Microsoft Entra 監視和健康情況的常見問題

請參閱 Microsoft Entra ID 授權，以升級您的 Microsoft Entra 版本。

如果您已經有活動記錄資料作為免費授權，則可以立即看見該資料。 如果您沒有任何資料，則最多需要三天的時間，資料才會顯示在報告中。

如果您最近已切換至進階版 (包括試用版)，則一開始最多七天可以看到資料。 當資料累積時，您可以看到過去 30 天的資料。

可檢視稽核和登入記錄的最低權限角色是「報告讀取者」。 其他角色包括「安全性讀取者」和「安全性系統管理員」。

登入和稽核記錄都可以透過 Azure 監視器進行路由傳送。 目前未包括 B2C 相關稽核事件。 如需詳細資訊，請參閱 Microsoft Entra 活動記錄整合和 Graph API 活動記錄概觀。

Microsoft 365 和 Microsoft Entra 活動記錄共用許多目錄資源。 如果您想要完整檢視 Microsoft 365 活動記錄，則應該前往 Microsoft 365 系統管理中心以取得 Office 365 活動記錄資訊。 Microsoft 365 管理 API 文章會說明適用於 Microsoft 365 的 API。

您可以從 Microsoft Entra 系統管理中心下載的記錄數量取決於幾個因素，包括瀏覽器記憶體大小、網路速度，以及Microsoft Entra 報告 API 上的目前負載。 一般而言，小於 250,000 (針對稽核記錄) 和 100,000 (針對登入和佈建記錄) 的資料集適用於瀏覽器下載功能。 根據您包括的欄位數目，此數字可能會不同。 如果您在瀏覽器中完成大型下載時遇到問題，則請使用報告 API 來下載資料，或透過診斷設定將記錄傳送至端點。

您可以下載的特定記錄集取決於您開始下載時，Microsoft Entra 系統管理中心內的使用中篩選。 例如，在 Microsoft Entra 系統管理中心內篩選至特定使用者，表示您的下載會提取該特定使用者的記錄。 所下載記錄中的資料行「不」會變更。 「不論您在 Microsoft Entra 系統管理中心內自訂哪些資料行」，輸出都會包含稽核或登入記錄的所有詳細資料。

根據您的授權，Microsoft Entra ID 會將活動記錄儲存 7 到 30 天。 如需詳細資訊，請參閱 Microsoft Entra 報告保留原則。

診斷設定儲存體保留功能即將淘汰。 如需此變更的詳細資料，請參閱從診斷設定儲存體保留移轉至 Azure 儲存體生命週期管理。

目前，稽核記錄中沒有授權購買或啟用的特定活動。 不過，您可能可以將「將資源上線至 PIM」活動從「資源管理」類別相互關聯至授權的購買或啟用。 此活動不一定一律可供使用或提供確切的詳細資料。

這些變更與 MFA 和某些 GDPR 事件的處理方式有關。 刪除使用者或匯出使用者資料這類事件會擷取至稽核記錄，但活動描述可能有點撲朔迷離。 我們正在努力改善這些活動標籤。 如需完整的 GDPR 相關活動清單，請參閱稽核活動。 這些活動與 DirectoryManagement 類別相關聯。

signInActivity 資源用來尋找一段時間尚未登入的非使用中使用者。 其不會近乎即時地進行更新。 如果您需要更快速地找到使用者的最後一個登入活動，則可以使用 Microsoft Entra 登入記錄來查看所有使用者近乎即時的登入活動。

CSV 包括您所選取登入類型的登入記錄。 「不」包括 Microsoft Graph API 中呈現為登入記錄巢狀陣列的資料。 例如，未包括條件式存取原則和僅限報告資訊。 如果您需要匯出登入記錄中包含的所有資訊，請使用 [匯出資料設定] 功能。

也請務必注意，所下載記錄中所含的資料行不會變更，即使您在 Microsoft Entra 系統管理中心內自訂資料行也是一樣。

Microsoft Entra ID 可能會修訂登入記錄中 IP 位址的某個部分，以在使用者可能不屬於可檢視記錄的租用戶時保護使用者隱私權。 有兩種情況會發生此動作：

• 在跨租用戶登入期間，例如，CSP 技術人員登入 CSP 所管理的租用戶時。
• 服務無法判斷使用者的身分識別是否足以確定使用者屬於可檢視記錄的租用戶。

Microsoft Entra ID 會修訂不屬於您租用戶的裝置所產生的個人識別資訊 (PII)，以確保客戶資料。 PII 不會在沒有使用者和資料擁有者同意的情況下分散到租用戶界限之外。

登入項目可能會在您的記錄中重複，原因有數個。

• 如果在登入時識別到風險，則會在包括有風險之後立即發佈另一個幾乎完全相同的事件。
• 如果收到與登入相關的 MFA 事件，則所有相關事件都會彙總至原始登入。
• 如果登入事件的合作夥伴發佈失敗 (例如發佈至 Kusto)，則會重試並再次發佈整批的事件，而這可能會導致重複。
• 涉及多個條件式存取原則的登入事件可能會分割成多個事件，而這可能會導致每個登入事件都至少有兩個事件。

非互動式登入可以每小時觸發大量的事件，因此記錄中會將其分組在一起。

在許多情況下，非互動式登入都有相同的特性，但登入的日期和時間除外。 如果時間彙總設定為 24 小時，則記錄似乎會同時顯示登入。 所有這些已分組的資料列都可以予以展開，以檢視確切的時間戳記。

登入項目可能會在使用者名稱欄位中顯示「使用者識別碼」、「物件識別碼」或 GUID 的原因有很多。

• 使用無密碼驗證時，「使用者識別碼」會顯示為使用者名稱。 若要確認此案例，請查看有問題的登入事件詳細資料。 authenticationDetail 欄位指出「無密碼」。
• 使用者已經過驗證，但尚未登入。 若要確認，具有可與中斷相互關聯的「錯誤碼 50058」。
• 如果使用者名稱欄位顯示 00000-00000-0000-0000 或類似項目，則可能已有租用戶限制，以防止使用者登入所選取的租用戶。
• 多重要素驗證登入嘗試會與多個資料項目彙總，而這可能需要較長的時間才能正確顯示。 資料可能需要最多兩個小時才能完整彙總，但通常較快。

否，一般而言，透過自動重試會解決 90025 錯誤，而不會讓使用者注意到錯誤。 內部 Microsoft Entra 子服務達到重試額度且未指出您的租用戶受到節流時，可能會發生此錯誤。 這些錯誤通常由 Microsoft Entra ID 來內部解決。 如果使用者因這個錯誤而無法登入，則手動再試一次應該會解決此問題。

如果服務主體識別碼的值為 "0000000-0000-0000-0000-000000000000"，則該驗證執行個體中的用戶端應用程式沒有服務主體。 Microsoft Entra 不再發行沒有用戶端服務主體的存取權杖，但少數 Microsoft 和非 Microsoft 應用程式除外。

如果資源服務主體識別碼的值為 "0000000-0000-0000-0000-000000000000"，則該驗證執行個體中的資源應用程式沒有服務主體。

目前只有有限數目的資源應用程式才允許此行為。

您可以在租用戶中查詢沒有用戶端或資源服務主體的驗證執行個體。

• 若要尋找遺漏用戶端服務主體的租用戶登入記錄執行個體，請使用下列查詢：

  https://graph.microsoft.com/beta/auditLogs/signIns?$filter=signInEventTypes/any(t: t eq 'servicePrincipal') and servicePrincipalId eq '00000000-0000-0000-0000-000000000000'
  

• 若要尋找遺漏資源服務主體的租用戶登入記錄執行個體，請使用下列查詢：

  https://graph.microsoft.com/beta/auditLogs/signIns?$filter=signInEventTypes/any(t: t eq 'servicePrincipal') and resourceServicePrincipalId eq '00000000-0000-0000-0000-000000000000'
  

您也可以在 Microsoft Entra 系統管理中心內找到這些登入記錄。

• 登入 Microsoft Entra 系統管理中心。
• 瀏覽至 [身分識別] > [監視和健康情況] > [登入記錄]。
• 選取 [服務主體登入]。
• 在 [日期] 欄位中，選取適當的時間範圍 (過去 24 小時、7 天等)。
• 新增篩選，並選取 [服務主體識別碼]，然後提供值 '00000000-0000-0000-0000-000000000000'，以取得沒有用戶端服務主體的驗證執行個體。

如果您想要控制特定用戶端或資源應用程式在租用戶中的驗證運作方式，則請遵循將 Microsoft Entra 應用程式限制為一組使用者文章中的指示。

在公開預覽版中提供非互動式登入記錄之前，已提供某些非互動式登入。 這些非互動式登入已包括在互動式登入記錄中，並在非互動式記錄可供使用之後保留在互動式登入記錄中。 使用 FIDO2 金鑰的登入是互動式登入記錄中所顯示的非互動式登入範例。 目前，這些非互動式記錄一律會包括在互動式登入記錄中。

您可以使用 Identity Protection 風險偵測 API，以透過 Microsoft Graph 來存取安全性偵測。 此 API 包括進階篩選和欄位選取，並將風險偵測標準化為一種類型，以更輕鬆地整合至 SIEM 和其他資料收集工具。

您可以透過所有登入記錄來針對條件式存取原則進行疑難排解。 檢閱條件式存取狀態，並探索套用至每個原則登入和結果的原則詳細資料。

開始進行之前：

• 登入 Microsoft Entra 系統管理中心。
• 瀏覽至 [身分識別] > [監視和健康情況] > [登入記錄]。
• 選取您想要進行疑難排解的登入。
• 選取 [條件式存取] 索引標籤，以檢視所有已影響登入的原則，以及每個原則的結果。

條件式存取狀態可能會包含下列值：

• 不適用：沒有任何條件式存取原則包含範圍中的使用者和應用程式。
• 成功：有一個條件式存取原則包含範圍中的使用者和應用程式，而且成功地符合條件式存取原則。
• 失敗：登入已滿足至少一項條件式存取原則的使用者和應用程式條件，而授與控制項並未滿足或設為封鎖存取。

條件式存取原則可能會包含下列結果：

• 成功：已成功地符合原則。
• 失敗：不符合原則。
• 未套用：可能不符合原則條件。
• 未啟用：原則可能處於已停用狀態。

登入記錄中的原則名稱是以登入時的條件式存取原則名稱為基礎。 如果您已在登入之後更新原則名稱，則名稱可能會與條件式存取中的原則名稱不一致。

目前，套用條件式存取時，登入記錄可能不會顯示 Exchange ActiveSync 案例的準確結果。 可能的情況為報告中的登入結果顯示成功登入時，但登入實際因原則而失敗。

請查閱 API 參考，以查看您可以如何使用 API 來存取活動記錄。 此端點有兩個報告 (稽核和登入)，提供您在舊有 API 端點中取得的所有資料。 這個新端點也有 Microsoft Entra ID P1 或 P2 授權的登入報告，而您可以用此報告來取得應用程式使用方式、裝置使用方式和使用者登入資訊。

您可以使用 Identity Protection 風險偵測 API，以透過 Microsoft Graph 來存取安全性偵測。 這個新格式可讓您在如何查詢資料方面有更大的彈性。 此格式提供進階篩選和欄位選取，並將風險偵測標準化為一種類型，以更輕鬆地整合至 SIEM 和其他資料收集工具。 由於資料的格式不同，您無法以新查詢替換舊查詢。 不過，新 API 會使用 Microsoft Graph，這是 Microsoft 365 或 Microsoft Entra ID 這類 API 的 Microsoft 標準。 因此所需的工作可以擴充您目前的 Microsoft Graph 投資，或協助您開始轉換至新的標準平台。

您可能需要與 Microsoft Entra 系統管理中心分開登入 Microsoft Graph。 選取右上角的設定檔圖示，然後登入正確的目錄。 您可能正在嘗試執行沒有權限的查詢。 選取 [修改權限]，然後選取 [同意] 按鈕。 遵循登入提示。

每次使用權杖來呼叫 Microsoft Graph 端點時，都會使用該呼叫來更新 MicrosoftGraphActivityLogs。 其中一些呼叫是第一方僅限應用程式呼叫，而這些並不會發佈至服務主體登入記錄。 MicrosoftGraphActivityLogs 顯示您無法在登入記錄中找到的 uniqueTokenIdentifier 時，權杖識別碼會參考第一方僅限應用程式權杖。

如果服務針對標示為「已完成」的某個項目偵測到與該建議相關的活動，則會自動變更回「使用中」。