Aanmeldingslogboeken zijn een veelgebruikt hulpprogramma voor het oplossen van problemen met gebruikerstoegang en het onderzoeken van riskante aanmeldingsactiviteiten. Auditlogboeken verzamelen elke geregistreerde gebeurtenis in Microsoft Entra-id en kunnen worden gebruikt om wijzigingen in uw omgeving te onderzoeken. Er zijn meer dan 30 kolommen waaruit u kunt kiezen om uw weergave van de aanmeldingslogboeken in het Microsoft Entra-beheercentrum aan te passen. Auditlogboeken en inrichtingslogboeken kunnen ook worden aangepast en gefilterd op uw behoeften.
In dit artikel leest u hoe u de kolommen aanpast en vervolgens de logboeken filtert om de informatie die u nodig hebt efficiënter te vinden.
De vereiste rollen en licenties variëren op basis van het rapport. Afzonderlijke machtigingen zijn vereist voor toegang tot bewakings- en statusgegevens in Microsoft Graph. We raden u aan een rol met minimale toegangsrechten te gebruiken om te voldoen aan de richtlijnen voor Zero Trust.
*Voor het weergeven van de aangepaste beveiligingskenmerken in de auditlogboeken of het maken van diagnostische instellingen voor aangepaste beveiligingskenmerken is een van de kenmerklogboekrollen vereist. U hebt ook de juiste rol nodig om de standaardcontrolelogboeken weer te geven.
**Het toegangsniveau en de mogelijkheden voor Identity Protection zijn afhankelijk van de rol en licentie. Zie de licentievereisten voor Identity Protection voor meer informatie.
Met de informatie in de auditlogboeken van Microsoft Entra hebt u toegang tot alle records van systeemactiviteiten voor nalevingsdoeleinden. Auditlogboeken kunnen worden geopend vanuit de sectie Bewaking en status van Microsoft Entra-id, waar u kunt sorteren en filteren op elke categorie en activiteit. U kunt ook auditlogboeken openen in het gebied van het beheercentrum voor de service die u onderzoekt.
Als u bijvoorbeeld wijzigingen in Microsoft Entra-groepen bekijkt, hebt u toegang tot de auditlogboeken van Microsoft Entra-id-groepen>. Wanneer u de auditlogboeken van de service opent, wordt het filter automatisch aangepast volgens de service.
De indeling van de auditlogboeken aanpassen
U kunt de kolommen in de auditlogboeken aanpassen om alleen de informatie weer te geven die u nodig hebt. De kolommen Service, Categorie en Activiteit zijn aan elkaar gerelateerd, zodat deze kolommen altijd zichtbaar moeten zijn.
De auditlogboeken filteren
Wanneer u de logboeken filtert op service, worden de details van de categorie en activiteit automatisch gewijzigd. In sommige gevallen is er mogelijk slechts één categorie of activiteit. Zie Controleactiviteiten voor een gedetailleerde tabel met alle mogelijke combinaties van deze details.
Service: standaard ingesteld op alle beschikbare services, maar u kunt de lijst filteren op een of meer door een optie te selecteren in de vervolgkeuzelijst.
Categorie: standaard ingesteld op alle categorieën, maar kan worden gefilterd om de activiteitscategorie weer te geven, zoals het wijzigen van een beleid of het activeren van een in aanmerking komende Microsoft Entra-rol.
Activiteit: Op basis van de selectie van het type categorie en activiteitsresource. U kunt een specifieke activiteit of alle activiteiten selecteren.
U kunt de lijst met alle controleactiviteiten ophalen met behulp van de Microsoft Graph API: https://graph.windows.net/<tenantdomain>/activities/auditActivityTypesV2?api-version=beta
Status: Hiermee kunt u het resultaat bekijken op basis van of de activiteit is geslaagd of mislukt.
Doel: Hiermee kunt u zoeken naar het doel of de ontvanger van een activiteit. Zoek op de eerste paar letters van een naam of user principal name (UPN). De doelnaam en UPN zijn hoofdlettergevoelig.
Gestart door: Hiermee kunt u zoeken door wie de activiteit heeft gestart met behulp van de eerste paar letters van hun naam of UPN. De naam en UPN zijn hoofdlettergevoelig.
Datumbereik: hiermee kunt u een tijdsbestek definiëren voor de geretourneerde gegevens. U kunt de afgelopen 7 dagen, 24 uur of een aangepast bereik doorzoeken. Wanneer u een aangepast tijdsbestek selecteert, kunt u een begintijd en eindtijd configureren.
Op de aanmeldingslogboekpagina kunt u schakelen tussen vier aanmeldingslogboektypen. Zie Wat zijn aanmeldingslogboeken van Microsoft Entra voor meer informatie over de vier typen logboeken.
Interactieve aanmeldingen van gebruikers: aanmeldingen waarbij een gebruiker een verificatiefactor biedt, zoals een wachtwoord, een antwoord via een MFA-app, een biometrische factor of een QR-code.
Niet-interactieve gebruikersaanmelding: aanmeldingen die door een client worden uitgevoerd namens een gebruiker. Voor deze aanmeldingen is geen interactie- of verificatiefactor van de gebruiker vereist. Verificatie en autorisatie met behulp van vernieuwings- en toegangstokens waarvoor een gebruiker geen referenties hoeft in te voeren.
Aanmeldingen voor service-principals: aanmeldingen door apps en service-principals waarvoor geen gebruiker is betrokken. In deze aanmeldingen geeft de app of service namens zichzelf een referentie om resources te verifiëren of te openen.
Beheerde identiteiten voor aanmeldingen van Azure-resources: aanmeldingen door Azure-resources die geheimen hebben die worden beheerd door Azure. Zie Wat zijn beheerde identiteiten voor Azure-resources? voor meer informatie.
De indeling van de aanmeldingslogboeken aanpassen
U kunt de kolommen voor het interactieve aanmeldingslogboek van gebruikers aanpassen met behulp van meer dan 30 kolomopties. Als u het aanmeldingslogboek effectiever wilt weergeven, past u de weergave aan uw behoeften aan.
- Selecteer Kolommen in het menu bovenaan het logboek.
- Selecteer de kolommen die u wilt weergeven en selecteer de knop Opslaan onderaan het venster.
De aanmeldingslogboeken filteren
Het filteren van de aanmeldingslogboeken is een handige manier om snel logboeken te vinden die overeenkomen met een specifiek scenario. U kunt de lijst bijvoorbeeld filteren om alleen aanmeldingen weer te geven die zijn opgetreden op een specifieke geografische locatie, van een specifiek besturingssysteem of van een specifiek type referentie.
Bij sommige filteropties wordt u gevraagd meer opties te selecteren. Volg de aanwijzingen om de gewenste selectie voor het filter te maken. U kunt meerdere filters toevoegen.
Selecteer de knop Filters toevoegen, kies een filteroptie en selecteer Toepassen.
Voer een specifieke details in, zoals een aanvraag-id, of selecteer een andere filteroptie.
U kunt filteren op verschillende details. In de volgende tabel worden enkele veelgebruikte filters beschreven. Niet alle filteropties worden beschreven.
| Filteren |
Beschrijving |
| Aanvraag-id |
Unieke id voor een aanmeldingsaanvraag |
| Correlatie-id |
Unieke id voor alle aanmeldingsaanvragen die deel uitmaken van een poging tot eenmalige aanmelding |
| User |
De UPN (User Principal Name ) van de gebruiker |
| Toepassing |
De toepassing waarop de aanmeldingsaanvraag betrekking heeft |
| Status |
Opties zijn geslaagd, mislukt en onderbroken |
| Bron |
De naam van de service die wordt gebruikt voor de aanmelding |
| IP-adres |
Het IP-adres van de client die wordt gebruikt voor de aanmelding |
| Voorwaardelijke toegang |
Opties worden niet toegepast, geslaagd en mislukt |
Nu de tabel met aanmeldingslogboeken is opgemaakt voor uw behoeften, kunt u de gegevens effectiever analyseren. Verdere analyse en retentie van aanmeldingsgegevens kunnen worden uitgevoerd door de logboeken naar andere hulpprogramma's te exporteren.
Door de kolommen aan te passen en het filter aan te passen, kunt u logboeken met vergelijkbare kenmerken bekijken. Als u de details van een aanmelding wilt bekijken, selecteert u een rij in de tabel om het deelvenster Activiteitsgegevens te openen. Er zijn verschillende tabbladen in het deelvenster om te verkennen. Zie Details van aanmeldingslogboekactiviteiten voor meer informatie.
Client-app-filter
Wanneer u controleert waar een aanmelding vandaan komt, moet u mogelijk het client-app-filter gebruiken. Client-app heeft twee subcategorieën: Clients voor moderne verificatie en verouderde verificatieclients. Moderne verificatieclients hebben nog twee subcategorieën: browser - en mobiele apps en desktopclients. Er zijn verschillende subcategorieën voor verouderde verificatieclients, die zijn gedefinieerd in de tabel met details van de verouderde verificatieclient.
Browser-aanmeldingen omvatten alle aanmeldingspogingen vanuit webbrowsers. Wanneer u de details van een aanmelding vanuit een browser bekijkt, ziet u op het tabblad Basisinformatie de client-app: Browser.
Op het tabblad Apparaatgegevens worden de details van de webbrowser weergegeven. Het browsertype en de versie worden vermeld, maar in sommige gevallen is de naam van de browser en versie niet beschikbaar. Mogelijk ziet u iets als Rich Client 4.0.0.0.
Details van verouderde verificatieclient
De volgende tabel bevat de details voor elk van de verouderde verificatieclientopties .
| Name |
Beschrijving |
| Geverifieerde SMTP |
Wordt gebruikt door POP- en IMAP-clients om e-mailberichten te verzenden. |
| Automatisch opsporen |
Wordt gebruikt door Outlook- en EAS-clients om postvakken in Exchange Online te zoeken en er verbinding mee te maken. |
| Exchange ActiveSync |
Dit filter toont alle aanmeldingspogingen waarbij het EAS-protocol is geprobeerd. |
| Exchange ActiveSync |
Toont alle aanmeldingspogingen van gebruikers met client-apps met behulp van Exchange ActiveSync om verbinding te maken met Exchange Online |
| Exchange Online PowerShell |
Wordt gebruikt om verbinding te maken met Exchange Online met externe PowerShell. Als u basisverificatie voor Exchange Online PowerShell blokkeert, moet u de Exchange Online PowerShell-module gebruiken om verbinding te maken. Zie Verbinding maken met Exchange Online PowerShell met behulp van meervoudige verificatie voor instructies. |
| Exchange-webservices |
Een programmeerinterface die wordt gebruikt door Outlook, Outlook voor Mac en apps van derden. |
| IMAP4 |
Een verouderde e-mailclient met IMAP om e-mail op te halen. |
| MAPI via HTTP |
Wordt gebruikt door Outlook 2010 en hoger. |
| Offlineadresboek |
Een kopie van adreslijstverzamelingen die door Outlook worden gedownload en gebruikt. |
| Outlook Anywhere (RPC via HTTP) |
Wordt gebruikt door Outlook 2016 en hoger. |
| Outlook Service |
Wordt gebruikt door de E-mail- en Agenda-app voor Windows 10. |
| POP3 |
Een verouderde e-mailclient met POP3 om e-mail op te halen. |
| Webservices voor rapporten |
Wordt gebruikt om rapportgegevens op te halen in Exchange Online. |
| Andere clients |
Toont alle aanmeldingspogingen van gebruikers waar de client-app niet is opgenomen of onbekend. |
Als u het inrichtingslogboek effectiever wilt weergeven, past u de weergave aan uw behoeften aan. U kunt opgeven welke kolommen u wilt opnemen en filteren om de gegevens te verfijnen.
De indeling aanpassen
Het inrichtingslogboek heeft een standaardweergave, maar u kunt kolommen aanpassen.
- Selecteer Kolommen in het menu bovenaan het logboek.
- Selecteer de kolommen die u wilt weergeven en selecteer de knop Opslaan onderaan het venster.
De resultaten filteren
Wanneer u de inrichtingsgegevens filtert, worden sommige filterwaarden dynamisch ingevuld op basis van uw tenant. Als u bijvoorbeeld geen 'create'-gebeurtenissen in uw tenant hebt, is de optie = Filter maken niet beschikbaar.
Met het identiteitsfilter kunt u de naam of identiteit opgeven die u belangrijk vindt. Deze identiteit kan een gebruiker, groep, rol of ander object zijn.
U kunt zoeken op de naam of id van het object. De id verschilt per scenario.
- Als u een object van Microsoft Entra-id inricht in Salesforce, is de bron-id de object-id van de gebruiker in Microsoft Entra-id. De doel-id is de id van de gebruiker bij Salesforce.
- Als u van Workday naar Microsoft Entra-id inricht, is de bron-id de werknemer-id van Workday. De doel-id is de id van de gebruiker in Microsoft Entra-id.
- Als u gebruikers inricht voor synchronisatie tussen tenants, is de bron-id van de gebruiker in de brontenant. De doel-id is de id van de gebruiker in de doeltenant.
Notitie
De naam van de gebruiker is mogelijk niet altijd aanwezig in de kolom Identiteit . Er zal altijd één id zijn.
Met het filter Datum kunt u een tijdsbestek opgeven voor de geretourneerde gegevens. Mogelijke waarden zijn:
- Eén maand
- Zeven dagen
- 30 dagen
- 24 uur
- Aangepast tijdsinterval (een begindatum en een einddatum configureren)
Met het statusfilter kunt u het volgende selecteren:
- Alle
- Geslaagd
- Mislukking
- Overgeslagen
Met het actiefilter kunt u deze acties filteren:
- Maken
- Bijwerken
- Delete
- Uitschakelen
- Overige
Naast de filters van de standaardweergave kunt u de volgende filters instellen.
Taak-id: Er is een unieke taak-id gekoppeld aan elke toepassing waarvoor u inrichting hebt ingeschakeld.
Cyclus-id: De cyclus-id identificeert de inrichtingscyclus uniek. U kunt deze id delen met productondersteuning om de cyclus op te zoeken waarin deze gebeurtenis heeft plaatsgevonden.
Wijzigings-id: de wijzigings-id is een unieke id voor de inrichtings gebeurtenis. U kunt deze id delen met productondersteuning om de inrichtingsevenement op te zoeken.
Bronsysteem: U kunt opgeven waar de identiteit wordt ingericht. Wanneer u bijvoorbeeld een object van Microsoft Entra-id inricht naar ServiceNow, is het bronsysteem Microsoft Entra-id.
Doelsysteem: u kunt opgeven waar de identiteit wordt ingericht. Wanneer u bijvoorbeeld een object van Microsoft Entra ID inricht naar ServiceNow, is het doelsysteem ServiceNow.
Toepassing: U kunt alleen records van toepassingen weergeven met een weergavenaam of object-id die een specifieke tekenreeks bevat. Voor synchronisatie tussen tenants gebruikt u de object-id van de configuratie en niet de toepassings-id.
