瞭解登入記錄活動詳細資料

Microsoft Entra 會將所有登入記錄到 Azure 租使用者，以符合規範。 身為 IT 系統管理員，您必須知道登入記錄中的值代表什麼，以便正確解譯記錄值。

• 瞭解登入記錄 。
• 自訂及篩選登入記錄

本文說明登入記錄之 [基本資訊] 索引標籤上的值。

基本資訊

[基本資訊] 索引標籤包含資料表中也會顯示的大部分詳細資料。 您可以從 [基本資訊] 索引標籤啟動 [登入診斷]。如需詳細資訊，請參閱 如何使用登入診斷 。

登入錯誤碼

如果登入失敗，您可以在相關記錄專案的 [基本資訊] 索引標籤中取得原因的詳細資訊。 錯誤碼和相關聯的失敗原因會出現在詳細資料中。 如需詳細資訊，請參閱 如何針對登入錯誤進行疑難排解。

位置和裝置

[位置 ] 和 [ 裝置資訊] 索引標籤會顯示使用者位置和 IP 位址的一般資訊。 [裝置資訊] 索引標籤提供用來登入之瀏覽器和作業系統的詳細資料。 此索引標籤也會提供裝置是否符合規範、受控或 Microsoft Entra 混合式聯結的詳細資料。

驗證詳細資料

登入記錄詳細資料中的 [驗證詳細 資料] 索引標籤會針對每個驗證嘗試提供下列資訊：

• 套用的驗證原則清單，例如條件式存取或安全性預設值。
• 用來登入的驗證方法序列。
• 如果驗證嘗試成功，以及原因。

這項資訊可讓您針對使用者登入中的每個步驟進行疑難排解。 使用這些詳細資料來追蹤：

• 受 MFA 保護的登入磁片區。
• 每個驗證方法的使用方式和成功率。
• 使用無密碼驗證方法，例如無密碼電話登入、FIDO2 和Windows Hello 企業版。
• 權杖宣告滿足驗證需求的頻率，例如當使用者未以互動方式提示輸入密碼或輸入 SMS OTP 時。

分析驗證詳細資料時，請記下下列詳細資料：

• OATH 驗證碼 會記錄為 OATH 硬體和軟體權杖的驗證方法（例如 Microsoft Authenticator 應用程式）。
• [ 驗證詳細 資料] 索引標籤一開始會顯示不完整或不正確的資料，直到完整匯總記錄資訊為止。 已知範例包括：
  • 初始 記錄登入事件時，權杖 訊息中的宣告所滿足的 不正確地顯示。
  • 主要驗證 資料列一開始不會記錄。
• 如果您不確定記錄檔中的詳細資料，請收集 要求識別碼 和 相互關聯識別碼 ，以用於進一步分析或疑難排解。
• 如果套用驗證或會話存留期的條件式存取原則，則會列在登入嘗試上方。 如果您沒有看到其中一項，則目前不會套用這些原則。 如需詳細資訊，請參閱 條件式存取會話控制項 。

唯一識別碼

在 Microsoft Entra ID 中，資源存取具有三個相關元件：

• 神秘： 執行登入的身分識別（使用者）。
• 如何： 用於存取的用戶端（應用程式）。
• 內容： 身分識別所存取的目標（資源）。

每個元件都有相關聯的唯一識別碼（ID）。：

• 驗證需求： 顯示透過所有登入步驟所需的最高層級驗證，讓登入成功。

  • 圖形 API 僅支援 $filter （ eq 和 startsWith 運算子）。

• 條件式存取評估： 顯示是否將持續存取評估 （CAE） 套用至登入事件。

  • 每個驗證都有多個登入要求，這些要求可以出現在互動式或非互動式索引標籤上。
  • CAE 只會針對其中一個要求顯示為 true，而且它可以顯示在互動式索引標籤或非互動式索引標籤上。
  • 如需詳細資訊，請參閱 在 Microsoft Entra ID 中使用持續存取評估監視和疑難排解登入。

• 相互關聯識別碼： 相互關聯識別碼會將來自相同登入會話的登入群組在一起。 此值是以用戶端所傳遞的參數為基礎，因此 Microsoft Entra ID 可能無法保證其精確度。

• 跨租使用者存取類型： 描述動作專案用來存取資源的跨租使用者存取類型。 可能的值包括：

  • none - 未跨越 Microsoft Entra 租使用者的界限的登入事件。
  • b2bCollaboration- 使用 B2B 共同作業 的來賓使用者執行的跨租使用者登入。
  • b2bDirectConnect - B2B 所執行的跨租使用者登入。
  • microsoftSupport- Microsoft 客戶租使用者中 Microsoft 支援代理程式執行的跨租使用者登入。
  • serviceProvider - 雲端服務提供者 （CSP） 或類似系統管理員代表該 CSP 客戶在租使用者中執行的跨租使用者登入
  • unknownFutureValue - MS Graph 用來協助用戶端處理列舉清單中變更的 sentinel 值。 如需詳細資訊，請參閱 使用 Microsoft Graph 的最佳做法。
  • 如果登入未通過租使用者的界限，則值為 none 。

• 要求識別碼： 對應至已發行權杖的識別碼。 如果您要尋找具有特定權杖的登入，您必須先從權杖中擷取要求識別碼。

• 登入： 使用者在嘗試登入時提供給 Microsoft Entra ID 的字串，以識別自己。 它通常是使用者主體名稱 （UPN），但可以是另一個識別碼，例如電話號碼。

• 登入事件種類： 指出事件所代表登入的類別。

  • 使用者登入類別可以是 interactiveUser 或 nonInteractiveUser ，並對應至登入資源上 isInteractive 屬性的值 。
  • 受控識別類別是 managedIdentity 。
  • 服務主體類別是 servicePrincipal 。
  • Azure 入口網站不會顯示此值，但登入事件會放在符合其登入事件種類的索引標籤中。 可能的值為：
    • interactiveUser
    • nonInteractiveUser
    • servicePrincipal
    • managedIdentity
    • unknownFutureValue
  • Microsoft Graph API 支援： $filter （ eq 僅限運算子）。

• 租使用者： 登入記錄會追蹤兩個租使用者識別碼：

  • 主租使用者 – 擁有使用者身分識別的租使用者。 Microsoft Entra ID 會追蹤識別碼和名稱。
  • 資源租使用者 – 擁有 （target） 資源的租使用者。
  • 這些識別碼與跨租使用者案例相關。
  • 例如，若要瞭解租使用者外部的使用者如何存取您的資源，請選取主租使用者不符合資源租使用者的所有專案。

• 使用者類型： 使用者類型。

  • 範例包括 member 、 guest 或 external 。

登入記錄的考慮

當您檢閱登入記錄時，下列案例很重要。

• IP 位址和位置： IP 位址與具有該位址的電腦實際所在位置之間沒有明確的連線。 行動提供者和 VPN 會從中央集區發出 IP 位址，這些位址通常遠非實際使用用戶端裝置的位置。 目前，將 IP 位址轉換為實體位置是根據追蹤、登錄資料、反向查詢和其他資訊下所可取得的最佳結果。

• 條件式存取：

  • 未套用：在登入期間未將原則套用至使用者和應用程式。
  • 成功： 在登入期間，已針對使用者和應用程式評估套用或套用一或多個條件式存取原則（但不一定是其他條件）。 即使條件式存取原則可能不適用，但如果已評估，條件式存取狀態會顯示 [成功 ]。
  • 失敗： 登入符合至少一個條件式存取原則的使用者和應用程式條件，且授與控制項不符合或設定為封鎖存取。

• 首頁租使用者名稱： 由於隱私權承諾，Microsoft Entra ID 不會在跨租使用者案例期間填入主租使用者名稱欄位。

• 多重要素驗證： 當使用者使用 MFA 登入時，實際上就會發生數個不同的 MFA 事件。 例如，如果使用者輸入錯誤的驗證碼或未及時回應，則會傳送其他 MFA 事件，以反映登入嘗試的最新狀態。 這些登入事件會顯示為 Microsoft Entra 登入記錄中的一個明細專案。 不過，Azure 監視器中的同一個登入事件會顯示為多個明細專案。 這些事件全都有相同的 correlationId 。

下一步

• 瞭解如何匯出 Microsoft Entra 登入記錄
• 探索 Microsoft Entra 識別碼中的登入診斷