Domande frequenti sul monitoraggio e l'integrità di Microsoft Entra

Vedi Licenze microsoft Entra ID per aggiornare l'edizione Di Microsoft Entra.

Se i dati del log attività sono già disponibili come licenza gratuita, è possibile visualizzarli immediatamente. Se non si dispone di dati, la visualizzazione dei dati nei report richiede fino a tre giorni.

Se di recente si è passati a una versione Premium (inclusa una versione di valutazione), è possibile visualizzare inizialmente i dati fino a sette giorni. Man mano che i dati si accumulano, è possibile visualizzare quelli degli ultimi 30 giorni.

Il ruolo con privilegi minimi per visualizzare i log di controllo e di accesso è Lettore report. Altri ruoli includono Security Reader e Security Amministrazione istrator.

I log di accesso e di controllo sono entrambi disponibili per il routing tramite Monitoraggio di Azure. Gli eventi di controllo correlati a B2C non sono attualmente inclusi. Per altre informazioni, vedere Integrazioni del log attività di Microsoft Entra e panoramica del log attività dell'API Graph.

I log attività di Microsoft 365 e Microsoft Entra condividono molte risorse della directory. Se si vuole una visualizzazione completa dei log attività di Microsoft 365, è consigliabile passare al interfaccia di amministrazione di Microsoft 365 per ottenere informazioni sul log attività di Office 365. Le API per Microsoft 365 sono descritte nell'articolo API di gestione di Microsoft 365.

Il numero di log che è possibile scaricare dall'interfaccia di amministrazione di Microsoft Entra è determinato da alcuni fattori, tra cui dimensioni della memoria del browser, velocità di rete e carico corrente nelle API di creazione report di Microsoft Entra. In genere, i set di dati inferiori a 250.000 per i log di controllo e 100.000 per i log di accesso e provisioning funzionano bene con la funzionalità di download del browser. A seconda del numero di campi inclusi, questo numero può variare. Se si verificano problemi durante il completamento di download di grandi dimensioni nel browser, usare l'API di creazione report per scaricare i dati o inviare i log a un endpoint tramite le impostazioni di diagnostica.

Il set specifico di log che è possibile scaricare è determinato dai filtri attivi nell'interfaccia di amministrazione di Microsoft Entra quando si inizia il download. Ad esempio, il filtro per un utente specifico nell'interfaccia di amministrazione di Microsoft Entra significa che il download esegue il pull dei log per tale utente specifico. Le colonne nei log scaricati non cambiano. L'output contiene tutti i dettagli del log di controllo o di accesso, indipendentemente dalle colonne personalizzate nell'interfaccia di amministrazione di Microsoft Entra.

A seconda della licenza, Microsoft Entra ID archivia i log attività per un periodo compreso tra 7 e 30 giorni. Per altre informazioni, vedere Criteri di conservazione dei report di Microsoft Entra.

La funzionalità di conservazione dell'archiviazione delle impostazioni di diagnostica è deprecata. Per informazioni dettagliate su questa modifica, vedere Eseguire la migrazione dalla conservazione delle impostazioni di diagnostica alla gestione del ciclo di vita Archiviazione di Azure.

Al momento, non esiste un'attività specifica nei log di controllo per gli acquisti di licenze o l'abilitazione. Tuttavia, potrebbe essere possibile correlare l'attività "Onboard resource to PIM" dalla categoria "Resource Management" all'acquisto o all'abilitazione di una licenza. Questa attività potrebbe non essere sempre disponibile o fornire i dettagli esatti.

Queste modifiche sono correlate all'elaborazione di MFA e di alcuni eventi GDPR . Gli eventi come l'eliminazione di utenti o l'esportazione dei dati utente vengono acquisiti nei log di controllo, ma la descrizione dell'attività potrebbe essere un po' criptica. Stiamo lavorando per migliorare tali etichette di attività. Per un elenco completo delle attività correlate al GDPR, vedere Attività di controllo. Queste attività sono associate alla categoria DirectoryManagement.

La risorsa signInActivity viene usata per trovare utenti inattivi che non hanno eseguito l'accesso per qualche tempo. Non viene aggiornato quasi in tempo reale. Se è necessario trovare l'ultima attività di accesso dell'utente più rapidamente, è possibile usare i log di accesso di Microsoft Entra per visualizzare l'attività di accesso quasi in tempo reale per tutti gli utenti.

Il volume condiviso cluster include i log di accesso per il tipo di accessi selezionato. I dati rappresentati come matrice nidificata nell'API Microsoft Graph per i log di accesso non sono inclusi. Ad esempio, i criteri di accesso condizionale e le informazioni solo report non sono inclusi. Se è necessario esportare tutte le informazioni contenute nei log di accesso, usare la funzionalità Esporta dati Impostazioni.

È anche importante notare che le colonne incluse nei log scaricati non cambiano, anche se sono state personalizzate le colonne nell'interfaccia di amministrazione di Microsoft Entra.

Microsoft Entra ID potrebbe rendere parte di un indirizzo IP nei log di accesso per proteggere la privacy degli utenti quando un utente potrebbe non appartenere al tenant che visualizza i log. Questa azione viene eseguita in due casi:

• Durante gli accessi tra tenant, ad esempio quando un tecnico CSP accede a un tenant gestito da CSP.
• Quando il servizio non è riuscito a determinare l'identità dell'utente con una certezza sufficiente per assicurarsi che l'utente appartenga al tenant che visualizza i log.

Microsoft Entra ID redacts Personally Identifiable Information (PII) generato dai dispositivi che non appartengono al tenant per garantire i dati dei clienti. Le informazioni personali non si distribuisce oltre i limiti del tenant senza il consenso del proprietario dei dati e dell'utente.

Esistono diversi motivi per cui le voci di accesso potrebbero essere duplicate nei log.

• Se un rischio viene identificato in un accesso, un altro evento quasi identico viene pubblicato immediatamente dopo il rischio incluso.
• Se vengono ricevuti eventi di autenticazione a più fattori correlati a un accesso, tutti gli eventi correlati vengono aggregati all'accesso originale.
• Se la pubblicazione dei partner per un evento di accesso ha esito negativo, ad esempio la pubblicazione in Kusto, viene ritentato e pubblicato nuovamente un intero batch di eventi, che potrebbe comportare duplicati.
• Gli eventi di accesso che coinvolgono più criteri di accesso condizionale possono essere suddivisi in più eventi, che possono comportare almeno due eventi per evento di accesso.

Gli accessi non interattivi possono attivare un volume elevato di eventi ogni ora, in modo che vengano raggruppati nei log.

In molti casi, gli accessi non interattivi hanno tutte le stesse caratteristiche, ad eccezione della data e dell'ora dell'accesso. Se l'aggregazione temporale è impostata su 24 ore, i log vengono visualizzati contemporaneamente per visualizzare gli accessi. Ognuna di queste righe raggruppate può essere espansa per visualizzare il timestamp esatto.

Esistono diversi motivi per cui le voci di accesso potrebbero visualizzare ID utente, ID oggetto o GUID nel campo nome utente.

• Con l'autenticazione senza password, gli ID utente vengono visualizzati come nome utente. Per confermare questo scenario, esaminare i dettagli dell'evento di accesso in questione. Il campo authenticationDetail indica la passwordless.
• L'utente ha eseguito l'autenticazione ma non ha ancora eseguito l'accesso. Per confermare, è presente un codice di errore 50058 correlato a un interrupt.
• Se il campo nome utente mostra 000000-00000-0000-0000 o qualcosa di simile, potrebbero essere presenti restrizioni del tenant, impedendo all'utente di accedere al tenant selezionato.
• I tentativi di accesso con autenticazione a più fattori vengono aggregati con più voci di dati, che potrebbero richiedere più tempo per la visualizzazione corretta. L'aggregazione completa dei dati potrebbe richiedere fino a due ore, ma in genere è più rapida.

No, in generale gli errori 90025 vengono risolti da un nuovo tentativo automatico senza che l'utente noti l'errore. Questo errore può verificarsi quando un sottoservizio Interno di Microsoft Entra raggiunge la relativa indennità di ripetizione dei tentativi e non indica che il tenant è stato limitato. Questi errori vengono in genere risolti internamente dall'ID Microsoft Entra. Se l'utente non è in grado di eseguire l'accesso a causa di questo errore, provare manualmente a risolvere il problema.

Se l'ID entità servizio ha il valore "0000000-0000-0000-0000-000000000000" non esiste alcuna entità servizio per l'applicazione client in tale istanza di autenticazione. Microsoft Entra non rilascia più token di accesso senza un'entità servizio client, ad eccezione di alcune applicazioni Microsoft e non Microsoft.

Se l'ID entità servizio risorse ha il valore "0000000-0000-0000-0000-0000000000000", non esiste alcuna entità servizio per l'applicazione di risorse in tale istanza di autenticazione.

Questo comportamento è attualmente consentito solo per un numero limitato di app per le risorse.

È possibile eseguire query per le istanze di autenticazione senza un'entità servizio client o risorsa nel tenant.

• Per trovare le istanze dei log di accesso per il tenant in cui manca un'entità servizio client, usare la query seguente:

  https://graph.microsoft.com/beta/auditLogs/signIns?$filter=signInEventTypes/any(t: t eq 'servicePrincipal') and servicePrincipalId eq '00000000-0000-0000-0000-000000000000'
  

• Per trovare le istanze dei log di accesso per il tenant in cui manca un'entità servizio di risorsa, usare la query seguente:

  https://graph.microsoft.com/beta/auditLogs/signIns?$filter=signInEventTypes/any(t: t eq 'servicePrincipal') and resourceServicePrincipalId eq '00000000-0000-0000-0000-000000000000'
  

È anche possibile trovare questi log di accesso nell'interfaccia di amministrazione di Microsoft Entra.

• Accedi all'Interfaccia di amministrazione di Microsoft Entra.
• Passare a Identity Monitoring & health Sign-in logs (Log di accesso per l'integrità>e monitoraggio delle identità).>
• Selezionare Accessi all'entità servizio.
• Selezionare un intervallo di tempo appropriato nel campo Data (ultime 24 ore, 7 giorni e così via).
• Aggiungere un filtro e selezionare ID entità servizio e specificare il valore '0000000-0000-0000-0000-000000000000' per ottenere istanze di autenticazione senza entità servizio client.

Per controllare il funzionamento dell'autenticazione nel tenant per app client o risorse specifiche, seguire le istruzioni riportate nell'articolo Limitare l'app Microsoft Entra a un set di utenti .

Alcuni accessi non interattivi sono stati resi disponibili prima che i log di accesso non interattivi siano disponibili in anteprima pubblica. Questi accessi non interattivi sono stati inclusi nei log di accesso interattivi e sono rimasti nei log di accesso interattivi dopo che i log non interattivi sono diventati disponibili. Gli accessi che usano le chiavi FIDO2 sono un esempio di accessi non interattivi visualizzati nei log di accesso interattivi. Al momento, questi log non interattivi vengono sempre inclusi nel log di accesso interattivo.

È possibile usare l'API di rilevamento dei rischi di Identity Protection per accedere ai rilevamenti della sicurezza tramite Microsoft Graph. Questa API include filtri avanzati e selezione dei campi e standardizza i rilevamenti dei rischi in un tipo per semplificare l'integrazione in SIEM e altri strumenti di raccolta dati.

È possibile risolvere i problemi relativi ai criteri di accesso condizionale tramite tutti i log di accesso. Esaminare lo stato dell'accesso condizionale e approfondire i dettagli dei criteri applicati all'accesso e il risultato per ogni criterio.

Attività iniziali:

• Accedi all'Interfaccia di amministrazione di Microsoft Entra.
• Passare a Identity Monitoring & health Sign-in logs (Log di accesso per l'integrità>e monitoraggio delle identità).>
• Selezionare l'accesso che si vuole risolvere.
• Selezionare la scheda Accesso condizionale per visualizzare tutti i criteri che hanno interessato l'accesso e il risultato per ogni criterio.

Lo stato dell'accesso condizionale può avere i valori seguenti:

• Non applicato: nessun criterio di accesso condizionale con l'utente e l'app nell'ambito.
• Operazione riuscita: sono stati soddisfatti criteri di accesso condizionale con l'utente e l'app nell'ambito e i criteri di accesso condizionale.
• Errore: l'accesso ha soddisfatto la condizione dell'utente e dell'applicazione di almeno un criterio di accesso condizionale e i controlli di concessione non sono soddisfatti o impostati per bloccare l'accesso.

I criteri di accesso condizionale possono avere i risultati seguenti:

• Operazione riuscita: il criterio è stato soddisfatto correttamente.
• Errore: il criterio non è stato soddisfatto.
• Non applicato: le condizioni dei criteri potrebbero non essere state soddisfatte.
• Non abilitato: il criterio potrebbe trovarsi in uno stato disabilitato.

Il nome del criterio nel log di accesso si basa sul nome dei criteri di accesso condizionale al momento dell'accesso. Il nome può non essere coerente con il nome del criterio nell'accesso condizionale se il nome del criterio è stato aggiornato dopo l'accesso.

Attualmente il log di accesso potrebbe non mostrare risultati accurati per gli scenari di Exchange ActiveSync quando viene applicato l'accesso condizionale. Possono verificarsi casi in cui il risultato dell'accesso nel report mostra un accesso riuscito, ma l'accesso non è riuscito a causa di un criterio.

Cercare il riferimento all'API per vedere come usare le API per accedere ai log attività. Questo endpoint dispone di due report (Controllo e Accessi) che forniscono tutti i dati che si ottengono nell'endpoint delle API precedente. Questo nuovo endpoint include anche un report sugli accessi con la licenza Microsoft Entra ID P1 o P2 che è possibile usare per ottenere informazioni sull'utilizzo delle app, sull'utilizzo dei dispositivi e sull'accesso utente.

È possibile usare l'API di rilevamento dei rischi di Identity Protection per accedere ai rilevamenti della sicurezza tramite Microsoft Graph. Questo nuovo formato offre maggiore flessibilità nel modo in cui è possibile eseguire query sui dati. Il formato fornisce filtri avanzati, selezione dei campi e standardizza i rilevamenti dei rischi in un tipo per semplificare l'integrazione in SIEM e altri strumenti di raccolta dati. Poiché i dati sono un formato diverso, non è possibile sostituire le query precedenti con una nuova query. Tuttavia, la nuova API usa Microsoft Graph, che è lo standard Microsoft per tali API come Microsoft 365 o Microsoft Entra ID. Il lavoro richiesto può quindi estendere gli investimenti correnti di Microsoft Graph o iniziare la transizione a questa nuova piattaforma standard.

Potrebbe essere necessario accedere a Microsoft Graph separatamente dall'interfaccia di amministrazione di Microsoft Entra. Selezionare l'icona del profilo nell'angolo superiore destro e accedere alla directory destra. È possibile che si stia tentando di eseguire una query per cui non si dispone delle autorizzazioni. Selezionare Modifica autorizzazioni e selezionare il pulsante Consenso . Seguire le istruzioni di accesso.

Ogni volta che un token viene usato per chiamare un endpoint di Microsoft Graph, l'oggetto MicrosoftGraphActivityLogs viene aggiornato con tale chiamata. Alcune di queste chiamate sono chiamate di prima parte, solo app, che non vengono pubblicate nei log di accesso dell'entità servizio. Quando un MicrosoftGraphActivityLogs oggetto mostra che uniqueTokenIdentifier non è possibile individuare nei log di accesso, l'identificatore del token fa riferimento a un token solo app di prima parte.

Se il servizio rileva attività correlate a tale raccomandazione per un elemento contrassegnato come "completato", viene automaticamente modificato in "attivo".