Aanmeldingslogboeken in Azure Active Directory

  • Artikel
  • 8 minuten om te lezen

Als IT-beheerder wilt u weten hoe het gaat met uw IT-omgeving. Met de informatie over de status van uw systeem kunt u beoordelen of en hoe u op potentiële problemen moet reageren.

Ter ondersteuning van dit doel biedt Azure Active Directory portal toegang tot drie activiteitenlogboeken:

  • Aanmeldingen: informatie over aanmeldingen en hoe uw resources worden gebruikt door uw gebruikers.
  • Controle: informatie over wijzigingen die worden toegepast op uw tenant, zoals gebruikers en groepsbeheer of updates die worden toegepast op de resources van uw tenant.
  • Inrichting: activiteiten die worden uitgevoerd door de inrichtingsservice, zoals het maken van een groep in ServiceNow of een gebruiker die is geïmporteerd uit Workday.

In dit artikel vindt u een overzicht van het aanmeldingsrapport.

Wat kunt u er mee doen?

U kunt het aanmeldingslogboek gebruiken om antwoorden te vinden op vragen zoals:

  • Wat is het aanmeldingspatroon van een gebruiker?

  • Hoeveel gebruikers hebben zich gedurende een week aangemeld?

  • Wat is de status van deze aanmeldingen?

Wie hebt u er toegang toe?

U hebt altijd toegang tot uw eigen aanmeldingsgeschiedenis via deze koppeling: https://mysignins.microsoft.com

Voor toegang tot het aanmeldingslogboek moet u het volgende doen:

  • Een globale beheerder

  • Een gebruiker met een van de volgende rollen:

    • Beveiligingsbeheerder

    • Beveiligingslezer

    • Globale lezer

    • Rapportenlezer

Welke Azure AD-licentie hebt u nodig?

Het rapport met aanmeldingsactiviteiten is beschikbaar in alle edities van Azure AD. Als u een Azure Active Directory P1- of P2-licentie hebt, hebt u ook toegang tot het rapport voor aanmeldingsactiviteiten via de Microsoft Graph-API.

Waar kunt u deze vinden in de Azure Portal?

De Azure Portal biedt verschillende opties voor toegang tot het logboek. In het menu Azure Active Directory kunt u het logboek bijvoorbeeld openen in de sectie Bewaking.

Aanmeldingslogboeken openen

Daarnaast kunt u rechtstreeks naar de aanmeldingslogboeken gaan via deze koppeling: https://portal.azure.com/#blade/Microsoft_AAD_IAM/ActiveDirectoryMenuBlade/SignIns

Wat is de standaardweergave?

Een aanmeldingslogboek heeft een standaardlijstweergave die het volgende laat zien:

  • De aanmeldingsdatum
  • De gerelateerde gebruiker
  • De toepassing waarin de gebruiker zich heeft aangemeld
  • De aanmeldingsstatus
  • De status van de risicodetectie
  • De status van de vereiste voor meervoudige verificatie (MFA)

Schermopname van Office 365 SharePoint Online-aanmeldingen.

U kunt de lijstweergave aanpassen door te klikken op Kolommen op de werkbalk.

Schermopname van de optie Kolommen op de pagina Aanmeldingen.

In het dialoogvenster Kolommen krijgt u toegang tot de te selecteren kenmerken. In een aanmeldingsrapport kunt u geen velden hebben met meer dan één waarde voor een bepaalde aanmeldingsaanvraag als kolom. Dit geldt bijvoorbeeld voor verificatiegegevens, voorwaardelijke toegangsgegevens en netwerklocatie.

Schermopname van het dialoogvenster Kolommen waarin u kenmerken kunt selecteren.

Selecteer een item in de lijstweergave voor meer gedetailleerde informatie.

Schermopname van een gedetailleerde informatieweergave.

Foutcode voor aanmelden

Als een aanmelding is mislukt, kunt u meer informatie krijgen over de reden in de sectie Basisgegevens van het gerelateerde logboekitem.

foutcode voor aanmelden

Hoewel het logboekitem u een foutreden geeft, zijn er gevallen waarin u mogelijk meer informatie krijgt met behulp van het hulpprogramma voor het opschonen van aanmeldingsfouten. Indien beschikbaar biedt dit hulpprogramma u bijvoorbeeld herstelstappen.

Hulpprogramma voor het opschonen van foutcode

Aanmeldactiviteiten filteren

U kunt de gegevens in een logboek filteren om ze te beperken tot een niveau dat voor u werkt:

Schermopname van de optie Filters toevoegen.

Aanvraag-id: de id van de aanvraag die u belangrijk vindt.

Gebruiker: de naam of het user principal name (UPN) van de gebruiker die u belangrijk vindt.

Toepassing: de naam van de doeltoepassing.

Status: de aanmeldingsstatus die u belangrijk vindt:

  • Geslaagd

  • Fout

  • Onderbroken

IP-adres: het IP-adres van het apparaat dat wordt gebruikt om verbinding te maken met uw tenant.

De locatie: de locatie waar de verbinding is gestart:

  • Plaats

  • Staat/provincie

  • Land/regio

Resource: de naam van de service die wordt gebruikt voor de aanmelding.

Resource-id: de id van de service die wordt gebruikt voor de aanmelding.

Client-app: het type client-app dat wordt gebruikt om verbinding te maken met uw tenant:

Client-app-filter

Notitie

Vanwege privacyverplichtingen vult Azure AD dit veld niet in voor de basisten tenant in het geval van een scenario voor verschillende tenants.

Name Moderne verificatie Description
Geverifieerde SMTP Wordt gebruikt door de POP- en IMAP-client om e-mailberichten te verzenden.
Autodiscover Wordt gebruikt door Outlook- en EAS-clients om postvakken in de Exchange Online.
Exchange ActiveSync: Dit filter toont alle aanmeldingspogingen waarbij het EAS-protocol is geprobeerd.
Browser Blauw vinkje. Geeft alle aanmeldingspogingen weer van gebruikers die webbrowsers gebruiken
Exchange ActiveSync: Geeft alle aanmeldingspogingen weer van gebruikers met client-apps die gebruikmaken Exchange ActiveSync verbinding te maken met Exchange Online
Exchange Online PowerShell Wordt gebruikt om verbinding te Exchange Online met externe PowerShell. Als u basisverificatie voor Exchange Online PowerShell blokkeert, moet u de powershell-module Exchange Online gebruiken om verbinding te maken. Zie PowerShell Verbinding maken gebruiken Exchange Online multi-factor authenticationvoor instructies.
Exchange-webservices Een programmeerinterface die wordt gebruikt door Outlook, Outlook voor Mac apps en apps van derden.
IMAP4 Een verouderde e-mailclient die IMAP gebruikt om e-mail op te halen.
MAPI via HTTP Wordt gebruikt Outlook 2010 en hoger.
Mobiele apps en bureaubladcl clients Blauw vinkje. Geeft alle aanmeldingspogingen weer van gebruikers die gebruikmaken van mobiele apps en desktopcl clients.
Offline Adresboek Een kopie van adreslijstverzamelingen die worden gedownload en gebruikt door Outlook.
Outlook Anywhere (RPC via HTTP) Wordt gebruikt door Outlook 2016 en eerder.
Outlook Service Wordt gebruikt door de app Mail en Calendar voor Windows 10.
POP3 Een verouderde e-mailclient die POP3 gebruikt om e-mail op te halen.
Reporting Web Services Wordt gebruikt om rapportgegevens op te halen in Exchange Online.
Andere clients Geeft alle aanmeldingspogingen weer van gebruikers waarbij de client-app niet is opgenomen of onbekend is.

Besturingssysteem: het besturingssysteem dat op het apparaat wordt uitgevoerd, heeft aanmelding bij uw tenant gebruikt.

Apparaatbrowser: als de verbinding vanuit een browser is gestart, kunt u met dit veld filteren op browsernaam.

Correlatie-id: de correlatie-id van de activiteit.

Voorwaardelijke toegang: de status van de toegepaste regels voor voorwaardelijke toegang

  • Niet toegepast: er wordt geen beleid toegepast op de gebruiker en toepassing tijdens het aanmelden.

  • Geslaagd: een of meer beleidsregels voor voorwaardelijke toegang die worden toegepast op de gebruiker en toepassing (maar niet noodzakelijkerwijs de andere voorwaarden) tijdens het aanmelden.

  • Fout: De aanmelding voldoet aan de gebruikers- en toepassingsvoorwaarde van ten minste één beleid voor voorwaardelijke toegang en het verlenen van besturingselementen is niet voldaan of is ingesteld op het blokkeren van toegang.

Aanmeldactiviteiten downloaden

Klik op de optie Downloaden om een CSV- of JSON-bestand met de meest recente 250.000 records te maken. Begin met het downloaden van de aanmeldingsgegevens als u er buiten de Azure Portal.

Downloaden

Belangrijk

Het aantal records dat u kunt downloaden, wordt beperkt door het Azure Active Directory van het rapport.

Snelkoppelingen voor aanmeldingsgegevens

Azure AD en de Azure Portal beide bieden u extra toegangspunten voor aanmeldingsgegevens:

  • Overzicht van identiteitsbeveiliging
  • Gebruikers
  • Groepen
  • Bedrijfstoepassingen

Aanmeldingsgegevens van gebruikers in Identity Security Protection

In de aanmeldingsgrafiek van de gebruiker op de overzichtspagina identiteitsbeveiliging worden wekelijkse aggregaties van aanmeldingen weergegeven. De standaardwaarde voor de periode is 30 dagen.

Schermopname van een grafiek van aanmeldingen gedurende een maand.

Als u in de aanmeldingsgrafiek op een dag klikt, ziet u een overzicht van de aanmeldingsactiviteiten voor die dag.

Elke rij in de lijst met aanmeldingsactiviteiten geeft het volgende weer:

  • Wie heeft zich aangemeld?
  • Welke toepassing was het aanmeldingsdoel?
  • Wat is de status van de aanmelding?
  • Wat is de MFA-status van de aanmelding?

Door op een item te klikken, krijgt u meer informatie over de aanmelding:

  • Gebruikers-id
  • Gebruiker
  • Gebruikersnaam
  • Toepassings-id
  • Toepassing
  • Client
  • Locatie
  • IP-adres
  • Datum
  • MFA vereist
  • Aanmeldingsstatus

Notitie

IP-adressen worden zodanig uitgegeven dat er geen definitieve verbinding is tussen een IP-adres en waar de computer met dat adres zich fysiek bevindt. Het toewijzen van IP-adressen is gecompliceerd door het feit dat mobiele providers en VPN's IP-adressen uitgeven van centrale pools die vaak heel ver van waar het clientapparaat daadwerkelijk wordt gebruikt. Momenteel is het converteren van IP-adressen naar een fysieke locatie een best effort op basis van traceringen, registergegevens, reverse lookups en andere informatie.

Op de pagina Gebruikers krijgt u een volledig overzicht van alle aanmeldingen van gebruikers door in de sectie Activiteit op Aanmelden te klikken.

Schermopname van de sectie Activiteit waar u Aanmeldingen kunt selecteren.

Verificatiedetails

Het tabblad Verificatiedetails in het aanmeldingsrapport bevat de volgende informatie voor elke verificatiepoging:

  • Een lijst met toegepaste verificatiebeleidsregels (zoals voorwaardelijke toegang, MFA per gebruiker, standaardinstellingen voor beveiliging)
  • Een lijst met beleidsregels voor de levensduur van sessies die worden toegepast (zoals aanmeldingsfrequentie, MFA onthouden, levensduur van configureerbare token)
  • De volgorde van verificatiemethoden die worden gebruikt om u aan te melden
  • Of de verificatiepoging is geslaagd
  • Details over waarom de verificatiepoging is geslaagd of mislukt

Met deze informatie kunnen beheerders problemen met elke stap in de aanmelding van een gebruiker oplossen en bijhouden:

  • Aantal aanmeldingen dat wordt beveiligd met meervoudige verificatie
  • Reden voor verificatieprompt op basis van het beleid voor sessielevensduur
  • Gebruiks- en slagingspercentages voor elke verificatiemethode
  • Gebruik van verificatiemethoden zonder wachtwoord (zoals wachtwoordloze Telefoon aanmelden, FIDO2 en Windows Hello for Business)
  • Hoe vaak aan verificatievereisten wordt voldaan door tokenclaims (waarbij gebruikers niet interactief wordt gevraagd een wachtwoord in te voeren, een SMS OTP in te voeren, en meer)

Selecteer het tabblad Verificatiedetails tijdens het weergeven van het rapport Aanmeldingen:

Schermopname van het tabblad Verificatiedetails

Notitie

Oath-verificatiecode wordt geregistreerd als verificatiemethode voor oath-hardware en softwaretokens (zoals de Microsoft Authenticator app).

Belangrijk

Op het tabblad Verificatiedetails kunnen in eerste instantie onvolledige of onnauwkeurige gegevens worden weergegeven, totdat de logboekgegevens volledig zijn geaggregeerd. Bekende voorbeelden zijn:

  • Een claim voldoet aan in het tokenbericht wordt onjuist weergegeven wanneer aanmeldingsgebeurtenissen in eerste instantie worden geregistreerd.
  • De primaire verificatierij wordt in eerste instantie niet geregistreerd.

Het gebruik van beheerde toepassingen

Met een toepassingsgerichte weergave van uw aanmeldingsgegevens kunt u antwoord vinden op vragen zoals:

  • Wie gebruikt mijn toepassingen?
  • Wat zijn de drie beste toepassingen in uw organisatie?
  • Hoe gaat het met mijn nieuwste toepassing?

Het toegangspunt voor deze gegevens is de drie belangrijkste toepassingen in uw organisatie. De gegevens zijn opgenomen in het rapport van de afgelopen 30 dagen in de sectie Overzicht onder Bedrijfstoepassingen.

Schermopname die laat zien waar u Overzicht kunt selecteren.

In de grafieken over app-gebruik worden wekelijkse aggregaties van aanmeldingen weergegeven voor de drie beste toepassingen in een bepaalde periode. De standaard ingestelde periode is 30 dagen.

Schermopname van het app-gebruik voor een periode van één maand.

Als u wilt, kunt u de focus instellen op een specifieke toepassing.

Rapportage

Als u op een dag in de appgebruikgrafiek klikt, ziet u een gedetailleerd overzicht van de aanmeldactiviteiten.

Met de optie Aanmeldingen krijgt u een volledig overzicht van alle aanmeldingsgebeurtenissen voor uw toepassingen.

Microsoft 365 activiteitenlogboeken

U kunt de Microsoft 365 bekijken vanuit de Microsoft 365-beheercentrum. Houd er rekening mee dat Microsoft 365 activiteitenlogboeken en Azure AD-activiteitenlogboeken een groot aantal directory-resources delen. Alleen de Microsoft 365-beheercentrum biedt een volledig overzicht van de Microsoft 365 activiteitenlogboeken.

U kunt de activiteitenlogboeken van Microsoft 365 ook programmatisch openen met behulp van de Office 365 Management-API's.

Volgende stappen