Azure Active Directory 中的登入記錄
檢閱登入錯誤和模式,可讓您深入了解使用者如何存取應用程式和服務。 Azure Active Directory (Azure AD) 提供的登入記錄是 IT 管理員可以分析的強大活動記錄類型。 本文說明如何存取和使用登入記錄。
另外還有兩個活動記錄可用來協助監視租用戶的健康情況:
記錄有什麼功能?
您可以使用登入記錄來尋找問題的答案,例如:
使用者的登入模式為何?
一週內有多少使用者登入?
這些登入的狀態為何?
如何存取登入記錄?
您可以在 https://mysignins.microsoft.com (英文) 隨時存取自己的登入歷程記錄。
若要存取租用戶的登入記錄,您必須具備下列其中一個角色:
- 全域管理員
- 安全性系統管理員
- 安全性讀取者
- 全域讀者
- 報告讀者
登入活動報告適用於所有版本的 Azure AD。 如果您有 Azure Active Directory P1 或 P2 授權,可以透過 Microsoft Graph API 來存取登入活動報告。 請參閱開始使用 Azure Active Directory Premium 來升級 Azure Active Directory 版本。 如果升級前沒有任何資料活動,則在升級至進階授權幾天之後資料便會在 Graph 中顯示。
若要存取 Azure AD 登入記錄:
使用適當的最低特殊權限角色,登入 Azure 入口網站 (英文)。
移至 [Azure Active Directory > 登入紀錄]。
![螢幕擷取畫面:[監視] 側邊功能表,其中已醒目提示登入記錄。](media/concept-sign-ins/side-menu-sign-in-logs.png)
您也可以從 Azure AD 的下列區域存取登入記錄:
- 使用者
- 群組
- 企業應用程式
檢視登入記錄
若要更有效率地檢視登入記錄,請花一些時間自訂您所需的檢視。 您可以指定要包含哪些資料行,並篩選資料以縮小範圍。
自訂版面配置
登入記錄具有預設檢視,但您可以使用超過 30 個資料行選項來自訂檢視。
- 從記錄頂端的功能表中選取 [資料行]。
- 選取您要檢視的資料行,並選取視窗底部的 [儲存] 按鈕。
![螢幕擷取畫面:登入記錄分頁,其中已醒目提示 [資料行] 選項。](media/concept-sign-ins/sign-in-logs-columns.png)
篩選結果
篩選登入記錄是快速尋找符合特定案例記錄的實用方式。 例如,您可以篩選清單,只檢視在特定地理位置、從特定作業系統或特定類型的認證中發生的登入。
某些篩選條件選項會提示您選取更多選項。 依照提示進行篩選所需的選取。 您可以新增多個範圍。
從資料表頂端選取 [新增篩選條件] 選項以開始使用。
![螢幕擷取畫面:登入記錄分頁,其中已醒目提示 [新增篩選條件] 選項。](media/concept-sign-ins/sign-in-logs-filter.png)
有數個篩選選項可供選擇:
- 使用者:使用者的使用者主體名稱 (UPN) 有問題。
- 狀態:選項為 [成功]、[失敗] 和 [已中斷]。
- 資源:用於登入的服務名稱。
- 條件式存取:條件式存取 (CA) 原則的狀態。 選項為:
- 未套用:在登入期間未將原則套用至使用者和應用程式。
- 成功:在登入期間套用至使用者和應用程式的一或多個 CA 原則 (但不一定是其他條件)。
- 失敗:登入已滿足至少一項 CA 原則的使用者和應用程式條件,而授與控制項並未滿足或設為封鎖存取。
- IP 位址:IP 位址與該位址實際所在的電腦之間沒有任何明確的連線。 行動電話供應商和 VPN 會從中央集區發出 IP 位址,而中央集區通常距離用戶端裝置的使用位置很遠。 目前,將 IP 位址轉換為實體位置是根據追蹤、登錄資料、反向查詢和其他資訊下所可取得的最佳結果。
下表提供 [用戶端應用程式] 篩選的選項及描述。
注意
基於對隱私權的承諾,Azure AD 不會在跨租使用者的案例中,將此欄位填入主租用戶。
| Name | 新式驗證 | 描述 |
|---|---|---|
| 已驗證的簡易郵件傳輸通訊協定 | POP 與 IMAP 用戶端傳送電子郵件訊息時使用。 | |
| AutoDiscover | Outlook 與 EAS 用戶端尋找及連線至 Exchange Online 中的信箱時使用。 | |
| Exchange ActiveSync | 此篩選條件會顯示已嘗試過 EAS 通訊協定的所有登入嘗試。 | |
| 瀏覽器 |  |
顯示使用網頁瀏覽器使用者的所有登入嘗試 |
| Exchange ActiveSync | 顯示使用 Exchange ActiveSync 連線至 Exchange Online 用戶端應用程式使用者的所有登入嘗試 | |
| Exchange Online PowerShell | 透過遠端 PowerShell 連線至 Exchange Online 時使用。 如果您封鎖 Exchange Online PowerShell 的基本驗證,則需使用 Exchange Online PowerShell 模組進行連線。 如需相關說明,請參閱使用多重要素驗證連線至 Exchange Online PowerShell。 | |
| Exchange Web 服務 | Outlook、Mac 版 Outlook 及協力廠商應用程式使用的程式設計介面。 | |
| IMAP4 | 使用 IMAP 取出電子郵件的舊版郵件用戶端。 | |
| 經由 HTTP 的 MAPI | 用於 Outlook 2010 和之後的版本。 | |
| 行動裝置應用程式和桌面用戶端 | |
顯示使用行動裝置應用程式和桌面用戶端使用者的所有登入嘗試。 |
| 離線通訊錄 | Outlook 所下載與使用的一份位址清單集合。 | |
| Outlook 無所不在 (經由 HTTP 的 RPC) | 用於 Outlook 2016 和之前的版本。 | |
| Outlook 服務 | 用於 Windows 10 電子郵件與行事曆應用程式。 | |
| POP3 | 使用 POP3 取出電子郵件的舊版郵件用戶端。 | |
| 報告 Web 服務 | 用於取出 Exchange Online 中的報告資料。 | |
| 其他用戶端 | 顯示未包含或不明用戶端應用程式使用者的所有登入嘗試。 |
分析登入記錄
現在您的登入記錄資料表已適當地格式化,您可以更有效地分析資料。 這裡說明一些常見的情節,但這些案例不是分析登入資料的唯一方式。 藉由將記錄匯出至其他工具,即可進一步分析和保留登入資料。
登入錯誤碼
如果登入失敗,您可以在相關記錄項目的 [基本資訊] 區段中取得原因的詳細資訊。 錯誤碼和相關聯的失敗原因會出現在詳細資料中。 由於某些 Azure AD 環境的複雜性,我們無法記載每個可能的錯誤碼和解決方式。 某些錯誤可能需要提交支援要求才能解決問題。
如需與 Azure AD 驗證和授權相關的錯誤碼清單,請參閱 Azure AD 驗證和授權錯誤碼一文。 在某些情況下,登入錯誤查閱工具 (英文)可能會提供補救步驟。 將登入記錄詳細資料中提供的 [錯誤碼] 輸入到工具中,並選取 [提交] 按鈕。
驗證詳細資料
登入記錄詳細資料中的 [驗證詳細資料] 索引標籤會提供下列資訊,以進行每個驗證嘗試:
- 套用的驗證原則清單,例如條件式存取或安全性預設值。
- 套用的工作階段存留期原則清單,例如登入頻率或記住 MFA。
- 用於登入的驗證方法序列。
- 驗證嘗試是否成功及其原因。
這項資訊可讓您針對使用者登入中的每個步驟進行疑難排解。 使用這些詳細資料來追蹤:
- 受 MFA 保護的登入磁碟區。
- 根據工作階段存留期原則進行驗證提示的原因。
- 每個驗證方法的使用量和成功率。
- 無密碼驗證方法的使用量,例如無密碼電話登入、FIDO2 和 Windows Hello 企業版。
- 權杖宣告滿足驗證需求的頻率,例如不會以互動方式提示使用者輸入密碼或輸入 SMS OTP 時。
檢視登入記錄時,選取登入事件,並選取 [驗證詳細資料] 索引標籤。
![[驗證詳細資料] 索引標籤的螢幕擷取畫面](media/concept-sign-ins/authentication-details-tab.png)
分析驗證詳細資料時,請記下下列詳細資料:
- OATH 驗證碼 會記錄為 OATH 硬體和軟體權杖的驗證方法 (例如 Microsoft Authenticator 應用程式)。
- [驗證詳細資料] 索引標籤一開始會顯示不完整或不正確的資料,直到記錄資訊完全彙總為止。 已知範例包括:
- 一開始記錄登入事件時,會不正確地顯示由權杖中宣告滿足訊息。
- 一開始不會記錄 [主要驗證] 資料列。
- 如果您不確定記錄中的詳細資料,請收集 要求識別碼 和 相互關聯識別碼 ,以用於進一步分析或疑難排解。
MFA 登入的考慮
當使用者使用 MFA 登入時,實際上會發生數個不同的 MFA 事件。 例如,如果使用者輸入錯誤的驗證碼或未及時回應,則會傳送其他 MFA 事件,以反映登入嘗試的最新狀態。 這些登入事件會顯示為 Azure AD 登入記錄中的一行專案。 不過,Azure 監視器中的同一個登入事件會顯示為多個明細專案。 這些事件全都有相同的 correlationId 。
其他服務所使用的登入資料
Azure 中的數個服務會使用登入資料來監視風險性登入,並提供應用程式使用量的深入解析。
Azure AD Identity Protection 中的風險性登入資料
Azure AD Identity Protection 概觀提供與風險性登入相關的登入記錄資料視覺效果,其使用下列資料:
- 具風險使用者
- 風險性使用者登入
- 風險性服務主體
- 風險性服務主體登入
如需 Azure AD Identity Protection 工具的詳細資訊,請參閱 Azure AD Identity Protection 概觀。
Azure AD 應用程式和驗證登入活動
若要檢視應用程式特定的登入資料,請移至 [Azure AD],並從 [監視] 區段中選取 [使用量 & 深入解析]。 這些報告可讓您進一步了解 Azure AD 應用程式活動和 AD FS 應用程式活動的登入。 如需詳細資訊,請參閱 Azure AD 使用量&深入解析。
Azure AD 使用量 & 深入解析也會提供 [驗證方法活動] 報告,依照所使用的方法細分驗證。 使用此報告來查看有多少使用者使用 MFA 或無密碼驗證進行設定。
Microsoft 365 活動記錄
您可以從 Microsoft 365 系統管理中心中檢視 Microsoft 365 的活動記錄。 Microsoft 365 活動和 Azure AD 活動記錄共用大量的目錄資源。 只有 Microsoft 365 系統管理員中心提供 Microsoft 365 活動記錄的完整檢視。
您也可以使用 Office 365 管理 API,以程式設計的方式存取 Microsoft 365 活動記錄。