Microsoft Entra 監視和健康情況的常見問題

請參閱 Microsoft Entra 識別符授權 ，以升級您的 Microsoft Entra 版本。

如果您已經有活動記錄數據作為免費授權，您可以立即看到它。 如果您沒有任何數據，則最多需要三天的時間，數據就會顯示在報表中。

如果您最近已切換到 進階版 版本（包括試用版），則一開始最多可以看到七天的數據。 當資料累積時，您可以看到過去 30 天的資料。

檢視稽核和登入記錄的最低許可權角色是 Reports Reader。 其他角色包括安全性讀取者和安全性 管理員 istrator。

登入和稽核記錄都可供透過 Azure 監視器進行路由。 目前不包含 B2C 相關的稽核事件。 如需詳細資訊，請參閱 Microsoft Entra 活動記錄整合 和 Graph API 活動記錄概觀。

Microsoft 365 和 Microsoft Entra 活動記錄共用許多目錄資源。 如果您想要完整檢視 Microsoft 365 活動記錄，您應該移至 Microsoft 365 系統管理中心 以取得 Office 365 活動記錄資訊。 Microsoft 365 的 API 說明於 Microsoft 365 管理 API 一文中。

您可以從 Microsoft Entra 系統管理中心下載的記錄數量取決於幾個因素，包括瀏覽器記憶體大小、網路速度，以及 Microsoft Entra 報告 API 上的目前負載。 一般而言，稽核記錄小於 250,000 的數據集，以及 100,000 個用於登入和布建記錄的數據集，適用於瀏覽器下載功能。 視您包含的欄位數目而定，此數位可能會有所不同。 如果您在瀏覽器中完成大型下載時遇到問題，請使用 報告 API 來下載資料，或 透過診斷設定將記錄傳送至端點。

您可以在開始下載時，Microsoft Entra 系統管理中心內使用中的篩選來決定您可以下載的特定記錄集。 例如，篩選至 Microsoft Entra 系統管理中心中的特定使用者表示您的下載會提取該特定用戶的記錄。 下載記錄中的數據行不會變更。 不論您在 Microsoft Entra 系統管理中心自定義的數據行為何，輸出都會包含稽核或登入記錄的所有詳細數據。

視您的授權而定，Microsoft Entra ID 會儲存活動記錄 7 到 30 天。 如需詳細資訊，請參閱 Microsoft Entra 報表保留原則。

診斷設定記憶體保留功能即將淘汰。 如需這項變更的詳細資訊，請參閱從診斷設定記憶體保留期移轉至 Azure 儲存體 生命週期管理。

目前，稽核記錄中沒有授權購買或啟用的特定活動。 不過，您可能能夠將「將資源上線至 PIM」活動從「資源管理」類別關聯至購買或啟用授權。 此活動不一定一律可供使用，或提供確切的詳細數據。

這些變更與 MFA 和某些 GDPR 事件的處理方式有關。 刪除使用者或匯出用戶數據之類的事件會在稽核記錄中擷取，但活動描述可能有點神秘。 我們正在努力改善這些活動標籤。 如需 GDPR 相關活動的完整清單，請參閱 稽核活動。 這些活動與 DirectoryManagement 類別相關聯。

signInActivity 資源可用來尋找尚未登入一段時間的非使用中使用者。 它不會近乎即時地更新。 如果您需要更快速地尋找使用者的最後一個登入活動，您可以使用 Microsoft Entra 登入記錄來查看所有使用者近乎即時的登入活動。

CSV 包含您所選取登入類型的登入記錄。 不包含在 Microsoft Graph API 中表示為登入記錄的巢狀陣組的數據。 例如，不包含條件式存取原則和僅報告資訊。 如果您需要匯出登入記錄中包含的所有資訊，請使用匯出數據 設定 功能。

也請務必注意下載記錄中包含的數據行不會變更，即使您在 Microsoft Entra 系統管理中心自定義數據行也一樣。

當使用者可能不屬於檢視記錄的租使用者時，Microsoft Entra ID 可能會修訂登入記錄中 IP 位址的一部分，以保護用戶隱私權。 此動作會在兩種情況下發生：

• 在跨租使用者登入期間，例如 CSP 技術人員登入 CSP 所管理的租用戶時。
• 當我們的服務無法判斷使用者的身分識別時，有足夠的信心，以確保使用者屬於檢視記錄的租使用者。

Microsoft Entra ID 會修訂不屬於您租使用者之裝置所產生的個人標識資訊（PII），以確保客戶數據。 PII 不會在沒有使用者和數據擁有者同意的情況下分散到租使用者界限之外。

登入專案可能會在您的記錄檔中重複，有幾個原因。

• 如果在登入時識別出風險，則會在包含風險之後立即發佈另一個幾乎完全相同的事件。
• 如果收到與登入相關的 MFA 事件，所有相關事件都會匯總至原始登入。
• 如果登入事件的夥伴發佈失敗，例如發佈至 Kusto，則會重試並再次發佈整個事件批次，這可能會導致重複。
• 涉及多個條件式存取原則的登入事件可能會分割成多個事件，這可能會導致每個登入事件至少有兩個事件。

非互動式登入可以每小時觸發大量的事件，因此它們會分組在記錄中。

在許多情況下，非互動式登入都有相同的特性，但登入的日期和時間除外。 如果時間匯總設定為24小時，記錄會顯示同時顯示登入。 每個分組的數據列都可以展開，以檢視確切的時間戳。

登入專案在用戶名稱欄位中可能會顯示使用者標識碼、物件識別碼或 GUID 的原因有很多。

• 使用無密碼驗證時，使用者識別碼會顯示為用戶名稱。 若要確認此案例，請查看有問題的登入事件詳細數據。 authenticationDetail 字段表示無密碼。
• 用戶已驗證，但尚未登入。 若要確認，有錯誤 碼 50058 與中斷相互關聯。
• 如果用戶名稱欄位顯示 00000-00000-0000-0000 或類似專案，可能會有租使用者限制，以防止使用者登入選取的租使用者。
• 多重要素驗證登入嘗試會與多個數據項匯總，這可能需要較長的時間才能正確顯示。 數據可能需要最多兩個小時才能完整匯總，但通常較快。

否，一般而言，90025 錯誤會透過自動重試來解決，而不會讓使用者注意到錯誤。 當內部 Microsoft Entra 子服務達到重試額度，且未指出您的租使用者受到節流時，就會發生此錯誤。 這些錯誤通常是由 Microsoft Entra ID 內部解決。 如果使用者因為這個錯誤而無法登入，請手動再試一次，就應該解決此問題。

如果服務主體標識碼的值為 “00000000-0000-0000-00000-0000000000000”，則該實例中的用戶端應用程式沒有服務主體。 除了一些 Microsoft 和非 Microsoft 應用程式之外，Microsoft Entra 不再發行沒有用戶端服務主體的存取令牌。

如果資源服務主體標識碼的值為 “00000000-0000-0000-00000-0000000000000”，該實例中的資源應用程式沒有服務主體。

此行為目前只允許有限的資源應用程式數目。

您可以在租使用者中查詢沒有客戶端或資源服務主體的驗證實例。

• 若要尋找遺失用戶端服務主體之租使用者的登入記錄實例，請使用下列查詢：

  https://graph.microsoft.com/beta/auditLogs/signIns?$filter=signInEventTypes/any(t: t eq 'servicePrincipal') and servicePrincipalId eq '00000000-0000-0000-0000-000000000000'
  

• 若要尋找租使用者缺少資源服務主體的登入記錄實例，請使用下列查詢：

  https://graph.microsoft.com/beta/auditLogs/signIns?$filter=signInEventTypes/any(t: t eq 'servicePrincipal') and resourceServicePrincipalId eq '00000000-0000-0000-0000-000000000000'
  

您也可以在 Microsoft Entra 系統管理中心找到這些登入記錄。

• 登入 Microsoft Entra 系統管理中心。
• 流覽至 [身分>識別監視與健康情況>登入記錄]。
• 選取 [服務主體登入]。
• 在 [日期] 字段中選取適當的時間範圍（過去 24 小時、7 天等等）。
• 新增篩選並選取 [服務主體標識符 ]，並提供值 '0000000-0000-0000-0000-000000000000000'，以取得沒有用戶端服務主體的驗證實例。

如果您想要控制特定客戶端或資源應用程式的租使用者中的驗證運作方式，請遵循限制 Microsoft Entra 應用程式至一組使用者文章中的指示。

在公開預覽版中提供非互動式登入記錄之前，已提供某些非互動式登入。 這些非互動式登入包含在互動式登入記錄中，並在非互動式記錄可供使用之後保留在互動式登入記錄中。 使用 FIDO2 金鑰的登入是顯示在互動式登入範例。 目前，這些非互動式記錄一律會包含在互動式登入記錄中。

您可以使用 Identity Protection 風險偵測 API ，透過 Microsoft Graph 存取安全性偵測。 此 API 包含進階篩選和字段選取，並將風險偵測標準化為一種類型，以便更輕鬆地整合 SIEM 和其他資料收集工具。

您可以透過所有登入記錄對條件式存取原則進行疑難解答。 檢閱條件式存取狀態，並深入探討套用至登入的原則詳細數據，以及每個原則的結果。

開始進行之前：

• 登入 Microsoft Entra 系統管理中心。
• 流覽至 [身分>識別監視與健康情況>登入記錄]。
• 選取您要進行疑難解答的登入。
• 選取 [ 條件式存取 ] 索引標籤，以檢視影響登入的所有原則，以及每個原則的結果。

條件式存取狀態可以有下列值：

• 未套用：範圍內沒有使用者和應用程式的條件式存取原則。
• 成功：已順利滿足範圍中使用者和應用程式的條件式存取原則和條件式存取原則。
• 失敗：登入符合至少一個條件式存取原則的使用者和應用程式條件，且授與控件不符合或設定為封鎖存取。

條件式存取原則可以有下列結果：

• 成功：已成功滿足原則。
• 失敗：原則未滿足。
• 未套用：可能不符合原則條件。
• 未啟用：原則可能處於停用狀態。

登入記錄中的原則名稱是以登入時的條件式存取原則名稱為基礎。 如果您在登入之後更新原則名稱，則名稱可能會與條件式存取中的原則名稱不一致。

目前，套用條件式存取時，登入記錄可能不會顯示 Exchange ActiveSync 案例的準確結果。 當登入結果報告顯示成功登入時，可能會有這種情況，但登入實際上因為原則而失敗。

查閱 API 參考 ，以瞭解如何使用 API 來存取活動記錄。 此端點有兩個報告（稽 核和 登入），可提供您在舊 API 端點中取得的所有數據。 這個新端點也有具有 Microsoft Entra ID P1 或 P2 授權的登入報告，可用來取得應用程式使用方式、裝置使用方式和使用者登入資訊。

您可以使用 Identity Protection 風險偵測 API ，透過 Microsoft Graph 存取安全性偵測。 這個新格式可讓您在如何查詢數據方面有更大的彈性。 此格式提供進階篩選、字段選取，並將風險偵測標準化為一種類型，以便更輕鬆地整合到 SIEM 和其他資料收集工具中。 由於數據的格式不同，因此您無法以新的查詢取代舊查詢。 不過， 新的 API 會使用 Microsoft Graph，這是 Microsoft 365 或 Microsoft Entra 識別符這類 API 的 Microsoft 標準。 因此，所需的工作可以擴充您目前的 Microsoft Graph 投資，或協助您開始轉換至這個新的標準平臺。

您可能需要與 Microsoft Entra 系統管理中心分開登入 Microsoft Graph。 選取右上角的配置檔圖示，然後登入正確的目錄。 您可能嘗試執行沒有權限的查詢。 選取 [ 修改許可權 ]，然後選取 [ 同意 ] 按鈕。 遵循登入提示。

每次使用權杖來呼叫 Microsoft Graph 端點時， MicrosoftGraphActivityLogs 都會使用該呼叫更新 。 其中一些呼叫是第一方、僅限應用程式呼叫，不會發佈至服務主體登入記錄。 MicrosoftGraphActivityLogs當 顯示uniqueTokenIdentifier您無法在登入記錄中找到的 時，令牌標識符會參考第一方僅限應用程式令牌。

如果服務針對標示為「已完成」的專案偵測到與該建議相關的活動，它會自動變更回「作用中」。