Protokoly přihlašování jsou běžně používaným nástrojem pro řešení potíží s přístupem uživatelů a prošetřování rizikové přihlašovací aktivity. Protokoly auditu shromažďují každou protokolovanou událost v MICROSOFT Entra ID a dají se použít k prošetření změn ve vašem prostředí. Existuje více než 30 sloupců, ze kterých si můžete přizpůsobit zobrazení protokolů přihlašování v Centru pro správu Microsoft Entra. Protokoly auditu a protokoly zřizování je také možné přizpůsobit a filtrovat podle svých potřeb.
V tomto článku se dozvíte, jak přizpůsobit sloupce a potom vyfiltrovat protokoly, abyste našli informace, které potřebujete efektivněji.
*Zobrazení vlastních atributů zabezpečení v protokolech auditu nebo vytvoření nastavení diagnostiky pro vlastní atributy zabezpečení vyžaduje jednu z rolí protokolu atributů. K zobrazení standardních protokolů auditu potřebujete také příslušnou roli.
S informacemi v protokolech auditu Microsoft Entra máte přístup ke všem záznamům systémových aktivit pro účely dodržování předpisů. Protokoly auditu jsou přístupné z části Monitorování a stav ID Microsoft Entra, kde můžete řadit a filtrovat podle každé kategorie a aktivity. K protokolům auditu můžete přistupovat také v oblasti Centra pro správu služby, kterou prošetřujete.
Pokud například hledáte změny ve skupinách Microsoft Entra, můžete přistupovat k protokolům auditu ze skupin Microsoft Entra ID>. Když z této služby přistupujete k protokolům auditu, filtr se automaticky upraví podle služby.
Přizpůsobení rozložení protokolů auditu
Sloupce v protokolech auditu můžete přizpůsobit tak, aby se zobrazily jenom informace, které potřebujete. Sloupce Služby, Kategorie a Aktivita spolu souvisejí, takže by měly být vždy viditelné.
Filtrování protokolů auditu
Když filtrujete protokoly podle služby, podrobnosti o kategoriích a aktivitách se automaticky změní. V některých případech může existovat pouze jedna kategorie nebo aktivita. Podrobnou tabulku všech možných kombinací těchto podrobností najdete v tématu Aktivity auditu.
Služba: Výchozí nastavení pro všechny dostupné služby, ale seznam můžete filtrovat na jednu nebo více výběrem možnosti z rozevíracího seznamu.
Kategorie: Výchozí hodnota je pro všechny kategorie, ale můžete ji filtrovat a zobrazit kategorii aktivity, například změnit zásadu nebo aktivovat oprávněnou roli Microsoft Entra.
Aktivita: Na základě vybrané kategorie a typu prostředku aktivity. Můžete vybrat konkrétní aktivitu, kterou chcete zobrazit, nebo zvolit všechny.
Seznam všech aktivit auditu můžete získat pomocí rozhraní Microsoft Graph API: https://graph.windows.net/<tenantdomain>/activities/auditActivityTypesV2?api-version=beta
Stav: Umožňuje podívat se na výsledek na základě toho, jestli aktivita byla úspěšná nebo neúspěšná.
Cíl: Umožňuje vyhledat cíl nebo příjemce aktivity. Prohledejte několik prvních písmen jména nebo hlavního názvu uživatele (UPN). Cílový název a hlavní název uživatele (UPN) rozlišují malá a velká písmena.
Inicializováno: Umožňuje vyhledávat podle toho, kdo aktivitu zahájil, pomocí prvních několika písmen jejich jména nebo hlavního názvu uživatele (UPN). U názvu a hlavního názvu uživatele (UPN) se rozlišují malá a velká písmena.
Rozsah dat: Umožňuje definovat časový rámec vrácených dat. Můžete vyhledat posledních 7 dní, 24 hodin nebo vlastní rozsah. Když vyberete vlastní časový rámec, můžete nakonfigurovat počáteční a koncový čas.
Na stránce protokolů přihlašování můžete přepínat mezi čtyřmi typy protokolů přihlašování. Další informace o čtyřech typech protokolů najdete v tématu Co jsou protokoly přihlašování Microsoft Entra?.
Interaktivní přihlášení uživatelů: Přihlášení, kde uživatel poskytuje ověřovací faktor, například heslo, odpověď prostřednictvím aplikace MFA, biometrický faktor nebo kód QR.
Neinteraktivní přihlášení uživatelů: Přihlášení prováděná klientem jménem uživatele. Tato přihlášení nevyžadují od uživatele žádné interakce ani ověřovací faktor. Například ověřování a autorizace pomocí obnovovacích a přístupových tokenů, které nevyžadují, aby uživatel zadával přihlašovací údaje.
Přihlášení instančního objektu: Přihlášení pomocí aplikací a instančních objektů, které nezahrnují žádného uživatele. V těchto přihlášeních aplikace nebo služba poskytuje přihlašovací údaje vlastním jménem pro ověřování nebo přístup k prostředkům.
Spravované identity pro přihlašování k prostředkům Azure: Přihlášení pomocí prostředků Azure, které mají tajné kódy spravované v Azure. Další informace najdete v tématu, které vysvětluje, co jsou spravované identity pro prostředky Azure.
Přizpůsobení rozložení protokolů přihlašování
Sloupce pro interaktivní přihlašovací protokol uživatele můžete přizpůsobit pomocí více než 30 možností sloupců. Pokud chcete efektivněji zobrazit protokol přihlašování, věnujte chvilku přizpůsobení zobrazení podle svých potřeb.
- V horní části protokolu vyberte sloupce z nabídky.
- Vyberte sloupce, které chcete zobrazit, a v dolní části okna vyberte tlačítko Uložit .
Filtrování protokolů přihlašování
Filtrování protokolů přihlašování je užitečný způsob, jak rychle najít protokoly, které odpovídají konkrétnímu scénáři. Seznam můžete například filtrovat tak, aby zobrazoval jenom přihlášení, ke kterým došlo v určitém geografickém umístění, z konkrétního operačního systému nebo z konkrétního typu přihlašovacích údajů.
Některé možnosti filtru vás vyzve k výběru dalších možností. Podle pokynů proveďte výběr, který potřebujete pro filtr. Můžete přidat více filtrů.
Vyberte tlačítko Přidat filtry, zvolte možnost filtru a vyberte Použít.
Zadejte konkrétní podrobnosti , například ID požadavku, nebo vyberte jinou možnost filtru.
Můžete filtrovat podle několika podrobností. Následující tabulka popisuje některé běžně používané filtry. Nejsou popsány všechny možnosti filtru.
| Filtr |
Popis |
| ID požadavku |
Jedinečný identifikátor žádosti o přihlášení |
| ID korelace |
Jedinečný identifikátor všech žádostí o přihlášení, které jsou součástí pokusu o jednotné přihlašování |
| Uživatelská |
Hlavní název uživatele (UPN) uživatele |
| Aplikace |
Aplikace cílí na žádost o přihlášení |
| Stav |
Možnosti jsou úspěch, selhání a přerušení |
| Prostředek |
Název služby použité pro přihlášení |
| IP adresa |
IP adresa klienta použitého pro přihlášení |
| Podmíněný přístup |
Možnosti se nepoužívají, úspěch a selhání |
Teď, když je tabulka protokolů přihlašování naformátovaná podle vašich potřeb, můžete data efektivněji analyzovat. Další analýzy a uchovávání přihlašovacích dat je možné provést exportem protokolů do jiných nástrojů.
Přizpůsobení sloupců a úprava filtru pomáhá při pohledu na protokoly s podobnými vlastnostmi. Pokud se chcete podívat na podrobnosti přihlášení, vyberte řádek v tabulce a otevřete panel Podrobnosti o aktivitě. Na panelu je několik karet, které můžete prozkoumat. Další informace najdete v tématu Podrobnosti o aktivitě protokolu přihlášení.
Filtr klientské aplikace
Při kontrole původu přihlášení možná budete muset použít filtr klientské aplikace . Klientská aplikace má dvě podkategorie: moderní klienti ověřování a klienti starší verze ověřování. Klienti moderního ověřování mají dvě další podkategorie: Prohlížeče a mobilní aplikace a desktopové klienty. Pro starší klienty ověřování existuje několik podkategorií, které jsou definovány v tabulce podrobností klienta starší verze ověřování.
Přihlášení k prohlížeči zahrnují všechny pokusy o přihlášení z webových prohlížečů. Při zobrazení podrobností o přihlášení z prohlížeče se na kartě Základní informace zobrazí klientská aplikace: Prohlížeč.
Na kartě Informace o zařízení prohlížeč zobrazuje podrobnosti webového prohlížeče. Typ a verze prohlížeče jsou uvedené, ale v některých případech není název prohlížeče a verze k dispozici. Může se zobrazit něco jako Rich Client 4.0.0.0.
Podrobnosti o starší verzi klienta ověřování
Následující tabulka obsahuje podrobnosti o jednotlivých možnostech klienta starší verze ověřování.
| Název |
Popis |
| Ověřený protokol SMTP |
Používá se klienty POP a IMAP k odesílání e-mailových zpráv. |
| Autodiscover |
Používají se klienti Outlooku a EAS k vyhledání poštovních schránek v Exchangi Online a jejich připojení. |
| Exchange ActiveSync |
Tento filtr zobrazuje všechny pokusy o přihlášení, ve kterých došlo k pokusu o protokol EAS. |
| Exchange ActiveSync |
Zobrazuje všechny pokusy o přihlášení od uživatelů s klientskými aplikacemi pomocí protokol Exchange ActiveSync pro připojení k Exchangi Online. |
| Exchange Online – PowerShell |
Slouží k připojení k Exchangi Online pomocí vzdáleného PowerShellu. Pokud zablokujete základní ověřování pro Exchange Online PowerShell, musíte k připojení použít modul Exchange Online PowerShell. Pokyny najdete v tématu Připojení k Exchange Online PowerShellu pomocí vícefaktorového ověřování. |
| Webové služby systému Exchange |
Programovací rozhraní, které používá Outlook, Outlook pro Mac a aplikace třetích stran. |
| IMAP4 |
Starší poštovní klient používající protokol IMAP k načtení e-mailu. |
| MAPI přes HTTP |
Používá se v Outlooku 2010 a novějším. |
| Offline adresář |
Kopie kolekcí seznamu adres stažených a používaných aplikací Outlook. |
| Outlook Anywhere (RPC přes HTTP) |
Používá se v Outlooku 2016 a starším. |
| Služba Outlook |
Používá se v aplikaci Pošta a Kalendář pro Windows 10. |
| POP3 |
Starší poštovní klient využívající protokol POP3 k načtení e-mailu. |
| Reporting Web Services |
Používá se k načtení dat sestavy v Exchangi Online. |
| Ostatní klienti |
Zobrazuje všechny pokusy o přihlášení od uživatelů, u kterých klientská aplikace není zahrnutá nebo neznámá. |
Pokud chcete efektivněji zobrazit protokol zřizování, věnujte chvilku přizpůsobení zobrazení vašim potřebám. Můžete určit, které sloupce se mají zahrnout a filtrovat, aby se věci zúžily.
Přizpůsobení rozvržení
Protokol zřizování má výchozí zobrazení, ale můžete přizpůsobit sloupce.
- V horní části protokolu vyberte sloupce z nabídky.
- Vyberte sloupce, které chcete zobrazit, a v dolní části okna vyberte tlačítko Uložit .
Filtrování výsledků
Při filtrování zřizovacích dat se některé hodnoty filtru dynamicky vyplní na základě vašeho tenanta. Pokud například ve vašem tenantovi nemáte žádné události "vytvořit", možnost = Vytvořit filtr není k dispozici.
Filtr Identita umožňuje zadat název nebo identitu, na které vám záleží. Tato identita může být uživatel, skupina, role nebo jiný objekt.
Můžete hledat podle názvu nebo ID objektu. ID se liší podle scénáře.
- Pokud zřizujete objekt z Microsoft Entra ID pro Salesforce, je ID zdroje ID objektu uživatele v Microsoft Entra ID. Cílové ID je ID uživatele v Salesforce.
- Pokud zřizujete z Workday na ID Microsoft Entra, id zdroje je ID zaměstnance pracovního procesu Workday. Cílové ID je ID uživatele v Microsoft Entra ID.
- Pokud zřizujete uživatele pro synchronizaci mezi tenanty, id zdroje je ID uživatele ve zdrojovém tenantovi. ID cíle je ID uživatele v cílovém tenantovi.
Poznámka:
Jméno uživatele nemusí být vždy ve sloupci Identita . Vždy bude existovat jedno ID.
Filtr Datum umožňuje definovat časový rámec pro vracená data. Možné hodnoty jsou:
- Jeden měsíc
- Sedm dní
- 30 dní
- 24 hodin
- Vlastní časový interval (konfigurace počátečního a koncového data)
Filtr Stav umožňuje vybrat:
- Vše
- Success
- Selhání
- Přeskočena
Filtr akcí umožňuje filtrovat tyto akce:
- Vytvoření
- Aktualizovat
- Odstranění
- Zakázat
- Jiný důvod
Kromě filtrů výchozího zobrazení můžete nastavit následující filtry.
ID úlohy: Jedinečné ID úlohy je přidružené ke každé aplikaci, pro kterou jste povolili zřizování.
ID cyklu: ID cyklu jednoznačně identifikuje cyklus zřizování. Toto ID můžete sdílet s podporou produktů a vyhledat cyklus, ve kterém k této události došlo.
ID změny: ID změny je jedinečný identifikátor události zřizování. Toto ID můžete sdílet s podporou produktů a vyhledat událost zřizování.
Zdrojový systém: Můžete určit, odkud se identita zřizuje. Pokud například zřizujete objekt z Microsoft Entra ID pro ServiceNow, zdrojový systém je Microsoft Entra ID.
Cílový systém: Můžete určit, kam se identita zřizuje. Když například zřizujete objekt z Microsoft Entra ID pro ServiceNow, cílový systém je ServiceNow.
Aplikace: Můžete zobrazit pouze záznamy aplikací s zobrazovaným názvem nebo ID objektu, které obsahuje určitý řetězec. Pro synchronizaci mezi tenanty použijte ID objektu konfigurace, nikoli ID aplikace.
