Share via


什麼是 Microsoft Entra 登入記錄?

Microsoft Entra 會將所有登入記錄到 Azure 租使用者,其中包括您的內部應用程式和資源。 身為IT系統管理員,您必須知道登入記錄中的值代表什麼,以便正確解譯記錄值。

檢閱登入錯誤和模式可提供您使用者如何存取應用程式和服務的寶貴見解。 Microsoft Entra ID 所提供的登入記錄是一種功能強大的活動記錄可供您分析。 本文說明如何存取和使用登入記錄。

登入記錄的預覽檢視包括互動式和非互動式使用者登入,以及服務主體和受控識別登入。您仍然可以檢視傳統登入記錄,其中只包含互動式登入。

另外兩個活動記錄也可用來協助監視租使用者的健康情況:

  • 核 – 套用至租使用者之變更的相關信息,例如使用者和群組管理或套用至租用戶資源的更新。
  • 布建 – 布建服務所執行的活動,例如在 ServiceNow 中建立群組,或從 Workday 匯入的使用者。

授權和角色需求

所需的角色和授權會根據報表而有所不同。 需要個別許可權,才能存取 Microsoft Graph 中的監視和健康情況數據。 我們建議使用具有最低許可權存取權的角色,以配合 零信任 指導方針

記錄/ 報告 角色 授權
Audit 報表讀取者
安全性讀取者
安全性系統管理員
全域讀取器
Microsoft Entra ID 的所有版本
登入 報表讀取者
安全性讀取者
安全性系統管理員
全域讀取器
Microsoft Entra ID 的所有版本
佈建 報表讀取者
安全性讀取者
安全性系統管理員
全域讀取器
安全性操作員
應用程式系統管理員
Cloud App 管理員 istrator
Microsoft Entra ID P1 或 P2
自訂安全性屬性稽核記錄* 屬性記錄檔 管理員 istrator
屬性記錄讀取器
Microsoft Entra ID 的所有版本
使用方式和深入解析 報表讀取者
安全性讀取者
安全性系統管理員
Microsoft Entra ID P1 或 P2
Identity Protection** 安全性系統管理員
安全性操作員
安全性讀取者
全域讀取器
Microsoft Entra ID Free
Microsoft 365 Apps
Microsoft Entra ID P1 或 P2
Microsoft Graph 活動記錄 安全性系統管理員
存取對應記錄目的地中數據的許可權
Microsoft Entra ID P1 或 P2

*在稽核記錄中檢視自定義安全性屬性,或建立自定義安全性屬性的診斷設定需要其中一個屬性記錄角色。 您也需要適當的角色來檢視標準稽核記錄。

**Identity Protection 的存取和功能層級會隨著角色和授權而有所不同。 如需詳細資訊,請參閱 Identity Protection 的授權需求。

您可以使用登入記錄來執行什麼動作?

您可以使用登入記錄來回答下列問題:

  • 本周有多少使用者登入特定應用程式?
  • 過去24小時內有多少次登入嘗試失敗?
  • 使用者是否從特定瀏覽器或作業系統登入?
  • 我的哪一個 Azure 資源是由受控識別和服務主體存取?

您也可以藉由識別下列詳細數據來描述與登入要求相關聯的活動:

  • 神秘 – 執行登入的身分識別(使用者)。
  • 如何 – 用於登入的用戶端(應用程式)。
  • What – 身分識別所存取的目標(資源)。

登入記錄的類型為何?

登入記錄預覽中有四種類型的記錄:

  • 互動式使用者登入
  • 非互動式使用者登入
  • 服務主體登入
  • 受控識別登入

傳統登入記錄只會包含互動式使用者登入。

注意

登入記錄中的項目是系統產生的,而且無法變更或刪除。

互動式使用者登入

互動式登入是由用戶執行。 他們會提供 Microsoft Entra 識別碼的驗證因素。 該驗證因素也可以與協助程式應用程式互動,例如 Microsoft Authenticator 應用程式。 用戶可以將密碼、回應 MFA 挑戰、生物特徵辨識因素或 QR 代碼提供給 Microsoft Entra ID 或協助程式應用程式。 此記錄也包含來自與 Microsoft Entra 識別符同盟的識別提供者的同盟登入。

Screenshot of the interactive user sign-in log.

報表大小: 小型
範例:

  • 使用者在 Microsoft Entra 登入畫面中提供使用者名稱和密碼。
  • 用戶通過SMS MFA挑戰。
  • 使用者提供生物特徵辨識手勢,以使用 Windows Hello 企業版 解除鎖定其 Windows 計算機。
  • 使用者會與 Microsoft Entra ID 與 AD FS SAML 判斷提示同盟。

除了預設欄位之外,互動式登入記錄也會顯示:

  • 登入位置
  • 是否已套用條件式存取

特殊考量

互動式登入記錄上的非互動式登入

先前,Microsoft Exchange 用戶端的某些非互動式登入會包含在互動式使用者登入記錄中,以取得更佳的可見度。 在 2020 年 11 月引進非互動式使用者登入記錄之前,需要提高可見度。 不過,請務必注意,某些非互動式登錄,例如使用 FIDO2 密鑰的登入,可能仍會標示為互動式,因為系統是在引入個別的非互動式記錄之前設定的方式。 這些登入可能會顯示互動式詳細數據,例如客戶端認證類型和瀏覽器資訊,即使它們在技術上不是互動式登入也一樣。

傳遞登入

Microsoft Entra ID 會發行令牌以進行驗證和授權。 在某些情況下,登入 Contoso 租使用者的使用者可能會嘗試存取 Fabrikam 租使用者中的資源,而該租用戶沒有存取權。 未授權令牌稱為傳遞令牌,會發行給 Fabrikam 租使用者。 傳遞令牌不允許使用者存取任何資源。

先前,檢閱此情況的記錄檔時,主租使用者的登入記錄 (在此案例中為 Contoso) 未顯示登入嘗試,因為 令牌未授與任何宣告之資源的存取權。 登入令牌僅用於顯示適當的失敗訊息。

傳遞登入嘗試現在會出現在主租使用者登入記錄和任何相關的租使用者限制登入記錄中。 此更新可讓您更深入瞭解使用者登入嘗試,以及深入瞭解租使用者限制原則。

屬性 crossTenantAccessType 現在會顯示 passthrough 以區分傳遞登入,且可在 Microsoft Entra 系統管理中心和 Microsoft Graph 中使用。

第一方、僅限應用程式的服務主體登入

服務主體登入記錄不包含第一方應用程式專用登入活動。 當第一方應用程式取得內部 Microsoft 作業沒有方向或內容時,就會發生這種類型的活動。 我們會排除這些記錄,因此您不需要支付租用戶內部 Microsoft 令牌相關記錄的費用。

如果您要 MicrosoftGraphActivityLogsSignInLogs 路由傳送至相同的Log Analytics工作區,您可能會識別與服務主體登入無關的 Microsoft Graph 事件。 此整合可讓您使用登入活動交叉參考針對 Microsoft Graph API 呼叫發出的令牌。 UniqueTokenIdentifier登入記錄檔和 SignInActivityId Microsoft Graph 活動記錄中的 會遺失服務主體登入記錄中的 。

非互動式使用者登入

非互動式登入會代表使用者完成。 這些委派的登入是由用戶端應用程式或OS元件代表用戶執行,而且不需要使用者提供驗證因數。 相反地,Microsoft Entra ID 會辨識使用者令牌需要重新整理的時間,並在幕後執行此動作,而不會中斷使用者的會話。 一般而言,使用者會將這些登入視為在背景中發生。

Screenshot of the non-interactive user sign-in log.

報表大小: 大型
範例:

  • 用戶端應用程式會使用 OAuth 2.0 重新整理令牌來取得存取令牌。
  • 用戶端會使用 OAuth 2.0 授權碼來取得存取令牌和重新整理令牌。
  • 使用者會在加入 Microsoft Entra 的電腦上對 Web 或 Windows 應用程式執行單一登錄(SSO),而不需提供驗證因素或與 Microsoft Entra 提示互動)。
  • 用戶在行動裝置上使用FOCI (用戶端標識碼系列) 的會話時,登入第二個 Microsoft Office 應用程式。

除了預設欄位之外,非互動式登入記錄也會顯示:

  • 資源識別碼
  • 群組登入數目

您無法自訂此報表中顯示的欄位。

為了更輕鬆地摘要數據,會將非互動式登入事件分組。 用戶端通常會在短時間內代表同一位使用者建立許多非互動式登入。 非互動式登入會共用相同的特性,但嘗試登入的時間除外。 例如,用戶端可能會代表使用者每小時取得一次存取令牌。 如果使用者或用戶端的狀態未變更,則每個存取令牌要求的IP位址、資源和所有其他資訊都相同。 唯一變更的狀態是登入的日期和時間。

Screenshot of an aggregate sign-in expanded to show all rows.

當 Microsoft Entra 記錄時間與日期以外的多個登入時,這些登入會來自相同的實體,並匯總成單一數據列。 具有多個相同登入的數據列(發行日期和時間除外)的值大於 #sign-ins 數據行中的值。 這些匯總的登入可能也會有相同的時間戳。 時間 匯總 篩選可以設定為1小時、6小時或24小時。 您可以展開數據列,以查看所有不同的登入及其不同的時間戳。

當下列數據相符時,登入會在非互動式用戶中匯總:

  • 申請
  • User
  • IP 位址
  • 狀態
  • 資源識別碼

注意

機密用戶端執行之非互動式登入的IP位址不符合重新整理令牌要求的來源實際來源IP。 相反地,它會顯示用於原始令牌發行的原始IP。

服務主體登入

不同於互動式和非互動式使用者登入,服務主體登入不會涉及使用者。 相反地,它們是由任何非用戶帳戶登入,例如應用程式或服務主體(但受控識別登入除外,這些登入只包含在受控識別登入記錄中)。 在這些登入中,應用程式或服務會提供自己的認證,例如用來驗證或存取資源的憑證或應用程式密碼。

Screenshot of the service principal sign-in log.

報表大小: 大型
範例:

  • 服務主體會使用憑證來驗證及存取 Microsoft Graph。
  • 應用程式會使用客戶端密碼在 OAuth 用戶端認證流程中驗證。

您無法自訂此報表中顯示的欄位。

為了更輕鬆地消化服務主體登入記錄中的數據,服務主體登入事件會分組。 相同條件下相同實體的登入會匯總成單一數據列。 您可以展開數據列,以查看所有不同的登入及其不同的時間戳。 當下列數據相符時,登入會匯總在服務主體報告中:

  • 服務主體名稱或標識碼
  • 狀態
  • IP 位址
  • 資源名稱或識別碼

受控識別登入

Azure 資源的受控識別登入是由 Azure 所管理秘密的資源所執行的登入,以簡化認證管理。 具有受控認證的 VM 會使用 Microsoft Entra ID 來取得存取令牌。

Screenshot of the managed identity sign-in log.

報表大小: 小型
範例:

您無法自訂此報表中顯示的欄位。

為了更輕鬆地摘要數據,Azure 資源的受控識別登入記錄會分組非互動式登入事件。 來自相同實體的登入會匯總成單一數據列。 您可以展開數據列,以查看所有不同的登入及其不同的時間戳。 當下列所有數據相符時,登入都會匯總在受控識別報告中:

  • 受控識別名稱或標識碼
  • 狀態
  • 資源名稱或識別碼

選取清單檢視中的專案,以顯示群組在節點下的所有登入。 選取群組專案以查看登入的所有詳細數據。

其他服務所使用的登入數據

Azure 中的數個服務會使用登入數據來監視有風險的登入、提供應用程式使用量的深入解析等等。

Microsoft Entra ID Protection

Microsoft Entra ID Protection 概觀提供與具風險登入相關的登入記錄數據視覺效果,其使用下列數據:

  • 風險性使用者
  • 有風險的使用者登入
  • 具風險的工作負載身分識別

如需 Microsoft Entra ID Protection 工具的詳細資訊,請參閱 Microsoft Entra ID Protection 概觀

Microsoft Entra 使用量和深入解析

若要檢視應用程式特定的登入數據,請流覽至 Microsoft Entra ID>Monitoring & health>Usage & insights。 這些報告提供 Microsoft Entra 應用程式活動和 AD FS 應用程式活動登入的更深入探討。 如需詳細資訊,請參閱 Microsoft Entra Usage & insights

Screenshot of the Usage & insights report.

使用量和深入解析中有數個可用的報告。 其中有些報表處於預覽狀態。

  • Microsoft Entra 應用程式活動 (預覽)
  • AD FS 應用程式活動
  • 驗證方法活動
  • 服務主體登入活動
  • 應用程式認證活動

Microsoft 365 活動記錄

您可以從 Microsoft 365 系統管理中心中檢視 Microsoft 365 的活動記錄。 Microsoft 365 活動和 Microsoft Entra 活動記錄會共用大量的目錄資源。 只有 Microsoft 365 系統管理員中心提供 Microsoft 365 活動記錄的完整檢視。

您可以使用 Office 365 管理 API,以程式設計方式存取 Microsoft 365 活動記錄。