登入記錄是一種常用的工具,可針對使用者存取問題進行疑難排解,並調查風險性登入活動。 稽核記錄會收集 Microsoft Entra ID 中的每個記錄事件,並可用來調查您環境的變更。 有超過 30 個資料行可選擇,以自訂 Microsoft Entra 系統管理中心的登入記錄檢視。 您也可以根據需要,自訂和篩選稽核記錄與佈建記錄。
本文說明如何自訂資料行並篩選記錄,以便更有效率地尋找所需的資訊。
必要條件
- 具有運作中的 Microsoft Entra 租戶,並具備關聯的適當 Microsoft Entra 授權。
-
報表讀者 是存取活動記錄所需的最低特殊許可權角色。
- 如需角色的完整清單,請參閱 依工作設定的最低許可權角色。
如何存取 Microsoft Entra 系統管理中心的活動記錄?
您可以在 https://mysignins.microsoft.com 隨時存取自己的登入記錄。 您也可以從 Microsoft Entra ID 中的 [使用者] 和 [企業應用程式],存取登入記錄。
- 以至少報表讀者身分登入 Microsoft Entra 系統管理中心。
- 流覽至 Entra ID>監控與健康>稽核記錄/登入記錄/布建記錄。
透過 Microsoft Entra 稽核記錄中的資訊,您可以存取系統活動的所有記錄,以用於符合規定。 您可以從 Microsoft Entra ID 的 [監控與健康情況] 區段存取稽核記錄,您可以在其中排序和篩選每個類別和活動。 您也可以針對您要調查的服務,在系統管理中心的區域存取稽核記錄。
例如,如果您要查看 Microsoft Entra 群組的變更,您可以從 [Microsoft Entra ID]> [群組] 存取稽核記錄。 當您從服務存取稽核記錄時,會根據服務自動調整篩選條件。
![螢幕擷取畫面:[群組] 功能表的稽核記錄選項。](media/howto-customize-filter-logs/audit-logs-groups.png)
自訂稽核記錄的版面配置
您可以自訂稽核記錄中的資料行,以便只檢視您需要的資訊。 服務、類別和活動數據行彼此相關,因此應該一律會顯示這些數據行。
![螢幕擷取畫面:稽核記錄上的 [資料行] 按鈕。](media/howto-customize-filter-logs/audit-log-columns.png)
篩選稽核記錄
當您依 [服務] 篩選記錄時,[類別] 和 [活動] 詳細資料會自動變更。 在某些情況下,可能只有一個類別或活動。 如需這些詳細資料所有潛在組合的詳細資料表,請參閱稽核活動。
![螢幕擷取畫面:稽核記錄篩選條件,以 [條件式存取] 作為服務。](media/howto-customize-filter-logs/audit-log-activities-filter.png)
服務:預設為所有可用的服務,但您可以從下拉式清單中選取選項,將清單篩選為一或多個。
類別:預設為所有類別,但可以篩選以檢視活動的類別,例如變更原則或啟用合格的 Microsoft Entra 角色。
活動:根據您的類別和選擇的活動資源類型而定。 您可以選取您想要查看的特定活動或全選。
您可以使用 Microsoft Graph API 取得所有稽核活動的清單:https://graph.windows.net/<tenantdomain>/activities/auditActivityTypesV2?api-version=beta
狀態:可讓您查看活動是否成功或失敗的結果。
目標:可讓您搜尋活動的目標或收件者。 依名稱或使用者主體名稱 (UPN) 的前幾個字母搜尋。 目標名稱和 UPN 會區分大小寫。
起始者:可讓您根據起始活動者,使用其名稱或 UPN 的前幾個字母來進行搜尋。 名稱和 UPN 是大小寫敏感的。
日期範圍:可讓您定義傳回資料的時間範圍。 您可以搜尋過去 7 天、24 小時或自訂範圍。 當您選取自訂時間範圍時,您可以設定開始時間和結束時間。
在登入記錄頁面上,您可以在四種登入記錄類型之間切換。
自訂登入記錄的版面配置
您可以使用超過 30 個資料行選項來自訂互動式使用者登入記錄的資料行。 若要更有效率地檢視登入記錄,請花一些時間自訂您所需的檢視。
- 從上方功能表中選擇資料行。
- 選取您要檢視的資料行,並選取視窗底部的 [儲存] 按鈕。
![螢幕擷取畫面:登入日誌頁面,其中已醒目提示 [資料行] 選項。](media/howto-customize-filter-logs/sign-in-logs-columns.png)
篩選登入記錄
篩選登入記錄是一個實用的方式,可快速尋找符合特定案例的記錄。 例如,您可以篩選清單,只檢視在特定地理位置、從特定作業系統或特定類型的認證中發生的登入。
某些篩選條件選項會提示您選取更多選項。 根據提示選擇您所需的篩選選項。 您可以新增多個篩選條件。
選取 [新增篩選條件] 按鈕、選擇篩選條件選項,然後選取 [套用]。
![螢幕擷取畫面:登入記錄分頁,其中已醒目提示 [新增篩選條件] 選項。](media/howto-customize-filter-logs/sign-in-logs-add-filters.png)
輸入特定詳細資料 (例如要求標識碼) 或選取另一個篩選選項。
您可以篩選多項資料細節。 下表描述一些常用的篩選條件。
並未描述所有篩選條件選項。
| 篩選 |
描述 |
| 請求識別碼 |
登入要求的唯一識別碼 |
| 關聯識別碼 |
屬於單一登入活動的所有登錄請求唯一識別碼 |
| 使用者 |
使用者的使用者主體名稱 (UPN) |
| 申請 |
以登入要求為目標的應用程式 |
| 狀態 |
選項為 [成功]、[失敗] 和 [已中斷] |
| 資源 |
用於登入的服務名稱 |
| IP 位址 |
用於登入的用戶端 IP 位址 |
| 條件式存取 |
選項為 [未套用]、[成功] 和 [失敗] |
現在您的登入記錄資料表已根據您的需求設定格式,因此您可以更有效地分析資料。 藉由將記錄匯出至其他工具,即可進一步分析和保留登入資料。
自訂資料行並調整篩選條件有助於查看具有類似特性的記錄。 若要查看登入的詳細資料,請選取資料表中的列,以開啟 [活動詳細資料] 面板。 面板中有數個索引標籤可供探索。 如需詳細資訊,請參閱登入記錄活動詳細資料。
用戶端應用程式篩選
檢閱登入的來源時,您可能需要使用 [用戶端應用程式] 篩選條件。 用戶端應用程式有兩個子類別:[新式驗證用戶端] 和 [舊版驗證用戶端]。 新式驗證用戶端還有兩個子類別:[瀏覽] 和 [行動裝置應用程式和桌面用戶端]。 舊版驗證用戶端有數個子類別,定義於 [舊版驗證客戶端詳細資料] 資料表中。
瀏覽器 登入包含所有來自網頁瀏覽器的登入嘗試。 當您從瀏覽器檢視登入的詳細資料時,[基本資訊] 索引標籤會顯示 [用戶端應用程式:瀏覽器]。
在 [裝置資訊] 索引標籤上,[瀏覽器] 會顯示網頁瀏覽器的詳細資料。 瀏覽器類型和版本會列出,但在某些情況下,瀏覽器和版本的名稱可能不可用。 您可能會看到類似 Rich Client 4.0.0.0 的項目。
舊版驗證用戶端詳細資料
下表提供每個舊版驗證用戶端選項的詳細資料。
| 名稱 |
描述 |
| 已驗證的 SMTP |
POP 與 IMAP 用戶端傳送電子郵件訊息時使用。 |
| 自動探索 |
Outlook 與 EAS 用戶端尋找及連線至 Exchange Online 中的信箱時使用。 |
| Exchange ActiveSync |
此篩選器會顯示所有嘗試過該 EAS 通訊協定的登入嘗試。 |
| Exchange ActiveSync |
顯示使用 Exchange ActiveSync 連線至 Exchange Online 用戶端應用程式使用者的所有登入嘗試 |
| Exchange Online PowerShell |
透過遠端 PowerShell 連線至 Exchange Online 時使用。 如果您封鎖 Exchange Online PowerShell 的基本驗證,則需使用 Exchange Online PowerShell 模組進行連線。 如需指示,請參閱使用多重要素驗證連線至 Exchange Online PowerShell。 |
| Exchange Web 服務 |
Outlook、Mac 版 Outlook 及非 Microsoft 應用程式使用的程式設計介面。 |
| IMAP4 |
使用 IMAP 取出電子郵件的舊式郵件客戶端。 |
| HTTP 協定上的 MAPI |
用於 Outlook 2010 和之後的版本。 |
| 離線通訊錄 |
Outlook 所下載與使用的一份位址清單集合的副本。 |
| Outlook Anywhere (經由 HTTP 的 RPC) |
用於 Outlook 2016 和之前的版本。 |
| Outlook 服務 |
用於 Windows 10 電子郵件與行事曆應用程式。 |
| POP3 |
使用 POP3 取出電子郵件的舊版郵件用戶端。 |
| 報告生成網頁服務 |
用於取出 Exchange Online 中的報告資料。 |
| 其他用戶端 |
顯示所有來自未包含或不明客戶端應用程式的使用者的登入嘗試。 |
若要更有效率地檢視佈建記錄,請花一些時間自訂您所需的檢視。 您可以指定要包含哪些資料行,並篩選資料以縮小範圍。
自訂版面配置
佈建日誌具有預設檢視,但您可以自訂欄位。
- 從上方功能表中選擇資料行。
- 選取您要檢視的資料行,並選取視窗底部的 [儲存] 按鈕。
篩選結果
篩選佈建資料時,會根據租用戶動態填入某些篩選值。 例如,如果您的租用戶中沒有任何「建立」事件,則建立 篩選選項不可用。
身分識別 篩選器可讓您指定您所關心的名稱或身分。 此身分識別可能是使用者、群組、角色或其他物件。
您可以依物件的名稱或識別碼進行搜尋。 識別碼會因案例而異。
- 將物件從 Microsoft Entra ID 佈建到 Salesforce 時,來源識別碼是 Microsoft Entra ID 中使用者的物件識別碼。
目標識別碼是 Salesforce 中的使用者識別碼。
-
從 Workday 佈建至 Microsoft Entra ID 時,來源識別碼會是 Workday 員工識別碼。
目標識別碼是 Microsoft Entra ID 中的使用者識別碼。
- 如果您要為「跨租戶同步」設定使用者,「來源 ID」是來源租戶中使用者的 ID。
目標識別碼是目標租用戶中的使用者識別碼。
注意
使用者的名稱可能不一定會出現在 [身分識別] 資料行中。 一律會有一個識別碼。
[日期] 篩選條件可讓您定義傳回資料的時間範圍。 可能的值包括:
- 一個月
- 七天
- 30 天
- 24 小時
- 自訂時間間隔 (設定開始日期和結束日期)
[狀態] 篩選器可讓您選擇︰
[動作] 篩選可讓您篩選這些動作:
除了預設檢視的篩選之外,您還可以設定下列篩選。
作業識別碼:唯一的作業識別碼與您已啟用佈建的每個應用程式關聯。
週期識別碼:週期識別碼可唯一地識別佈建週期。 您可以將此識別碼與產品支援共用,以查詢發生此事件的週期。
變更識別碼:變更識別碼是佈建事件的唯一識別碼。 您可以將此識別碼與產品支援共用,以查詢佈建事件。
來源系統:您可以指定要從何處佈建身分識別。 例如,當您將物件從 Microsoft Entra ID 佈建至 ServiceNow 時,來源系統會是 Microsoft Entra ID。
目標系統:您可以指定要將身分識別佈建至何處。 例如,當您將物件從 Microsoft Entra ID 佈建至 ServiceNow 時,目標系統會是 ServiceNow。
應用程式:您只能顯示其顯示名稱或物件識別碼包含特定字串的應用程式記錄。 針對跨租用戶同步處理,請使用設定的物件識別碼,而不是應用程式識別碼。
相關內容
![螢幕擷取畫面:稽核記錄篩選條件,以 [條件式存取] 作為服務。](media/howto-customize-filter-logs/audit-log-activities-filter-expanded.png#lightbox)
