Protokoly přihlášení v Azure Active Directory
Jako správce IT chcete zjistit, jak vaše IT prostředí dělá. Informace o stavu vašeho systému vám umožní posoudit, jestli a jak potřebujete reagovat na potenciální problémy.
pro podporu s tímto cílem vám portál Azure Active Directory umožňuje přístup k třem protokolům aktivit:
- Přihlášení – informace o přihlášeních a o tom, jak vaše prostředky používají vaši uživatelé.
- Audit – informace o změnách použitých pro vašeho tenanta, jako jsou uživatelé a Správa skupin nebo aktualizace, které se vztahují na prostředky vašeho tenanta.
- Zřizování – aktivity prováděné službou zřizování, například vytvoření skupiny v ServiceNow nebo uživatel importovaný z pracovního dne.
Tento článek obsahuje přehled sestavy přihlášení.
Co s ním můžete dělat?
Pomocí protokolu přihlášení můžete najít odpovědi na otázky, jako jsou:
Jaký je vzorec přihlašování uživatele?
Kolik uživatelů se přihlásilo za týden?
Jaký je stav těchto přihlášení?
Kdo k ní mají přístup?
Pomocí tohoto odkazu můžete vždycky přistupovat k vlastní historii přihlášení: https://mysignins.microsoft.com
Chcete-li získat přístup k protokolu přihlášení, je třeba provést následující:
Globální správce
Uživatel v jedné z následujících rolí:
Správce zabezpečení
Čtenář zabezpečení
Globální čtenář
Čtečka sestav
Jakou licenci Azure AD potřebujete?
Sestava přihlašovací aktivita je dostupná ve všech edicích Azure AD. pokud máte licenci Azure Active Directory P1 nebo P2, budete mít také přístup k sestavě aktivit přihlašování prostřednictvím rozhraní API Microsoft Graph.
Kde je najdete v Azure Portal?
Azure Portal poskytuje několik možností pro přístup k protokolu. v nabídce Azure Active Directory například můžete otevřít protokol v části monitorování .
Kromě toho můžete získat přímý přístup k protokolům přihlášení pomocí tohoto odkazu: https://portal.azure.com/#blade/Microsoft_AAD_IAM/ActiveDirectoryMenuBlade/SignIns
Jaké je výchozí zobrazení?
Protokol přihlášení má výchozí zobrazení seznamu, které obsahuje následující položky:
- Datum přihlášení
- Související uživatel
- Aplikace, ke které se uživatel přihlásil
- Stav přihlášení
- Stav detekce rizik
- Stav požadavku na vícefaktorové ověřování (MFA)
Zobrazení seznamu můžete upravit kliknutím na Sloupce na panelu nástrojů.
Dialog sloupce vám umožní přístup k volitelným atributům. V sestavě přihlášení nemůžete mít pole, která mají více než jednu hodnotu pro danou žádost o přihlášení jako sloupec. Jedná se například o hodnotu true pro podrobnosti o ověřování, data podmíněného přístupu a umístění v síti.
Chcete-li získat podrobnější informace, vyberte položku v zobrazení seznamu.
Kód chyby přihlášení
Pokud se nezdařilo přihlášení, můžete získat další informace o příčině v části základní informace o související položce protokolu.
I když položka protokolu poskytuje důvod selhání, existují případy, kdy můžete získat další informace pomocí Nástroje pro vyhledávání chyb při přihlašování. Pokud je k dispozici například, tento nástroj poskytuje kroky odstranění problému.
Filtrování aktivit přihlašování
Data v protokolu můžete filtrovat, abyste je mohli zúžit na úroveň, která vám bude vyhovovat:
ID žádosti – ID žádosti, o kterou vám záleží.
Uživatel – jméno nebo hlavní název uživatele (UPN) uživatele, o kterém máte starosti.
Application – název cílové aplikace.
Stav – stav přihlášení, o který máte starosti:
Success
Selhání
Bylo
IP adresa – IP adresa zařízení používaného pro připojení k vašemu tenantovi.
Umístění – umístění, ze kterého bylo připojení iniciováno:
City (Město)
Kraj
Země/oblast
Prostředek – název služby, která se používá pro přihlášení.
ID prostředku – ID služby použité pro přihlášení
Klientská aplikace – typ klientské aplikace používané pro připojení k vašemu tenantovi:
Poznámka
Z důvodu závazků týkajících se ochrany osobních údajů služba Azure AD neplní toto pole do domovského tenanta v případě scénářů mezi klienty.
| Name | Moderní ověřování | Description |
|---|---|---|
| Ověřený protokol SMTP | Používá se pro odesílání e-mailových zpráv klientem POP a IMAP. | |
| Automatického | používá se Outlook a klienty EAS k vyhledání a připojení k poštovním schránkám v Exchange Online. | |
| Exchange ActiveSync | Tento filtr zobrazuje všechny pokusy o přihlášení, kde došlo k pokusu o provedení protokolu EAS. | |
| Prohlížeč |  |
Zobrazí všechny pokusy uživatelů o přihlášení pomocí webových prohlížečů. |
| Exchange ActiveSync | zobrazuje všechny pokusy o přihlášení od uživatelů s klientskými aplikacemi, které používají protokol Exchange ActiveSync pro připojení k Exchange Online | |
| Exchange Online PowerShell | slouží k připojení k Exchange Online se vzdáleným prostředím PowerShell. pokud zablokujete základní ověřování pro Exchange Online PowerShell, musíte k připojení použít modul Exchange Online powershellu. pokyny najdete v tématu Připojení Exchange Online powershellu pomocí služby multi-factor authentication. | |
| Webové služby Exchange | programovací rozhraní, které používá Outlook, Outlook pro Mac a aplikace třetích stran. | |
| IMAP4 | Starší verze poštovního klienta, který používá IMAP k načtení e-mailu. | |
| Rozhraní MAPI přes protokol HTTP | používá se Outlook 2010 a novějším. | |
| Mobilní aplikace a klienti klasické pracovní plochy | |
Zobrazuje všechny pokusy o přihlášení od uživatelů s využitím mobilních aplikací a desktopových klientů. |
| Offline adresář | Kopie kolekcí seznamu adres, které jsou staženy a používány Outlook. | |
| Outlook kdekoli (RPC přes HTTP) | používá Outlook 2016 a starší. | |
| služba Outlook | Používá se v aplikaci Mail a kalendář pro Windows 10. | |
| POP3 | Starší verze poštovního klienta pomocí protokolu POP3 k načtení e-mailu. | |
| Webové služby vytváření sestav | Slouží k načtení dat sestavy v Exchange Online. | |
| Ostatní klienti | Zobrazuje všechny pokusy o přihlášení uživatelů, u kterých není klientská aplikace zahrnutá nebo neznámá. |
Operační systém – operační systém, který se používá v zařízení, se přihlašuje k vašemu tenantovi.
Prohlížeč zařízení – Pokud bylo připojení iniciováno z prohlížeče, toto pole vám umožní filtrovat podle názvu prohlížeče.
ID korelace – ID korelace aktivity
Podmíněný přístup – stav použitých pravidel podmíněného přístupu
Nepoužito: pro uživatele a aplikaci během přihlašování nebyly aplikovány žádné zásady.
Úspěch: jedna nebo více zásad podmíněného přístupu použitých pro uživatele a aplikaci (ale ne nutně i v ostatních podmínkách) během přihlašování.
Selhání: přihlášení splnilo podmínku pro uživatele a aplikaci alespoň pro jednu zásadu podmíněného přístupu a udělení těchto ovládacích prvků není splněno nebo je nastaveno pro blokování přístupu.
Stažení aktivit přihlašování
Klikněte na možnost Stáhnout a vytvořte soubor CSV nebo soubor JSON s nejnovějšími záznamy 250 000. Začněte stažením přihlašovacích údajů , pokud chcete s ní pracovat mimo Azure Portal.
Důležité
počet záznamů, které si můžete stáhnout, je omezený o Azure Active Directory zásady uchovávání sestav.
Zástupci dat přihlášení
Azure AD a Azure Portal poskytují další vstupní body pro data přihlášení:
- Přehled ochrany zabezpečení identity
- Uživatelé
- Skupiny
- Podnikové aplikace
Data přihlášení uživatelů v ochraně zabezpečení identity
Graf přihlašování uživatelů na stránce Přehled ochrany zabezpečení identity zobrazuje týdenní agregace přihlášení. Výchozí hodnota pro časové období je 30 dní.
Když v grafu přihlašování kliknete na konkrétní den, zobrazí se přehled aktivit přihlašování pro tento den.
Na každém řádku v seznamu aktivit přihlašování se zobrazí:
- Kdo se přihlásil?
- Která aplikace byla cílem přihlášení?
- Jaký je stav přihlášení?
- Jaký je stav MFA přihlášení?
Kliknutím na položku zobrazíte další podrobnosti o přihlašovací operaci:
- ID uživatele
- Uživatel
- Uživatelské jméno
- ID aplikace
- Aplikace
- Klient
- Umístění
- IP adresa
- Datum
- Vyžaduje se MFA
- Stav přihlášení
Poznámka
IP adresy se vydávají takovým způsobem, že mezi IP adresou neexistuje konečné připojení a kde je počítač s touto adresou fyzicky umístěný. Mapování IP adres je složité, protože mobilní poskytovatelé a sítě VPN vydávají IP adresy z centrálních fondů, které jsou často příliš daleko od místa, kde je klientské zařízení skutečně použito. V současné době se převod IP adresy na fyzické místo snaží na základě trasování, dat registru, zpětného vyhledávání a dalších informací.
Na stránce Uživatelé zobrazíte úplný přehled všech přihlášení uživatelů kliknutím na Přihlášení v části Aktivita.
Podrobnosti o ověřování
Karta Podrobnosti o ověřování v sestavě přihlášení poskytuje následující informace pro každý pokus o ověření:
- Seznam použitých zásad ověřování (například podmíněný přístup, MFA na uživatele, výchozí nastavení zabezpečení)
- Seznam použitých zásad životního cyklu relace (například četnost přihlášení, zapamatování vícefaktorového ověřování, konfigurace životnosti tokenů)
- Posloupnost metod ověřování používaných k přihlášení
- Bez ohledu na to, jestli byl pokus o ověření úspěšný
- Podrobnosti o tom, proč byl pokus o ověření úspěšný nebo neúspěšný
Tyto informace umožňují správcům řešit jednotlivé kroky při přihlašování uživatele a sledovat:
- Objem přihlašovacích modulů chráněných službou Multi-Factor Authentication
- Důvod pro výzvu k ověření na základě zásad životního cyklu relace
- Využití a míry úspěšnosti pro jednotlivé metody ověřování
- použití metod ověřování bez hesla (například přihlášení Telefon bez hesla, FIDO2 a Windows Hello pro firmy)
- Jak často jsou požadavky na ověřování splněné deklaracemi identity (kde se uživatelé interaktivně nedotazují na zadání hesla, zadejte SMS a tak dále).
Při prohlížení sestavy přihlášení vyberte kartu Podrobnosti ověření :
Poznámka
ověřovací kód oath je protokolován jako metoda ověřování pro hardwarové i softwarové tokeny oath (například aplikace Microsoft Authenticator).
Důležité
Karta Podrobnosti ověření může zpočátku zobrazovat neúplná nebo nepřesná data, dokud nejsou plně agregované informace protokolu. Mezi známé příklady patří:
- Deklarace identity ve zprávě tokenu se nesprávně zobrazuje, když se poprvé přihlásí události přihlášení.
- První řádek ověřování není zaprotokolován.
Použití spravovaných aplikací
S použitím zobrazení dat přihlašování zaměřeného na aplikace můžete odpovídat na otázky tohoto typu:
- Kdo používá mé aplikace?
- Jaké jsou tři hlavní aplikace ve vaší organizaci?
- Jak funguje moje nejnovější aplikace?
Vstupním bodem k těmto datům jsou tři hlavní aplikace ve vaší organizaci. data jsou obsažena v posledních 30 dnech sestavy v části přehled v části Enterprise aplikace.
Grafy využití aplikace týdenní agregovaná přihlášení k vašim horním třem aplikacím v daném časovém období. Výchozí časové období je 30 dnů.
Pokud chcete, můžete se zaměřit na konkrétní aplikaci.
Když v grafu využívání aplikací kliknete na konkrétní den, zobrazí se podrobný seznam aktivit přihlašování.
Možnost Přihlášení poskytuje úplný přehled o všech událostech přihlašování pro vaše aplikace.
protokoly aktivit Microsoft 365
z Centrum pro správu Microsoftu 365můžete zobrazit protokoly aktivit Microsoft 365. vezměte v úvahu, že Microsoft 365 aktivity a protokoly aktivit služby Azure AD sdílejí velký počet prostředků adresáře. pouze Centrum pro správu Microsoftu 365 poskytuje úplné zobrazení protokolů aktivit Microsoft 365.
přístup k protokolům aktivit Microsoft 365 lze také programově pomocí rozhraní api pro správu Office 365.