Raporty dotyczące logowań w portalu Azure Active DirectorySign-in activity reports in the Azure Active Directory portal

Architektura raportowania w Azure Active Directory (Azure AD) składa się z następujących składników:The reporting architecture in Azure Active Directory (Azure AD) consists of the following components:

  • DziałanieActivity
    • Logowania — informacje na temat użycia zarządzanych aplikacji i działań związanych z logowaniem użytkowników.Sign-ins – Information about the usage of managed applications and user sign-in activities.
    • Dzienniki inspekcji - dzienniki inspekcji zapewniają informacje o aktywności systemu dotyczące zarządzania użytkownikami i grupami, zarządzane aplikacje i działania w katalogu.Audit logs - Audit logs provide system activity information about users and group management, managed applications, and directory activities.
  • BezpieczeństwoSecurity
    • Ryzykowne logowaniaryzykowne logowanie jest wskaźnikiem próby logowania przez kogoś, kto nie jest uprawnionym właścicielem konta użytkownika.Risky sign-ins - A risky sign-in is an indicator for a sign-in attempt by someone who isn't the legitimate owner of a user account.
    • Użytkownicy oflagowani do ryzykaryzykowny użytkownik jest wskaźnikiem konta użytkownika, które mogło zostać naruszone.Users flagged for risk - A risky user is an indicator for a user account that might have been compromised.

Ten artykuł zawiera omówienie raportu logowania.This article gives you an overview of the sign-ins report.

Wymagania wstępnePrerequisites

Kto ma dostęp do danych?Who can access the data?

  • Użytkownicy w roli administrator zabezpieczeń, czytelnik zabezpieczeń, czytelnik globalny i role czytelnika raportuUsers in the Security Administrator, Security Reader, Global Reader, and Report Reader roles
  • Administratorzy globalniGlobal Administrators
  • Dowolny użytkownik (inny niż administrator) może uzyskać dostęp do danych na temat własnych logowańAny user (non-admins) can access their own sign-ins

Jaka licencja usługi Azure AD jest wymagana w celu uzyskania dostępu do informacji dotyczących logowania?What Azure AD license do you need to access sign-in activity?

  • Do wyświetlenia podsumowującego raportu aktywności związanej z logowaniem wymagane jest skojarzenie dzierżawy z licencją usługi Azure AD Premium.Your tenant must have an Azure AD Premium license associated with it to see the all up sign-in activity report. Aby uaktualnić swoją wersję usługi Azure Active Directory, zobacz Wprowadzenie do usługi Azure Active Directory w wersji Premium.See Getting started with Azure Active Directory Premium to upgrade your Azure Active Directory edition. Wyświetlenie danych w raportach po przeprowadzeniu uaktualnienia do licencji Premium bez działań związanych z danymi przed uaktualnieniem zajmie kilka dni.It will take a couple of days for the data to show up in the reports after you upgrade to a premium license with no data activities before the upgrade.

Raport dotyczący logowańSign-ins report

Raport logowania użytkownika zawiera odpowiedzi na następujące pytania:The user sign-ins report provides answers to the following questions:

  • Co to jest wzorzec logowania użytkownika?What is the sign-in pattern of a user?
  • Ilu użytkowników zalogowało się w ciągu tygodnia?How many users have signed in over a week?
  • Jaki jest stan tych logowań?What’s the status of these sign-ins?

W menu Azure Portal wybierz pozycję Azure Active Directorylub wyszukaj i wybierz pozycję Azure Active Directory z dowolnej strony.On the Azure portal menu, select Azure Active Directory, or search for and select Azure Active Directory from any page.

Wybierz Azure Active DirectorySelect Azure Active Directory

W obszarze monitorowaniewybierz pozycję logowania , aby otworzyć raport logowania.Under Monitoring, select Sign-ins to open the Sign-ins report.

Aktywność logowaniaSign-in activity

Wyświetlanie rekordów logowania w portalu może potrwać do dwóch godzin.It may take up to two hours for some sign-in records to show up in the portal.

Ważne

Raport logowania zawiera tylko logowania interaktywne , czyli logowania, w przypadku których użytkownik ręcznie loguje się przy użyciu nazwy użytkownika i hasła.The sign-ins report only displays the interactive sign-ins, that is, sign-ins where a user manually signs in using their username and password. Nieinteraktywne logowania, takie jak uwierzytelnianie między usługami, nie są wyświetlane w raporcie logowania.Non-interactive sign-ins, such as service-to-service authentication, are not displayed in the sign-ins report.

Domyślny widok listy dziennika logowań pokazuje następujące dane:A sign-ins log has a default list view that shows:

  • Data logowaniaThe sign-in date
  • Powiązany użytkownikThe related user
  • Aplikacja, do której użytkownik zalogował sięThe application the user has signed in to
  • Stan logowaniaThe sign-in status
  • Stan wykrywania ryzykaThe status of the risk detection
  • Stan wymagania dotyczącego uwierzytelniania wieloskładnikowego (MFA)The status of the multi-factor authentication (MFA) requirement

Aktywność logowaniaSign-in activity

Możesz dostosować widok listy, klikając pozycję Kolumny na pasku narzędzi.You can customize the list view by clicking Columns in the toolbar.

Aktywność logowaniaSign-in activity

Okno dialogowe kolumny umożliwia dostęp do atrybutów, które można wybrać.The Columns dialog gives you access to the selectable attributes. W raporcie logowania nie można mieć pól, które mają więcej niż jedną wartość dla danego żądania logowania jako kolumny.In a sign-in report, you can't have fields that have more than one value for a given sign-in request as column. Dotyczy to na przykład wartości true dla szczegółów uwierzytelniania, danych dostępu warunkowego i lokalizacji sieciowej.This is, for example, true for authentication details, conditional access data and network location.

Aktywność logowaniaSign-in activity

Wybierz element w widoku listy, aby uzyskać bardziej szczegółowe informacje.Select an item in the list view to get more detailed information.

Aktywność logowaniaSign-in activity

Uwaga

Klienci mogą teraz rozwiązywać problemy z zasadami dostępu warunkowego przez wszystkie raporty logowania.Customers can now troubleshoot Conditional Access policies through all sign-in reports. Klikając kartę dostęp warunkowy dla rekordu logowania, klienci mogą sprawdzić stan dostępu warunkowego i szczegółowe w celu uzyskania szczegółowych informacji dotyczących zasad, które zastosowały się do logowania, oraz wyników dla każdej zasady.By clicking on the Conditional Access tab for a sign-in record, customers can review the Conditional Access status and dive into the details of the policies that applied to the sign-in and the result for each policy. Aby uzyskać więcej informacji, zapoznaj się z często zadawanymi pytaniami dotyczącymi informacji o urzędzie certyfikacji we wszystkich logowaniach.For more information, see the Frequently asked questions about CA information in all sign-ins.

Filtrowanie działań związanych z logowaniemFilter sign-in activities

Najpierw Zawężanie danych raportowanych do poziomu, który się do Ciebie sprawdza.First, narrowing down the reported data to a level that works for you. Następnie należy odfiltrować dane logowania przy użyciu pola daty jako domyślnego filtru.Second, filter sign-ins data using date field as default filter. Usługa Azure AD udostępnia szeroką gamę dodatkowych filtrów, które można ustawić.Azure AD provides you with a broad range of additional filters you can set.

Aktywność logowaniaSign-in activity

Filtr Użytkownik umożliwia określenie nazwy lub głównej nazwy wybranego użytkownika (nazwy UPN).The User filter enables you to specify the name or the user principal name (UPN) of the user you care about.

Filtr Aplikacja umożliwia określenie nazwy wybranej aplikacji.The Application filter enables you to specify the name of the application you care about.

Filtr Stan logowania umożliwia wybranie jednej z następujących wartości:The Sign-in status filter enables you to select:

  • WszystkoAll
  • PowodzenieSuccess
  • NiepowodzenieFailure

Filtr dostępu warunkowego umożliwia wybranie stanu zasad urzędu certyfikacji dla logowania:The Conditional Access filter enables you to select the CA policy status for the sign-in:

  • WszystkoAll
  • Nie zastosowanoNot Applied
  • PowodzenieSuccess
  • NiepowodzenieFailure

Filtr Data umożliwia zdefiniowanie przedziału czasu dla zwracanych danych.The Date filter enables to you to define a timeframe for the returned data.
Możliwe wartości:Possible values are:

  • Jeden miesiącOne month
  • 7 dni7 days
  • 24 godziny24 hours
  • Niestandardowy zakres czasuCustom time interval

Po wybraniu niestandardowego przedziału czasu możesz skonfigurować godzinę rozpoczęcia i zakończenia.When you select a custom timeframe, you can configure a start time and an end time.

Jeśli dodasz kolejne pola do widoku logowań, te pola zostaną automatycznie dodane do listy filtrów.If you add additional fields to your sign-ins view, these fields are automatically added to the list of filters. Na przykład dodanie pola Aplikacja kliencka do listy powoduje udostępnienie kolejnej opcji filtru, która umożliwia ustawienie następujących filtrów:For example, by adding Client App field to your list, you also get another filter option that enables you to set the following filters:
Aktywność logowaniaSign-in activity

  • PrzeglądarkaBrowser
    Ten filtr przedstawia wszystkie zdarzenia, dla których podjęto próbę zalogowania przy użyciu przepływów przeglądarki.This filter shows all events where sign-in attempts were attempted using browser flows.

  • Exchange ActiveSync (obsługiwane)Exchange ActiveSync (supported)
    Ten filtr przedstawia wszystkie próby logowania, w przypadku których podjęto próbę wykonania protokołu Exchange ActiveSync (EAS) z obsługiwanych platform, takich jak iOS, Android i Windows Phone.This filter shows all sign-in attempts where the Exchange ActiveSync (EAS) protocol has been attempted from supported platforms like iOS, Android, and Windows Phone.

  • Exchange ActiveSync (nieobsługiwane)Exchange ActiveSync (unsupported)
    Ten filtr przedstawia wszystkie próby logowania, w przypadku których podjęto próbę użycia protokołu EAS z nieobsługiwanych platform, takich jak Linux dystrybucje.This filter shows all sign-in attempts where the EAS protocol has been attempted from unsupported platforms like, Linux distros.

  • Klienci Mobile Apps i komputery stacjonarne Filtr pokazuje wszystkie próby logowania, które nie były używane przez przepływy przeglądarki.Mobile Apps and Desktop clients The filter shows all sign-in attempts that were not using browser flows. Na przykład aplikacje mobilne z dowolnej platformy przy użyciu dowolnego protokołu lub aplikacji klienckich dla komputerów stacjonarnych, takich jak pakiet Office w systemie Windows lub MacOS.For example, mobile apps from any platform using any protocol or from Desktop client apps like Office on Windows or MacOS.

  • Inni klienciOther clients

    • PROTOKOŁUIMAP
      Starsza wersja klienta poczty używającej protokołu IMAP do pobierania poczty e-mail.A legacy mail client using IMAP to retrieve email.
    • MAPIMAPI
      Pakiet Office 2013, gdzie Biblioteka ADAL jest włączona i używa interfejsu MAPI.Office 2013, where ADAL is enabled and it is using MAPI.
    • Stara klienci pakietu OfficeOld Office clients
      Pakiet Office 2013 w konfiguracji domyślnej, gdzie Biblioteka ADAL nie jest włączona i używa interfejsu MAPI lub pakietu Office 2016, gdzie ADAL została wyłączona.Office 2013 in its default configuration where ADAL is not enabled and it is using MAPI, or Office 2016 where ADAL has been disabled.
    • POPPOP
      Starsza wersja klienta poczty używającej protokołu POP3 do pobierania poczty e-mail.A legacy mail client using POP3 to retrieve email.
    • SMTPSMTP
      Starszego klienta poczty e-mail korzystającego z protokołu SMTP do wysyłania wiadomości.A legacy mail client using SMTP to send email.

Pobieranie działań związanych z logowaniemDownload sign-in activities

Kliknij opcję Pobierz , aby utworzyć plik CSV lub kod JSON z najnowszych rekordów 250 000.Click the Download option to create a CSV or JSON file of the most recent 250,000 records. Rozpocznij od pobrania danych logowania, Jeśli chcesz korzystać z nich poza Azure Portal.Start with download the sign-ins data if you want to work with it outside the Azure portal.

PobieranieDownload

Ważne

Liczba rekordów, które można pobrać, jest ograniczona przez zasady przechowywania raportów Azure Active Directory.The number of records you can download is constrained by the Azure Active Directory report retention policies.

Skróty danych logowaniaSign-ins data shortcuts

Usługa Azure AD i Azure Portal udostępniają dodatkowe punkty wejścia do danych logowania:Azure AD and the Azure portal both provide you with additional entry points to sign-ins data:

  • Omówienie ochrony tożsamościThe Identity security protection overview
  • UżytkownicyUsers
  • GrupyGroups
  • Aplikacje dla przedsiębiorstwEnterprise applications

Użytkownicy logują się do danych w usłudze Identity Security ProtectionUsers sign-ins data in Identity security protection

Na stronie Omówienie usługi Identity Security Protection Graf logowania użytkownika przedstawia tygodniowe agregacje logowania. Wartością domyślną okresu jest 30 dni.The user sign-in graph in the Identity security protection overview page shows weekly aggregations of sign-ins. The default for the time period is 30 days.

Aktywność logowaniaSign-in activity

Po kliknięciu dnia na wykresie logowań zostanie wyświetlony przegląd działań logowania dla tego dnia.When you click on a day in the sign-in graph, you get an overview of the sign-in activities for this day.

Każdy wiersz na liście działań logowania określa następujące informacje:Each row in the sign-in activities list shows:

  • Kto się zalogował?Who has signed in?
  • Do której aplikacji się logowano?What application was the target of the sign-in?
  • Jaki jest stan logowania?What is the status of the sign-in?
  • Jaki jest stan uwierzytelniania wieloskładnikowego dla logowania?What is the MFA status of the sign-in?

Klikając pozycję, można uzyskać więcej szczegółowych informacji na temat operacji logowania:By clicking an item, you get more details about the sign-in operation:

  • Identyfikator użytkownikaUser ID
  • UżytkownikUser
  • Nazwa użytkownikaUsername
  • Identyfikator aplikacjiApplication ID
  • AplikacjaApplication
  • KlientClient
  • LokalizacjaLocation
  • Adres IPIP address
  • DataDate
  • Wymagane uwierzytelnianie wieloskładnikoweMFA Required
  • Stan logowaniaSign-in status

Uwaga

Adresy IP są wystawiane w taki sposób, że nie istnieje ostateczne połączenie między adresem IP i lokalizacją, w której komputer z tym adresem jest fizycznie zlokalizowany.IP addresses are issued in such a way that there is no definitive connection between an IP address and where the computer with that address is physically located. Mapowanie adresów IP jest skomplikowane przez fakt, że dostawcy urządzeń przenośnych i sieci VPN wystawiają adresy IP z pul centralnych, które często są bardzo daleko od miejsca użycia urządzenia klienckiego.Mapping IP addresses is complicated by the fact that mobile providers and VPNs issue IP addresses from central pools that are often very far from where the client device is actually used. Obecnie w raportach usługi Azure AD konwertowanie adresu IP na lokalizację fizyczną jest najlepszym nakładem pracy na podstawie śladów, danych rejestru, wyszukiwania wstecznego i innych informacji.Currently in Azure AD reports, converting IP address to a physical location is a best effort based on traces, registry data, reverse look ups and other information.

Na stronie Użytkownicy znajduje się pełny przegląd wszystkich logowań użytkowników dostępny po kliknięciu pozycji Logowania w sekcji Działanie.On the Users page, you get a complete overview of all user sign-ins by clicking Sign-ins in the Activity section.

Aktywność logowaniaSign-in activity

Użycie zarządzanych aplikacjiUsage of managed applications

Dzięki widokowi skoncentrowanemu na aplikacji w ramach danych logowania można uzyskać odpowiedzi na pytania, takie jak:With an application-centric view of your sign-in data, you can answer questions such as:

  • Kto korzysta z aplikacji?Who is using my applications?
  • Co to są trzy najpopularniejsze aplikacje w organizacji?What are the top three applications in your organization?
  • Jak działa moja najnowsza aplikacja?How is my newest application doing?

Punkt wejścia do tych danych to trzy pierwsze aplikacje w organizacji.The entry point to this data is the top three applications in your organization. Dane są zawarte w raporcie z ostatnich 30 dni w sekcji Przegląd w obszarze aplikacje dla przedsiębiorstw.The data is contained within the last 30 days report in the Overview section under Enterprise applications.

Aktywność logowaniaSign-in activity

Wykresy użycia aplikacji dotyczą tygodniowego agregacji logowań dla najpopularniejszych trzech aplikacji w danym okresie.The app-usage graphs weekly aggregations of sign-ins for your top three applications in a given time period. Domyślny okres to 30 dni.The default for the time period is 30 days.

Aktywność logowaniaSign-in activity

Jeśli chcesz, możesz ustawić fokus na konkretnej aplikacji.If you want to, you can set the focus on a specific application.

RaportowanieReporting

Po kliknięciu dnia na wykresie użycia aplikacji zostanie wyświetlona szczegółowa lista działań związanych z logowaniem.When you click on a day in the app usage graph, you get a detailed list of the sign-in activities.

Opcja Logowania umożliwia pełny przegląd zdarzeń logowania do aplikacji.The Sign-ins option gives you a complete overview of all sign-in events to your applications.

Dzienniki aktywności pakietu Office 365Office 365 activity logs

Dzienniki aktywności pakietu Office 365 można wyświetlić w centrum administracyjnym Microsoft 365.You can view Office 365 activity logs from the Microsoft 365 admin center. Należy wziąć pod uwagę, że usługa Office 365 i dzienniki aktywności usługi Azure AD dzielą znaczną liczbę zasobów katalogu.Consider the point that, Office 365 activity and Azure AD activity logs share a significant number of the directory resources. Tylko Microsoft 365 centrum administracyjnego zapewnia pełny wgląd w dzienniki aktywności pakietu Office 365.Only the Microsoft 365 admin center provides a full view of the Office 365 activity logs.

Możesz również programowo uzyskać dostęp do dzienników aktywności pakietu Office 365 przy użyciu interfejsów API zarządzania pakietu office 365.You can also access the Office 365 activity logs programmatically by using the Office 365 Management APIs.

Następne krokiNext steps