什麼是 Microsoft Entra 登入記錄?
Microsoft Entra 會將所有登入記錄到包括內部應用程式和資源的 Azure 租用戶中。 身為 IT 管理員,您必須知道登入記錄中的值是什麼意思,使得您可以正確地解讀記錄值。
檢閱登入錯誤和模式,可讓您深入了解使用者如何存取應用程式和服務。 Microsoft Entra ID 所提供的登入記錄是一種功能強大的活動記錄,可供您進行分析。 本文會說明登入記錄的幾個關鍵層面。
另外還有兩個活動記錄可用來協助監視租用戶的健康情況:
授權和角色需求
所需的角色和授權會根據報告而有所不同。 需要個別權限才能存取 Microsoft Graph 中的監視和健康情況資料。 建議您使用具有最低權限存取權的角色,以符合零信任指導。 如需角色的完整清單,請參閱<工作的最低特殊權限角色>。
| 記錄/報告 | 角色 | 授權 |
|---|---|---|
| 稽核記錄 | 報告讀取者 安全性讀取者 安全性系統管理員 |
所有版本的 Microsoft Entra ID |
| 登入記錄 | 報告讀取者 安全性讀取者 安全性系統管理員 |
所有版本的 Microsoft Entra ID |
| 佈建記錄 | 報告讀取者 安全性讀取者 應用程式系統管理員 雲端應用程式管理員 |
Microsoft Entra ID P1 或 P2 |
| 自訂安全性屬性稽核記錄* | 屬性記錄系統管理員 屬性記錄讀者 |
所有版本的 Microsoft Entra ID |
| 健全狀況 | 報告讀取者 安全性讀取者 服務台管理員 |
Microsoft Entra ID P1 或 P2 |
| Microsoft Entra ID Protection | 安全性系統管理員 安全性操作員 安全性讀取者 全域讀取者 |
Microsoft Entra ID Free Microsoft 365 Apps Microsoft Entra ID P1 或 P2 |
| Microsoft Graph 活動記錄 | 安全性系統管理員 存取對應記錄目的地中的資料的權限 |
Microsoft Entra ID P1 或 P2 |
| 使用量和深入解析 | 報告讀取者 安全性讀取者 安全性系統管理員 |
Microsoft Entra ID P1 或 P2 |
*檢視稽核記錄中的自訂安全性屬性或為自訂安全性屬性建立診斷設定需要其中一個「屬性記錄」角色。 您也需要適當的角色才能檢視標準稽核記錄。
** Microsoft Entra ID Protection 的存取和功能層級會隨著角色和授權而有所不同。 如需詳細資訊,請參閱 ID 保護的授權需求。
記錄有什麼功能?
您可以使用登入記錄來回答下列問題:
- 本週有多少使用者登入特定應用程式?
- 過去 24 小時內發生多少次登入嘗試失敗?
- 使用者是否從特定瀏覽器或作業系統登入?
- 我的哪一個 Azure 資源是由受控識別和服務主體存取?
您也可以藉由識別下列詳細資料來說明與登入要求相關聯的活動:
- 誰 – 執行登入的身分識別 (使用者)。
- 作法 – 用來登入的用戶端 (應用程式)。
- 什麼 – 身分識別所存取的目標 (資源)。
您如何存取登入記錄?
依據您的需求而定,有數種可以存取記錄的方式。 若要了解詳細資訊,請參閱<如何存取活動記錄>。
若要從 Microsoft Entra 系統管理中心檢視登入記錄:
- 以至少報表讀者身分登入 Microsoft Entra 系統管理中心。
- 瀏覽至 [身分識別]>[監視和健康情況]>[登入記錄]。
若要更有效地在 Microsoft Entra 系統管理中心中使用登入記錄,請調整篩選條件,僅檢視一組特定的記錄。 若要了解詳細資訊,請參閱<篩選登入記錄>。
登入記錄的類型為何?
登入記錄預覽中有四種類型的記錄:
傳統登入記錄只會包括互動使用者登入。
注意
登入記錄中的項目由系統產生,無法進行變更或刪除。
其他服務所使用的登入資料
Azure 和 Microsoft Entra 中的數個服務會使用登入資料來監視有風險的登入,並提供應用程式使用量及其他資訊的深入解析。
Microsoft Entra ID Protection
與風險性登入相關的登入紀錄資料視覺效果,可見於 Microsoft Entra ID Protection 概觀中,且其會使用下列資料:
- 風險性使用者
- 風險性使用者登入
- 有風險的工作負載身分識別
若要了解 Microsoft Entra ID Protection 工具的詳細資訊,請參閱<Microsoft Entra ID Protection 概觀>。
Microsoft Entra 使用量與深入解析
若要檢視應用程式特定的登入資料,請瀏覽至 [Microsoft Entra ID] > [監視和健康情況] > [使用量與深入解析]。 這些報告可讓您進一步了解 Microsoft Entra 應用程式活動和 AD FS 應用程式活動的登入。 若要了解詳細資訊,請參閱<Microsoft Entra 使用量與深入解析>。
使用量與深入解析中有數個報告可用。 其中有些報告處於預覽狀態。
- Microsoft Entra 應用程式活動 (預覽版)
- AD FS 應用程式活動
- 驗證方法活動
- 服務主體登入活動
- 應用程式認證活動
Microsoft 365 活動記錄
您可以從 [Microsoft 365 系統管理中心] 中檢視 Microsoft 365 的活動記錄。 Microsoft 365 活動和 Microsoft Entra 活動記錄共用大量的目錄資源。 只有 Microsoft 365 系統管理中心提供 Microsoft 365 活動記錄的完整檢視。
您也可以使用 Office 365 管理 API,以程式設計的方式存取 Microsoft 365 活動記錄。