Mik a Microsoft Entra bejelentkezési naplói?

A Microsoft Entra minden bejelentkezést naplóz egy Azure-bérlőbe, amely magában foglalja a belső alkalmazásokat és erőforrásokat. Rendszergazdaként tudnia kell, mit jelentenek a bejelentkezési naplók értékei, hogy megfelelően értelmezhesse a naplóértékeket.

A bejelentkezési hibák és minták áttekintése értékes betekintést nyújt abba, hogy a felhasználók hogyan férnek hozzá az alkalmazásokhoz és szolgáltatásokhoz. A Microsoft Entra ID által biztosított bejelentkezési naplók hatékony tevékenységnaplók, amelyeket elemezhet. Ez a cikk bemutatja, hogyan érheti el és használhatja fel a bejelentkezési naplókat.

A bejelentkezési naplók előnézeti nézete interaktív és nem interaktív felhasználói bejelentkezéseket, valamint szolgáltatásnevet és felügyelt identitást tartalmazó bejelentkezéseket tartalmaz. Továbbra is megtekintheti a klasszikus bejelentkezési naplókat, amelyek csak interaktív bejelentkezéseket tartalmaznak.

Két másik tevékenységnapló is elérhető a bérlő állapotának figyeléséhez:

  • Naplózás – Információk a bérlőre alkalmazott módosításokról, például a felhasználókról és a csoportkezelésről, illetve a bérlő erőforrásaira alkalmazott frissítésekről.
  • Kiépítés – Kiépítési szolgáltatás által végzett tevékenységek, például csoport létrehozása a ServiceNow-ban vagy a Workdayből importált felhasználó.

Mit tehet a bejelentkezési naplókkal?

A bejelentkezési naplókkal válaszolhat az olyan kérdésekre, mint például:

  • Hány felhasználó jelentkezett be egy adott alkalmazásba ezen a héten?
  • Hány sikertelen bejelentkezési kísérlet történt az elmúlt 24 órában?
  • Bizonyos böngészőkből vagy operációs rendszerekből jelentkeznek be a felhasználók?
  • Az Azure-erőforrások közül melyikhez férnek hozzá felügyelt identitások és szolgáltatásnevek?

A bejelentkezési kérelemhez társított tevékenységet az alábbi adatok azonosításával is leírhatja:

  • Ki – A bejelentkezést végrehajtó identitás (felhasználó).
  • How – A bejelentkezéshez használt ügyfél (alkalmazás).
  • Mi – Az identitás által elért cél (erőforrás).

Milyen típusú bejelentkezési naplók vannak?

A bejelentkezési naplók előzetes verziójában négyféle napló található:

  • Interaktív felhasználói bejelentkezések
  • Nem interaktív felhasználói bejelentkezések
  • Szolgáltatásnév-bejelentkezések
  • Felügyelt identitás bejelentkezései

A klasszikus bejelentkezési naplók csak interaktív felhasználói bejelentkezéseket tartalmaznak.

Megjegyzés:

A bejelentkezési naplók bejegyzései rendszerszintűek, és nem módosíthatók és nem törölhetők.

Interaktív felhasználói bejelentkezések

Az interaktív bejelentkezéseket egy felhasználó hajtja végre. Hitelesítési tényezőt biztosítanak a Microsoft Entra-azonosítóhoz. Ez a hitelesítési tényező egy segítő alkalmazással is együttműködhet, például a Microsoft Authenticator alkalmazással. A felhasználók jelszavakat, válaszokat adhatnak az MFA kihívásaira, biometrikus tényezőkre vagy QR-kódokra a Microsoft Entra-azonosítóhoz vagy egy segítő alkalmazáshoz. Ez a napló a Microsoft Entra-azonosítóval összevont identitásszolgáltatók összevont bejelentkezéseit is tartalmazza.

Screenshot of the interactive user sign-in log.

Jelentés mérete: kis
példák:

  • A felhasználó a Microsoft Entra bejelentkezési képernyőjén adja meg a felhasználónevet és a jelszót.
  • A felhasználó átmegy egy SMS MFA-feladaton.
  • A felhasználó biometrikus kézmozdulattal oldja fel Windows rendszerű számítógépét a Vállalati Windows Hello.
  • A felhasználó a Microsoft Entra-azonosítóhoz van összevonva egy AD FS SAML-állítással.

Az alapértelmezett mezők mellett az interaktív bejelentkezési napló a következőket is megjeleníti:

  • A bejelentkezési hely
  • A feltételes hozzáférés alkalmazása

Known limitations

Nem interaktív bejelentkezések az interaktív bejelentkezési naplókban

Korábban a Microsoft Exchange-ügyfelek nem interaktív bejelentkezései is bekerültek az interaktív felhasználói bejelentkezési naplóba a jobb láthatóság érdekében. Erre a nagyobb láthatóságra a nem interaktív felhasználói bejelentkezési naplók 2020 novemberében való bevezetése előtt volt szükség. Fontos azonban megjegyezni, hogy egyes nem interaktív bejelentkezések, például a FIDO2-kulcsokat használók, továbbra is interaktívként jelölhetők meg, mivel a rendszer a különálló nem interaktív naplók bevezetése előtt lett beállítva. Ezek a bejelentkezések interaktív adatokat jeleníthetnek meg, például az ügyfél hitelesítő adatait és a böngésző adatait, még akkor is, ha technikailag nem interaktív bejelentkezések.

Átengedő bejelentkezések

A Microsoft Entra ID jogkivonatokat ad ki a hitelesítéshez és az engedélyezéshez. Bizonyos esetekben a Contoso-bérlőbe bejelentkezett felhasználók megpróbálhatnak hozzáférni a Fabrikam-bérlő erőforrásaihoz, ahol nincs hozzáférésük. A Fabrikam-bérlő egy átengedési jogkivonatnak nevezett engedélyezési jogkivonatot ad ki. Az átengedési jogkivonat nem teszi lehetővé a felhasználó számára az erőforrások elérését.

A jelen helyzet naplóinak áttekintésekor az otthoni bérlő bejelentkezési naplói (ebben a forgatókönyvben a Contoso) nem jelenítik meg a bejelentkezési kísérletet, mert a jogkivonatot nem értékelték ki az otthoni bérlő házirendjei alapján. A bejelentkezési jogkivonatot csak a megfelelő hibaüzenet megjelenítésére használták. Az otthoni bérlő naplóiban nem jelenik meg bejelentkezési kísérlet.

Belső, csak alkalmazásalapú szolgáltatásnév-bejelentkezések

A szolgáltatásnév bejelentkezési naplói nem tartalmaznak belső, csak alkalmazásalapú bejelentkezési tevékenységet. Ez a tevékenység akkor fordul elő, ha a külső alkalmazások jogkivonatokat kapnak egy belső Microsoft-feladathoz, ahol a felhasználónak nincs iránya vagy környezete. Ezeket a naplókat kizárjuk, hogy ne kelljen fizetnie a bérlőn belüli belső Microsoft-jogkivonatokhoz kapcsolódó naplókért.

Azonosítsa azokat a Microsoft Graph-eseményeket, amelyek nem kapcsolódnak a szolgáltatásnév-bejelentkezéshez, ha ugyanahhoz a Log Analytics-munkaterülethez SignInLogs kapcsolódikMicrosoftGraphActivityLogs. Ez az integráció lehetővé teszi a Microsoft Graph API-híváshoz kiadott jogkivonat kereszthivatkozását a bejelentkezési tevékenységgel. A UniqueTokenIdentifier bejelentkezési naplók és a SignInActivityId Microsoft Graph tevékenységnaplói hiányoznak a szolgáltatásnév bejelentkezési naplóiból.

Nem interaktív felhasználói bejelentkezések

A nem interaktív bejelentkezések egy felhasználó nevében történik. Ezeket a delegált bejelentkezéseket egy ügyfélalkalmazás vagy operációsrendszer-összetevő hajtotta végre egy felhasználó nevében, és nem követeli meg a felhasználótól a hitelesítési tényező megadását. Ehelyett a Microsoft Entra ID felismeri, hogy a felhasználó jogkivonatát frissíteni kell, és ezt a háttérben teszi meg anélkül, hogy megszakítja a felhasználó munkamenetét. A felhasználó általában úgy látja, hogy ezek a bejelentkezések a háttérben történnek.

Screenshot of the non-interactive user sign-in log.

Jelentés mérete: Nagy
példák:

  • Az ügyfélalkalmazás OAuth 2.0 frissítési jogkivonatot használ a hozzáférési jogkivonat lekéréséhez.
  • Az ügyfél egy OAuth 2.0 engedélyezési kódot használ a hozzáférési jogkivonat lekéréséhez és a jogkivonat frissítéséhez.
  • A felhasználó egyszeri bejelentkezést (SSO) hajt végre egy web- vagy Windows-alkalmazásba a Microsoft Entra-hoz csatlakoztatott pc-n (hitelesítési tényező megadása vagy a Microsoft Entra-parancssor használata nélkül).
  • A felhasználó bejelentkezik egy második Microsoft-Office-app, miközben mobileszközön van munkamenete a FOCI (Az ügyfélazonosítók családja) használatával.

Az alapértelmezett mezők mellett a nem interaktív bejelentkezési napló a következőket is megjeleníti:

  • Erőforrás-azonosító
  • Csoportosított bejelentkezések száma

A jelentésben szereplő mezők nem szabhatók testre.

Az adatok könnyebb emésztése érdekében a nem interaktív bejelentkezési események csoportosítva vannak. Az ügyfelek gyakran rövid idő alatt számos nem interaktív bejelentkezést hoznak létre ugyanazon felhasználó nevében. A nem interaktív bejelentkezések ugyanazokkal a jellemzőkkel rendelkeznek, kivéve azt az időpontot, amikor a bejelentkezést megkísérelték. Egy ügyfél például óránként egyszer kap hozzáférési jogkivonatot egy felhasználó nevében. Ha a felhasználó vagy az ügyfél állapota nem változik, az IP-cím, az erőforrás és minden egyéb információ megegyezik minden hozzáférési jogkivonat-kérés esetében. Az egyetlen változási állapot a bejelentkezés dátuma és időpontja.

Screenshot of an aggregate sign-in expanded to show all rows.

Ha a Microsoft Entra több, az időtől és a dátumtól eltérő bejelentkezést naplóz, ezek a bejelentkezések ugyanabból az entitásból származnak, és egyetlen sorba vannak összesítve. A több azonos bejelentkezéssel rendelkező sor (a dátum és a kiadott idő kivételével) egynél nagyobb értékkel rendelkezik a #bejelentkezések oszlopban. Ezek az összesített bejelentkezések úgy tűnhetnek, hogy azonos időbélyegekkel rendelkeznek. Az időösszesítő szűrő 1 óra, 6 óra vagy 24 óra lehet. A sor kibontásával megtekintheti az összes különböző bejelentkezést és azok különböző időbélyegeit.

A bejelentkezések a nem interaktív felhasználókban összesítve jelennek meg, amikor az alábbi adatok egyezések:

  • Application
  • User
  • IP-cím
  • Állapot
  • Erőforrás-azonosító

Megjegyzés:

A bizalmas ügyfelek által végrehajtott nem interaktív bejelentkezések IP-címe nem egyezik meg annak a forrásNAK az IP-címével, ahonnan a frissítési jogkivonat-kérés származik. Ehelyett az eredeti jogkivonat kiállításához használt eredeti IP-címet jeleníti meg.

Szolgáltatásnév-bejelentkezések

Az interaktív és nem interaktív felhasználói bejelentkezésektől eltérően a szolgáltatásnév-bejelentkezések nem vonnak magukban felhasználót. Ehelyett bármely nem felhasználói fiók, például alkalmazások vagy szolgáltatásnevek által bejelentkeznek (kivéve a felügyelt identitások bejelentkezését, amelyek csak a felügyelt identitás bejelentkezési naplójában szerepelnek). Ezekben a bejelentkezésekben az alkalmazás vagy szolgáltatás saját hitelesítő adatokat biztosít, például tanúsítványt vagy alkalmazáskulcsot az erőforrások hitelesítéséhez vagy eléréséhez.

Screenshot of the service principal sign-in log.

Jelentés mérete: Nagy
példák:

  • A szolgáltatásnév tanúsítványt használ a Microsoft Graph hitelesítéséhez és eléréséhez.
  • Az alkalmazások ügyfélkulcs használatával hitelesítik magukat az OAuth-ügyfél hitelesítő adatainak folyamatában.

A jelentésben szereplő mezők nem szabhatók testre.

A szolgáltatásnév bejelentkezési naplóiban szereplő adatok könnyebb emésztése érdekében a szolgáltatásnév bejelentkezési eseményei csoportosítva vannak. Az ugyanazon entitásból ugyanazon feltételek mellett érkező bejelentkezések egyetlen sorba vannak összesítve. A sor kibontásával megtekintheti az összes különböző bejelentkezést és azok különböző időbélyegeit. A bejelentkezések összesítése a szolgáltatásnév jelentésében történik, amikor a következő adatok egyezések:

  • Szolgáltatásnév neve vagy azonosítója
  • Állapot
  • IP-cím
  • Erőforrás neve vagy azonosítója

Felügyelt identitás bejelentkezései

Az Azure-erőforrásokhoz tartozó bejelentkezések felügyelt identitásai olyan bejelentkezések, amelyeket olyan erőforrások hajtottak végre, amelyek titkos kulcsait az Azure kezeli a hitelesítő adatok kezelésének egyszerűsítése érdekében. A felügyelt hitelesítő adatokkal rendelkező virtuális gépek a Microsoft Entra-azonosítót használják a hozzáférési jogkivonat lekéréséhez.

Screenshot of the managed identity sign-in log.

Jelentés mérete: Kis
példák:

A jelentésben szereplő mezők nem szabhatók testre.

Az adatok könnyebb emésztéséhez az Azure-erőforrások bejelentkezési naplóinak felügyelt identitásai, a nem interaktív bejelentkezési események csoportosítva vannak. Az ugyanabból az entitásból származó bejelentkezések egyetlen sorba vannak összesítve. A sor kibontásával megtekintheti az összes különböző bejelentkezést és azok különböző időbélyegeit. A bejelentkezések összesítése a felügyelt identitások jelentésében történik, amikor az összes alábbi adat egyezik:

  • Felügyelt identitás neve vagy azonosítója
  • Állapot
  • Erőforrás neve vagy azonosítója

Jelöljön ki egy elemet a listanézetben a csomópont alá csoportosított összes bejelentkezés megjelenítéséhez. Jelöljön ki egy csoportosított elemet a bejelentkezés összes részletének megtekintéséhez.

Más szolgáltatások által használt bejelentkezési adatok

A bejelentkezési adatokat az Azure számos szolgáltatása használja a kockázatos bejelentkezések monitorozására, az alkalmazáshasználatra és egyebekre.

Microsoft Entra ID-védelem

A kockázatos bejelentkezésekhez kapcsolódó bejelentkezési naplóadatok vizualizációja az Microsoft Entra ID-védelem áttekintésében érhető el, amely a következő adatokat használja:

  • Risky users
  • Kockázatos felhasználói bejelentkezések
  • Kockázatos számítási feladatok identitásai

Az Microsoft Entra ID-védelem eszközökkel kapcsolatos további információkért tekintse meg a Microsoft Entra ID-védelem áttekintését.

Microsoft Entra-használat és elemzések

Az alkalmazásspecifikus bejelentkezési adatok megtekintéséhez keresse meg a Microsoft Entra ID>Monitoring & health>Usage & insights webhelyet. Ezek a jelentések közelebbről is áttekintik a Microsoft Entra-alkalmazástevékenységek és az AD FS-alkalmazástevékenységek bejelentkezéseit. További információ: Microsoft Entra Usage & insights.

Screenshot of the Usage & insights report.

A Usage & Insightsban számos jelentés érhető el. Néhány jelentés előzetes verzióban érhető el.

  • Microsoft Entra-alkalmazástevékenység (előzetes verzió)
  • AD FS-alkalmazástevékenység
  • Hitelesítési módszerek tevékenysége
  • Szolgáltatásnév bejelentkezési tevékenysége (előzetes verzió)
  • Alkalmazás hitelesítő adatainak tevékenysége (előzetes verzió)

Microsoft 365-tevékenységnaplók

A Microsoft 365 tevékenységnaplóit a Microsoft 365 Felügyeleti központ tekintheti meg. A Microsoft 365-tevékenység és a Microsoft Entra-tevékenységnaplók jelentős számú címtárerőforrást osztanak meg. Csak a Microsoft 365 Felügyeleti központ tekintheti meg a Microsoft 365 tevékenységnaplóit.

A Microsoft 365 tevékenységnaplói programozott módon érhetők el az Office 365 Felügyeleti API-k használatával.

Következő lépések