Další informace o podrobnostech aktivit protokolu přihlašování

Microsoft Entra protokoluje všechna přihlášení do tenanta Azure pro účely dodržování předpisů. Jako správce IT potřebujete vědět, co znamenají hodnoty v protokolech přihlašování, abyste mohli hodnoty protokolu správně interpretovat.

• Přečtěte si o protokolech přihlašování.
• Přizpůsobení a filtrování protokolů přihlašování

Tento článek vysvětluje hodnoty na kartě Základní informace v protokolu přihlašování.

Základní informace

Karta Základní informace obsahuje většinu podrobností, které jsou také zobrazeny v tabulce. Diagnostiku přihlášení můžete spustit na kartě Základní informace. Další informace naleznete v tématu Použití diagnostiky přihlašování.

Kód chyb přihlášení

Pokud přihlášení selhalo, můžete získat další informace o důvodu na kartě Základní informace související položky protokolu. V podrobnostech se zobrazí kód chyby a přidružený důvod selhání. Další informace naleznete v tématu Řešení potíží s chybami přihlášení..

Umístění a zařízení

Na kartách Informace o poloze a zařízení se zobrazují obecné informace o umístění a IP adrese uživatele. Karta Informace o zařízení obsahuje podrobnosti o prohlížeči a operačním systému použitém k přihlášení. Tato karta také obsahuje podrobnosti o tom, jestli zařízení dodržuje předpisy, spravuje se nebo jestli je hybridní připojení Microsoft Entra.

Podrobnosti o ověřování

Karta Podrobnosti ověřování v podrobnostech protokolu přihlášení obsahuje následující informace pro každý pokus o ověření:

• Seznam použitých zásad ověřování, jako je podmíněný přístup nebo výchozí nastavení zabezpečení.
• Posloupnost metod ověřování používaných k přihlášení.
• Pokud byl pokus o ověření úspěšný a důvod proč.

Tyto informace vám umožní řešit potíže s jednotlivými kroky přihlášení uživatele. Pomocí těchto podrobností můžete sledovat:

• Objem přihlášení chráněných vícefaktorovým ověřováním
• Míra využití a úspěšnosti pro každou metodu ověřování
• Použití metod ověřování bez hesla, jako je přihlášení bez hesla Telefon, FIDO2 a Windows Hello pro firmy
• Jak často jsou požadavky na ověřování splněné deklaracemi identity tokenů, například když uživatelé nejsou interaktivně vyzváni k zadání hesla nebo zadání hesla SMS jednorázovým heslem.

Při analýzepodrobnostch

• Ověřovací kód OATH se protokoluje jako metoda ověřování pro hardwarové i softwarové tokeny OATH (jako je aplikace Microsoft Authenticator).
• Karta Podrobnosti o ověřování může zpočátku zobrazovat neúplná nebo nepřesná data, dokud nebudou plně agregované informace protokolu. Mezi známé příklady patří:
  • Při počátečním zaprotokolování událostí přihlášení se nesprávně zobrazí žádost o deklaraci identity ve zprávě tokenu .
  • Primární řádek ověřování není původně protokolován.
• Pokud si nejste jisti podrobnostmi v protokolech, shromážděte ID požadavku a ID korelace, které se mají použít k další analýze nebo řešení potíží.
• Pokud se použijí zásady podmíněného přístupu pro ověřování nebo životnost relace, jsou uvedené nad pokusy o přihlášení. Pokud některou z těchto možností nevidíte, tyto zásady se v současné době nepoužijí. Další informace naleznete v tématu Řízení relací podmíněného přístupu.

Jedinečné identifikátory

V Microsoft Entra ID má přístup k prostředkům tři relevantní komponenty:

• Kdo: Identita (uživatel) provádějící přihlášení.
• Postupy: Klient (aplikace) používaný pro přístup
• Co: Cíl (prostředek) přístupný identitou

Každá komponenta má přidružený jedinečný identifikátor (ID).:

• Požadavek na ověření: Zobrazuje nejvyšší úroveň ověřování potřebnou prostřednictvím všech kroků pro přihlášení, aby přihlášení bylo úspěšné.

  • Rozhraní Graph API podporuje $filter (eq a startsWith pouze operátory).

• Vyhodnocení podmíněného přístupu: Ukazuje, jestli se u události přihlášení použilo průběžné vyhodnocování přístupu (CAE).

  • Pro každé ověřování existuje více žádostí o přihlášení, které se můžou zobrazit na interaktivních nebo neinteraktivních kartách.
  • CaE se zobrazuje jenom jako true pro jeden z požadavků a může se zobrazit na interaktivní kartě nebo na neinteraktivní kartě.
  • Další informace naleznete v tématu Monitorování a řešení potíží s přihlašováním pomocí průběžného vyhodnocování přístupu v Microsoft Entra ID.

• ID korelace: Přihlášení skupin ID korelace ze stejné přihlašovací relace. Hodnota je založena na parametrech předaných klientem, takže může Microsoft Entra ID zaručit jeho přesnost.

• Typ přístupu mezi tenanty: Popisuje typ přístupu mezi tenanty, který objekt actor používá pro přístup k prostředku. Možné hodnoty jsou:

  • none – Přihlašovací událost, která nepřekračovala hranice tenanta Microsoft Entra.
  • b2bCollaboration– Přihlášení mezi tenanty prováděné uživatelem typu host pomocí spolupráce B2B.
  • b2bDirectConnect – Přihlášení mezi tenanty prováděné B2B.
  • microsoftSupport– Přihlášení mezi tenanty prováděné agentem podpory Microsoftu v tenantovi zákazníka Microsoftu.
  • serviceProvider – Přihlášení mezi tenanty prováděné poskytovatelem cloudových služeb (CSP) nebo podobným správcem jménem zákazníka poskytovatele CSP v tenantovi
  • unknownFutureValue – Hodnota sentinelu používaná MS Graphem k tomu, aby klienti mohli zpracovávat změny v seznamech výčtů. Další informace najdete v tématu Osvědčené postupy pro práci s Microsoft Graphem.
  • Pokud přihlášení nepřešlo hranice tenanta, hodnota je none.

• ID požadavku: Identifikátor odpovídající vydanému tokenu. Pokud hledáte přihlášení s konkrétním tokenem, musíte nejprve extrahovat ID požadavku z tokenu.

• Přihlášení: Řetězec, který uživatel poskytne Microsoft Entra ID, aby se identifikoval sám při pokusu o přihlášení. Obvykle se jedná o hlavní název uživatele (UPN), ale může to být jiný identifikátor, například telefonní číslo.

• Typy událostí přihlášení: Označuje kategorii přihlášení, která událost představuje.

  • Kategorie přihlášení uživatele může být interactiveUser nebo nonInteractiveUser odpovídá hodnotě vlastnosti isInteractive u prostředku přihlášení.
  • Kategorie spravované identity je managedIdentity.
  • Kategorie instančního objektu je servicePrincipal.
  • Azure Portal tuto hodnotu nezobrazuje, ale přihlašovací událost se umístí na kartu, která odpovídá typu události přihlášení. Možné hodnoty:
    • interactiveUser
    • nonInteractiveUser
    • servicePrincipal
    • managedIdentity
    • unknownFutureValue
  • Rozhraní Microsoft Graph API podporuje: $filter (eq pouze operátor).

• Tenant: Protokol přihlašování sleduje dva identifikátory tenanta:

  • Domácí tenant – tenant, který vlastní identitu uživatele. ID Microsoft Entra sleduje ID a název.
  • Tenant prostředků – tenant, který vlastní (cílový) prostředek.
  • Tyto identifikátory jsou relevantní ve scénářích napříč tenanty.
  • Pokud například chcete zjistit, jak uživatelé mimo vašeho tenanta přistupují k vašim prostředkům, vyberte všechny položky, ve kterých se domovský tenant neshoduje s tenantem prostředku.

• Typ uživatele: Typ uživatele.

  • Mezi příklady patří member, guestnebo external.

Důležité informace o protokolech přihlašování

Při kontrole protokolů přihlašování je důležité zvážit následující scénáře.

• IP adresa a umístění: Neexistuje žádné konečné připojení mezi IP adresou a místem, kde se počítač s danou adresou fyzicky nachází. Poskytovatelé mobilních zařízení a sítě VPN vydávají IP adresy z centrálních fondů, které jsou často daleko od místa, kde se klientské zařízení skutečně používá. Převod IP adresy na fyzické umístění je v současné době nejlepším úsilím na základě trasování, dat registru, zpětného vyhledávání a dalších informací.

• Podmíněný přístup:

  • Nepoužito: Během přihlašování se na uživatele a aplikaci nepoužijí žádné zásady.
  • Úspěch: Jedna nebo více zásad podmíněného přístupu uplatněných na uživatele a aplikaci (ale ne nutně jiné podmínky) během přihlašování. I když zásady podmíněného přístupu nemusí platit, pokud byly vyhodnoceny, stav podmíněného přístupu zobrazuje úspěch.
  • Chyba: Přihlášení splnilo podmínku uživatele a aplikace alespoň jedné zásady podmíněného přístupu a udělování ovládacích prvků buď nejsou splněné, nebo jsou nastavené tak, aby blokovaly přístup.

• Název domovského tenanta: Kvůli závazkům v oblasti ochrany osobních údajů neplní ID Microsoft Entra pole názvu domovského tenanta během scénářů mezi tenanty.

• Vícefaktorové ověřování: Když se uživatel přihlásí pomocí vícefaktorového ověřování, skutečně probíhá několik samostatných událostí vícefaktorového ověřování. Pokud například uživatel zadá nesprávný ověřovací kód nebo nereaguje včas, odešlou se další události vícefaktorového ověřování, aby odrážely nejnovější stav pokusu o přihlášení. Tyto události přihlášení se v protokolech přihlašování Microsoft Entra zobrazují jako jedna řádek. Stejná přihlašovací událost ve službě Azure Monitor se ale zobrazuje jako více řádkových položek. Všechny tyto události mají stejné correlationId.

Další kroky

• Informace o exportu přihlašovacích protokolů Microsoft Entra
• Prozkoumání diagnostiky přihlašování v Microsoft Entra ID