和模式,可讓您深入了解使用者如何存取應用程式和服務。 Microsoft Entra ID 所提供的登入記錄是一種功能強大的活動記錄,可供您進行分析。 本文說明如何存取和使用登入記錄。
登入記錄的預覽檢視包括互動式和非互動式使用者登入,以及服務主體和受控識別登入。您仍然可以檢視傳統登入記錄,其中只包含互動式登入。
另外還有兩個活動記錄可用來協助監視租用戶的健康情況:
授權和角色需求
所需的角色和授權會根據報告而有所不同。 需要個別權限才能存取 Microsoft Graph 中的監視和健康情況資料。 建議您使用具有最低權限存取權的角色,以符合零信任指導。
| 記錄/報告 | 角色 | 授權 |
|---|---|---|
| Audit | 報告讀取者 安全性讀取者 安全性系統管理員 全域讀取者 |
所有版本的 Microsoft Entra ID |
| 登入 | 報告讀取者 安全性讀取者 安全性系統管理員 全域讀取者 |
所有版本的 Microsoft Entra ID |
| 佈建 | 報告讀取者 安全性讀取者 安全性系統管理員 全域讀取者 安全性操作員 應用程式系統管理員 雲端應用程式管理員 |
Microsoft Entra ID P1 或 P2 |
| 自訂安全性屬性稽核記錄* | 屬性記錄管理員 屬性記錄讀取者 |
所有版本的 Microsoft Entra ID |
| 使用量和深入解析 | 報告讀取者 安全性讀取者 安全性系統管理員 |
Microsoft Entra ID P1 或 P2 |
| 身分識別保護** | 安全性系統管理員 安全性操作員 安全性讀取者 全域讀取者 |
Microsoft Entra ID Free Microsoft 365 Apps Microsoft Entra ID P1 或 P2 |
| Microsoft Graph 活動記錄 | 安全性系統管理員 存取對應記錄目的地中的資料的權限 |
Microsoft Entra ID P1 或 P2 |
*檢視稽核記錄中的自訂安全性屬性或為自訂安全性屬性建立診斷設定需要其中一個「屬性記錄」角色。 您也需要適當的角色才能檢視標準稽核記錄。
**「身分識別保護」的存取和功能層級會隨著角色和授權而有所不同。 如需詳細資訊,請參閱身分識別保護的授權需求。
記錄有什麼功能?
您可以使用登入記錄來回答下列問題:
- 本週有多少使用者登入特定應用程式?
- 過去 24 小時內發生多少次登入嘗試失敗?
- 使用者是否從特定瀏覽器或作業系統登入?
- 我的哪一個 Azure 資源是由受控識別和服務主體存取?
您也可以藉由識別下列詳細資料來說明與登入要求相關聯的活動:
- 誰 - 執行登入的身分識別 (使用者)。
- 作法:用來登入的用戶端 (應用程式)。
- 什麼 - 身分識別所存取的目標 (資源)。
登入記錄的類型為何?
登入記錄預覽中有四種類型的記錄:
- 互動式使用者登入
- 非互動式使用者登入
- 服務主體登入
- 受控識別登入
傳統登入記錄只會包含互動式使用者登入。
注意
登入記錄中的項目由系統產生,無法進行變更或刪除。
互動式使用者登入
互動式登入是由使用者執行。 他們會提供驗證因數給 Microsoft Entra ID。 該驗證因數也可以與協助程式應用程式互動,例如 Microsoft Authenticator 應用程式。 使用者可以向 Microsoft Entra ID 或協助程式應用程式提供密碼、MFA 挑戰的回應、生物特徵辨識因數或 QR 代碼。 此記錄也包含來自與 Microsoft Entra ID 同盟之身分識別提供者的同盟登入。
報告大小: 小
範例:
- 使用者在 [Microsoft Entra 登入] 畫面中提供使用者名稱和密碼。
- 使用者通過 SMS MFA 挑戰。
- 使用者提供生物特徵辨識手勢,透過 Windows Hello 企業版解除鎖定其 Windows PC。
- 使用者透過 AD FS SAML 判斷提示,與 Microsoft Entra ID 同盟。
除了預設欄位以外,互動式登入記錄也會顯示:
- 登入位置
- 是否已套用條件式存取
特殊考量
互動式登入記錄上的非互動式登入
先前,來自 Microsoft Exchange 用戶端的一些非互動式登入會包含在互動式使用者登入記錄中,以取得更佳的可見度。 在 2020 年 11 月引進非互動式使用者登入記錄之前,需要提高可見度。 不過,請務必注意,由於在引進個別的非互動式記錄之前系統的設定方式,某些非互動式登入,例如使用 FIDO2 密鑰的登入,可能仍會標示為互動式。 這些登入可能會顯示互動式詳細資料,例如用戶端認證類型和瀏覽器資訊,即使其在技術上不是互動式登入也一樣。
傳遞登入
Microsoft Entra ID 發行權杖以進行驗證和授權。 在某些情況下,登入 Contoso 租用戶的使用者可能會嘗試存取 Fabrikam 租用戶中的資源,但其沒有存取權。 未授權權杖稱為傳遞權杖,會發行給 Fabrikam 租用戶。 傳遞權杖不允許使用者存取任何資源。
先前,檢閱此情況的記錄時,主租用戶的登入記錄 (在此案例中為 Contoso) 不會顯示登入嘗試,因為權杖未授權存取含任何宣告的資源。 登入權杖僅用於顯示適當的失敗訊息。
傳遞登入嘗試現在會出現在主租用戶登入記錄和任何相關的租用戶限制登入記錄中。 此更新可讓您更清楚了解使用者的使用者登入嘗試,並更深入了解租用戶限制原則。
crossTenantAccessType 屬性現在會顯示 passthrough 以區分傳遞登入,且可在 Microsoft Entra 系統管理中心和 Microsoft Graph 中取得。
第一方應用程式專用服務主體登入
服務主體登入記錄不包含第一方應用程式專用登入活動。 在第一方應用程式取得內部 Microsoft 作業的權杖,而使用者沒有方向或內容的情況下,就會發生這種類型的活動。 我們會排除這些記錄,因此您不需要支付租用戶內與內部 Microsoft 權杖相關的記錄。
若使用 SignInLogs 將 MicrosoftGraphActivityLogs 路由至相同的 Log Analytics 工作區,您可能會發現與服務主體登入不相關的 Microsoft Graph 事件。 透過此整合,您可以交叉參考為 Microsoft Graph API 呼叫所核發的權杖和登入活動。 服務主體登入記錄將缺少用於登入記錄的 UniqueTokenIdentifier 和 Microsoft Graph 活動記錄中的 SignInActivityId。
非互動式使用者登入
非互動式登入都是代表使用者來完成的。 這些委派登入是由用戶端應用程式或 OS 元件代表使用者執行,不需要使用者提供驗證因數。 相反,Microsoft Entra ID 會識別何時需要重新整理使用者的權杖,並在幕後執行此操作,而不會中斷使用者的工作階段。 一般情況下,使用者會認為這些登入發生在背景中。
報告大小: 大
範例:
- 用戶端應用程式使用 OAuth 2.0 重新整理權杖來取得存取權杖。
- 用戶端使用 OAuth 2.0 授權碼來取得存取權杖和重新整理權杖。
- 使用者在 Microsoft Entra 聯結的電腦上執行單一登入 (SSO) 至 Web 或 Windows 應用程式 (不需要提供驗證因數或與 Microsoft Entra 提示互動)。
- 當使用者在行動裝置上有使用 FOCI (用戶端識別碼的系列) 的工作階段時,會登入第二個 Microsoft Office 應用程式。
除了預設欄位以外,非互動式登入記錄也會顯示:
- 資源識別碼
- 分組登入數目
您無法自訂此報表中顯示的欄位。
為了更輕鬆地摘要資料,系統會將非互動式登入事件加以分組。 用戶端通常會在短期內代表相同使用者建立非互動式登入。 非互動式登入會共用相同的特性,但嘗試登入的時間除外。 例如,用戶端可能每小時代表一位使用者取得一次存取權杖。 如果使用者或用戶端的狀態並未改變,則每個存取權杖要求的 IP 位址、資源和其他所有資訊都相同。 唯一變更的狀態是登入的日期和時間。
若 Microsoft Entra 記錄相同的多筆登入 (除了時間和日期不同以外),便會將這些來自相同實體的登入彙總至單一資料列。 具有多個相同登入 (除了發行的日期和時間以外) 的資料列在 [登入次數] 資料行中的值會大於 1。 這些彙總的登入可能也會有相同的時間戳記。 [時間彙總] 篩選條件可設定為 1 小時、6 小時或 24 小時。 您可以展開資料列,以查看所有不同的登入及其不同的時間戳記。
當下列資料相符時,登入會在非互動式使用者中彙總:
- 申請
- User
- IP 位址
- 狀態
- 資源識別碼
注意
機密用戶端所執行之非互動式登入的 IP 位址不會與重新整理權杖要求的實際來源 IP 相符。 它顯示的是用於原始權杖發行的原始 IP。
服務主體登入
與互動式和非互動式使用者登入不同,服務主體登入未涉及使用者。 而是透過任何非使用者帳戶進行登入,例如應用程式或服務主體 (除了受控識別登入之外,其僅包含在受控識別登入記錄中)。 在這些登入中,應用程式或服務會提供自己的認證,例如憑證或應用程式密碼來驗證或存取資源。
報告大小: 大
範例:
- 服務主體會使用憑證來驗證和存取 Microsoft Graph。
- 應用程式會使用用戶端密碼在 OAuth 用戶端認證流程中進行驗證。
您無法自訂此報表中顯示的欄位。
為了更輕鬆地摘要服務主體登入記錄中的資料,系統會將服務主體登入事件加以分組。 相同條件下的相同實體登入會彙總成單一資料列。 您可以展開資料列,以查看所有不同的登入及其不同的時間戳記。 當下列資料相符時,登入會彙總在服務主體報告中:
- 服務主體名稱或識別碼
- 狀態
- IP 位址
- 資源名稱或識別碼
受控識別登入
Azure 資源受控識別登入是由資源執行的登入,這些資源的祕密是由 Azure 管理,以簡化認證管理。 具有受控認證的 VM 會使用 Microsoft Entra ID 來取得存取權杖。
報告大小: 小
範例:
您無法自訂此報表中顯示的欄位。
為了更輕鬆地摘要資料,系統會將 Azure 資源受控識別登入記錄、非互動式登入事件加以分組。 相同實體的登入會彙總至單一資料列。 您可以展開資料列,以查看所有不同的登入及其不同的時間戳記。 當下列所有資料相符時,登入會彙總在受控識別報告中:
- 受控識別名稱或識別碼
- 狀態
- 資源名稱或識別碼
在清單視圖中選取項目,以顯示在某個節點下分組的所有登入。 選取分組的項目,以查看登入的所有詳細資料。
其他服務所使用的登入資料
Azure 中的數個服務會使用登入資料來監視有風險的登入,並提供應用程式使用量及其他資訊的深入解析。
Microsoft Entra ID Protection
Microsoft Entra ID Protection 概觀對於有風險的登入,會以視覺化方式提供相關登入記錄資料,並使用下列資料:
- 具風險使用者
- 風險性使用者登入
- 有風險的工作負載身分識別
如需 Microsoft Entra ID Protection 工具的詳細資訊,請參閱 Microsoft Entra ID Protection 概觀。
Microsoft Entra 使用量與深入解析
若要檢視應用程式特定的登入資料,請瀏覽至 [Microsoft Entra ID]> [監視和健康情況]> [使用量與深入解析]。 這些報告可讓您進一步了解 Microsoft Entra 應用程式活動和 AD FS 應用程式活動的登入。 如需詳細資訊,請參閱 Microsoft Entra 使用量與深入解析。
使用量與深入解析中有數個報告可用。 其中有些報告處於預覽狀態。
- Microsoft Entra 應用程式活動 (預覽)
- AD FS 應用程式活動
- 驗證方法活動
- 服務主體登入活動
- 應用程式認證活動
Microsoft 365 活動記錄
您可以從 Microsoft 365 系統管理中心中檢視 Microsoft 365 的活動記錄。 Microsoft 365 活動和 Microsoft Entra 活動記錄共用大量的目錄資源。 只有 Microsoft 365 系統管理員中心提供 Microsoft 365 活動記錄的完整檢視。
您也可以使用 Office 365 管理 API,以程式設計的方式存取 Microsoft 365 活動記錄。
意見反映
即將推出:我們會在 2024 年淘汰 GitHub 問題,並以全新的意見反應系統取代並作為內容意見反應的渠道。 如需更多資訊,請參閱:https://aka.ms/ContentUserFeedback。
提交及檢視以下的意見反映: