如何自定義和篩選身分識別活動記錄
本文內容
登入記錄是一種常用的工具,可針對使用者存取問題進行疑難解答,並調查有風險的登入活動。 稽核記錄會收集 Microsoft Entra ID 中的每個記錄事件,並可用來調查您環境的變更。 有 30 個以上的資料行可供您選擇,以自訂 Microsoft Entra 系統管理中心的登入記錄檢視。 您也可以自定義稽核記錄和布建記錄,並根據您的需求進行篩選。
本文說明如何自定義數據行,然後篩選記錄,以更有效率地尋找所需的資訊。
必要條件
所需的角色和授權會根據報表而有所不同。 需要個別許可權,才能存取 Microsoft Graph 中的 監視和健康情況數據。 我們建議使用具有最低許可權存取權的角色,以配合 零信任 指導方針 。
*在稽核記錄中檢視自定義安全性屬性,或建立自定義安全性屬性的診斷設定需要其中一個屬性記錄角色。 您也需要適當的角色來檢視標準稽核記錄。
**Identity Protection 的存取和功能層級會隨著角色和授權而有所不同。 如需詳細資訊,請參閱 Identity Protection 的授權需求。
如何在 Microsoft Entra 系統管理中心存取活動記錄
您一律可以在 存取自己的登入歷程記錄 https://mysignins.microsoft.com 。 您也可以從 Microsoft Entra ID 中的使用者 和企業 應用程式 存取登入記錄。
提示
本文中的步驟可能會根據您從開始的入口網站稍有不同。
以至少報表讀者 身分登入 Microsoft Entra 系統管理中心 。
流覽至身分識別監視和健康>情況 > 稽核記錄 /布建記錄。
透過 Microsoft Entra 稽核記錄中的資訊,您可以存取系統活動的所有記錄,以達到合規性目的。 您可以從 Microsoft Entra ID 的 [監視與健康情況] 區段存取 稽核記錄,您可以在其中排序和篩選每個類別和活動。 您也可以存取所調查服務系統管理中心區域中的稽核記錄。
例如,如果您要查看 Microsoft Entra 群組的變更,您可以從 Microsoft Entra ID>群組 存取稽核記錄。
自定義稽核記錄的配置
您可以自定義稽核記錄中的數據行,只檢視您需要的資訊。 服務 、類別 和活動
篩選稽核記錄
當您依服務 篩選記錄時,類別 和活動稽核活動 。
服務 :預設為所有可用的服務,但您可以從下拉式清單中選取選項,將清單篩選為一或多個。
類別 :預設為所有類別,但可篩選以檢視活動的類別,例如變更原則或啟用合格的 Microsoft Entra 角色。
活動 :根據您所做的類別和活動資源類型選取專案。 您可以選取您想要查看的特定活動或全選。
您可以使用 Microsoft Graph API 取得所有稽核活動的清單: https://graph.windows.net/<tenantdomain>/activities/auditActivityTypesV2?api-version=beta
狀態 :可讓您根據活動是否成功或失敗來查看結果。
目標 :可讓您搜尋活動的目標或收件者。 搜尋名稱或用戶主體名稱的前幾個字母(UPN)。 目標名稱和 UPN 會區分大小寫。
起始者 :可讓您使用其名稱或UPN的前幾個字母起始活動的人員進行搜尋。 執行者名稱和 UPN 會區分大小寫。
日期範圍 :可讓您定義傳回數據的時間範圍。 您可以搜尋過去 7 天、24 小時或自定義範圍。 當您選取自訂時間範圍時,您可以設定開始時間和結束時間。
在 [登入記錄] 頁面上,您可以在四個登入記錄類型之間切換。 如需四種記錄類型的詳細資訊,請參閱 什麼是 Microsoft Entra 登入記錄? 。
互動式使用者登入: 使用者提供驗證要素的登入,例如密碼、透過 MFA 應用程式回應、生物特徵辨識因數或 QR 代碼。
非互動式使用者登入: 代表使用者執行用戶端的登入。 這些登入不需要使用者進行任何互動或驗證因素。 例如,使用重新整理和存取權杖來進行驗證和授權,不需要使用者輸入認證。
服務主體登入: 不涉及任何使用者的應用程式和服務主體登入。 在這些登入中,應用程式或服務會代表自己提供認證來驗證或存取資源。
適用於 Azure 資源的受控識別登入: 由 Azure 資源登入,這些資源具有由 Azure 管理的秘密。 如需詳細資訊,請參閱什麼是適用於 Azure 資源的受控識別? 。
自定義登入記錄的配置
您可以使用超過 30 個資料列選項來自定義互動式使用者登入記錄的資料列。 若要更有效率地檢視登入記錄,請花點時間自定義您的需求檢視。
從記錄頂端的功能表中選取 [資料 行]。
選取您要檢視的數據行,然後選取視窗底部的 [ 儲存 ] 按鈕。
篩選登入記錄 篩選登入記錄是快速尋找符合特定案例之記錄的實用方式。 例如,您可以篩選清單,只檢視在特定地理位置、特定作業系統或特定類型的認證中發生的登入。
某些篩選選項會提示您選取更多選項。 請依照提示進行篩選所需的選取專案。 您可以新增多個範圍。
選取 [ 新增篩選] 按鈕,選擇篩選選項,然後選取 [ 套用 ]。
輸入特定詳細數據,例如要求標識碼,或選取另一個篩選選項。
您可以篩選數個詳細資料。 下表描述一些常用的篩選條件。 並非所有篩選選項都會描述。
篩選
描述
要求識別碼
登入要求的唯一標識碼
相互關聯 ID
屬於單一登錄嘗試一部分的所有登入要求的唯一標識符
User
使用者的使用者主體名稱 (UPN)
申請
以登入要求為目標的應用程式
狀態
選項為 成功 、 失敗 和 中斷
資源
用於登入的服務名稱
IP 位址
用於登入的用戶端IP位址
條件式存取
未套用 選項、成功 和失敗
既然您的登入記錄資料表已針對您的需求進行格式化,您可以更有效地分析數據。 藉由將記錄導出至其他工具,即可進一步分析和保留登入數據。
自訂數據行並調整篩選有助於查看具有類似特性的記錄。 若要查看登入的詳細數據,請選取資料表中的數據列以開啟 [ 活動詳細數據 ] 面板。 面板中有數個索引標籤可供探索。 如需詳細資訊,請參閱 登入記錄活動詳細數據 。
用戶端應用程式篩選
檢閱登入的來源時,您可能需要使用 用戶端應用程式 篩選器。 用戶端應用程式有兩個子類別: 新式驗證用戶端 和 舊版驗證用戶端 。 新式驗證客戶端還有兩個子類別: Browser 和 Mobile應用程式和桌面用戶端 。 舊版驗證用戶端有數個子類別,這些子類別定義於舊版驗證客戶端詳細數據數據表中 。
瀏覽器 登入包含來自網頁瀏覽器的所有登入嘗試。 當您從瀏覽器檢視登入的詳細數據時,[ 基本資訊 ] 索引標籤會顯示 [用戶端應用程式:瀏覽器 ]。
在 [ 裝置資訊] 索引標籤上, 瀏覽器 會顯示網頁瀏覽器的詳細數據。 瀏覽器類型和版本會列出,但在某些情況下,無法使用瀏覽器和版本的名稱。 您可能會看到 Rich Client 4.0.0.0 之類的內容 。
舊版驗證客戶端詳細數據
下表提供每個 舊版驗證客戶端 選項的詳細數據。
名稱
描述
已驗證的 SMTP
POP 與 IMAP 用戶端傳送電子郵件訊息時使用。
自動探索
Outlook 與 EAS 用戶端尋找及連線至 Exchange Online 中的信箱時使用。
Exchange ActiveSync
此篩選會顯示所有嘗試EAS通訊協定的登入嘗試。
Exchange ActiveSync
顯示使用 Exchange ActiveSync 連線至 Exchange Online 之用戶端應用程式的使用者的所有登入嘗試
Exchange Online PowerShell
透過遠端 PowerShell 連線至 Exchange Online 時使用。 如果您封鎖 Exchange Online PowerShell 的基本驗證,則需使用 Exchange Online PowerShell 模組進行連線。 如需指示,請參閱使用多重要素驗證 連線 Exchange Online PowerShell。
Exchange Web 服務
Outlook、Mac 版 Outlook 及協力廠商應用程式使用的程式設計介面。
IMAP4
使用 IMAP 取出電子郵件的舊版郵件用戶端。
經由 HTTP 的 MAPI
用於 Outlook 2010 和之後的版本。
離線通訊錄
Outlook 所下載與使用的一份位址清單集合。
Outlook 無所不在 (經由 HTTP 的 RPC)
用於 Outlook 2016 和之前的版本。
Outlook 服務
用於 Windows 10 電子郵件與行事曆應用程式。
POP3
使用 POP3 取出電子郵件的舊版郵件用戶端。
報告 Web 服務
用於取出 Exchange Online 中的報告資料。
其他用戶端
顯示用戶端應用程式未包含或未知之使用者的所有登入嘗試。
若要更有效地檢視布建記錄,請花點時間自定義檢視以符合您的需求。 您可以指定要包含的數據行,並篩選數據以縮小範圍。
自訂版面配置
布建記錄具有預設檢視,但您可以自定義數據行。
從記錄頂端的功能表中選取 [資料 行]。
選取您要檢視的數據行,然後選取視窗底部的 [ 儲存 ] 按鈕。
篩選結果
當您篩選布建數據時,會根據租用戶動態填入某些篩選值。 例如,如果您的租用戶中沒有任何「建立」事件,則無法使用 = [建立 篩選] 選項。
身 分 識別篩選可讓您指定您關心的名稱或身分識別。 此身分識別可能是使用者、群組、角色或其他物件。
您可以依物件的名稱或識別碼進行搜尋。 標識符會因案例而異。
如果您要將物件 從 Microsoft Entra ID 布建至 Salesforce ,來源 標識碼 是 Microsoft Entra ID 中使用者的物件識別符。 目標 標識碼 是 Salesforce 用戶識別碼。
如果您要 從 Workday 布建到 Microsoft Entra 識別碼 ,來源 標識碼 是 Workday 背景工作員工識別碼。 目標 標識碼 是 Microsoft Entra ID 中使用者的識別碼。
如果您要布建使用者以進行 跨租使用者同步 處理,來源 標識碼 是來源租用戶中使用者的標識碼。 目標 標識碼 是目標租用戶中用戶的標識碼。
注意
用戶的名稱不一定會出現在 [ 身分 識別] 資料行中。 一律會有一個標識碼。
[ 日期 ] 篩選可讓您定義傳回數據的時間範圍。 可能的值包括:
一個月
七天
30 天
24 小時
自訂時間間隔(設定開始日期與結束日期)
[ 狀態 ] 篩選器可讓您選取:
[ 動作 ] 篩選可讓您篩選這些動作:
除了預設檢視的篩選之外,您還可以設定下列篩選。
作業標識碼 :唯一的作業標識碼會與您已啟用布建的每個應用程式相關聯。
迴圈標識碼 :迴圈標識碼可唯一識別布建週期。 您可以與產品支持人員共用此標識碼,以查閱發生此事件的週期。
變更標識碼 :變更標識碼是布建事件的唯一標識符。 您可以與產品支持人員共用此標識碼,以查閱布建事件。
來源系統 :您可以指定從何處布建身分識別。 例如,當您將物件從 Microsoft Entra ID 布建至 ServiceNow 時,來源系統會是 Microsoft Entra ID。
目標系統 :您可以指定要布建身分識別的位置。 例如,當您將物件從 Microsoft Entra ID 布建至 ServiceNow 時,目標系統為 ServiceNow。
應用程式 :您只能顯示包含特定字串之顯示名稱或物件識別符的應用程式記錄。 針對 跨租使用者同步 處理,請使用組態的物件識別碼,而不是應用程式識別碼。
下一步
![側邊功能表上 [稽核記錄] 選項的螢幕快照。](media/howto-customize-filter-logs/audit-logs-navigation.png)
![[群組] 功能表的 [稽核記錄] 選項螢幕快照。](media/howto-customize-filter-logs/audit-logs-groups.png)
![稽核記錄上 [資料行] 按鈕的螢幕快照。](media/howto-customize-filter-logs/audit-log-columns.png)
![[登入記錄] 頁面的螢幕快照,其中已醒目提示 [數據行] 選項。](media/howto-customize-filter-logs/sign-in-logs-columns.png)
![[登入記錄] 頁面的螢幕快照,其中已醒目提示 [新增篩選] 選項。](media/howto-customize-filter-logs/sign-in-logs-add-filters.png)
