Журналы входа в Azure Active Directory

ИТ-администратору важно иметь представление о том, что происходит в его ИТ-среде. Сведения о работоспособности системы позволяют определить, когда и как нужно реагировать на потенциальные проблемы.

Для достижения этой цели портал Azure Active Directory предоставляет три журнала действий:

  • Операции входа — сведения об операциях входа и использовании ресурсов пользователями.
  • Аудит — сведения об изменениях, примененных к вашему клиенту, например об операциях управления пользователями и группами или обновлении ресурсов клиента.
  • Подготовка — действия, выполняемые службой подготовки к работе, например создание группы в ServiceNow или импорт пользователей из Workday.

В этой статье приведен обзор отчета о действиях входа.

Что можно делать с ним?

Вы можете использовать журнал входа, чтобы найти ответы на следующие вопросы.

  • Что такое шаблон входа пользователя?

  • Сколько пользователей входили в течение недели?

  • Каков статус их входа?

Кто может получить к ним доступ?

Вы всегда можете получить доступ к собственным журналам входа с помощью этой ссылки: https://mysignins.microsoft.com.

Чтобы получить доступ к журналу входа, необходимо следующее.

  • Роль глобального администратора.

  • Одна из следующих ролей пользователя.

    • администратор безопасности;

    • Читатель сведений о безопасности

    • Глобальный читатель

    • Читатель отчетов

Какая нужна лицензия Azure AD?

Отчет о действиях входа доступен во всех выпусках Azure AD. Если у вас есть лицензия Azure Active Directory P1 или P2, вы также можете получить доступ к отчету о действиях входа через API Microsoft Graph.

Где можно найти журнал на портале Azure?

Портал Azure предоставляет несколько вариантов для доступа к журналу. Например, в меню Azure Active Directory можно открыть журнал в разделе Мониторинг.

Open sign-in logs

Кроме того, вы можете перейти непосредственно к журналам входа, используя следующую ссылку: https://portal.azure.com/#blade/Microsoft_AAD_IAM/ActiveDirectoryMenuBlade/SignIns.

Что содержит представление по умолчанию?

Журнал событий входа содержит представление списка по умолчанию, в котором отображаются:

  • дата входа;
  • пользователь;
  • приложение, в которое вошел пользователь;
  • состояние входа;
  • состояние обнаружения риска;
  • состояние требования многофакторной проверки подлинности (MFA).

Screenshot shows the Office 365 SharePoint Online Sign-ins.

Можно настроить представление списка, нажав на Столбцы на панели инструментов.

Screenshot shows the Columns option in the Sign-ins page.

В диалоговом окне Столбцы можно выбрать атрибуты. Отчет о событиях входа не может содержать поля, имеющие более одного значения для данного запроса входа, в качестве столбцов. Например, это справедливо для сведений о проверке подлинности, данных условного доступа и расположения в сети.

Screenshot shows the Columns dialog box where you can select attributes.

Чтобы получить более подробную информацию, выберите элемент в списке.

Screenshot shows a detailed information view.

Код ошибки входа

Если вход не был успешным, вы можете просмотреть причину запрета в разделе основной информации для соответствующего элемента журнала.

sign-in error code

Элемент журнала предоставляет некоторую причину проблемы, но в некоторых случаях вы можете получить более подробную информацию с помощью средства поиска ошибок входа. Например, это средство предоставит сведения о возможных действиях для исправления проблемы, если такая информация доступна.

Error code lookup tool

Фильтрация действий входа

Вы можете отфильтровать данные в журнале, чтобы просматривать только нужные сведения.

Screenshot shows the Add filters option.

Идентификатор запроса — идентификатор интересующего вас запроса.

Пользователь — интересующее вас имя пользователя или имя участника-пользователя (UPN).

Приложение — имя целевого приложения.

Состояние — интересующее вас состояние входа.

  • Успешно

  • Failure

  • Прервано

IP-адрес — IP-адрес устройства, которое использовалось для подключения к клиенту.

Расположение — расположение, из которого было инициировано подключение.

  • City

  • Область, республика, край, округ

  • Страна или регион

Ресурс — имя службы, использованной для входа.

Идентификатор ресурса — идентификатор службы, использованной для входа.

Клиентское приложение — тип клиентского приложения, использованного для подключения к клиенту.

Client app filter

Примечание

Ввиду требований к обеспечению конфиденциальности Azure AD не заполняет это для домашнего клиента в случае сценария подключения между клиентами.

Имя Современная проверка подлинности Описание
Протокол SMTP с проверкой подлинности Используется клиентами POP и IMAP для отправки сообщений электронной почты.
Автообнаружение Используется клиентами Outlook и EAS для поиска почтовых ящиков в Exchange Online и подключения к ним.
Exchange ActiveSync Этот фильтр показывает все попытки входа в систему, при которых была предпринята попытка использования протокола EAS.
Браузер Blue checkmark. Показывает все попытки входа пользователей в систему с помощью веб-браузеров.
Exchange ActiveSync Показывает все попытки пользователей с клиентскими приложениями войти в систему с помощью Exchange ActiveSync для подключения к Exchange Online.
Exchange Online PowerShell Используется для подключения к Exchange Online с помощью удаленной оболочки PowerShell. Если вы заблокируете обычную аутентификацию для PowerShell в Exchange Online, для подключения понадобится использовать модуль PowerShell Exchange Online. Инструкции см. в статье Подключение к PowerShell Exchange Online с помощью многофакторной проверки подлинности.
Веб-службы Exchange Программный интерфейс, используемый Outlook, Outlook для Mac и сторонними приложениями.
IMAP4 Устаревший почтовый клиент, использующий IMAP для получения сообщений электронной почты.
MAPI поверх HTTP Используется Outlook 2010 и более поздних версий.
Мобильные приложения и настольные клиенты Blue checkmark. Показывает все попытки пользователей войти в систему с помощью мобильных приложений и настольных клиентов.
Автономная адресная книга Копия коллекций списков адресов, которые скачиваются и используются в Outlook.
Outlook Anywhere (RPC поверх HTTP) Используется Outlook 2016 и более поздних версий.
Служба Outlook Используется приложениями "Почта" и "Календарь" для Windows 10.
POP3 Устаревший почтовый клиент, использующий POP3 для получения сообщений электронной почты.
Веб-службы отчетов Используются для получения данных отчетов в Exchange Online.
Другие клиенты Показывает все попытки пользователей войти в систему, когда клиентское приложение отсутствовало или было неизвестно.

Операционная система. Операционная система, установленная на устройстве, которое используется для входа в клиент.

Браузер устройства. Если подключение было инициировано из браузера, это поле позволяет выполнить фильтрацию по имени браузера.

Идентификатор корреляции. Идентификатор корреляции действия.

Условный доступ. Состояние примененных правил условного доступа.

  • Не применяется. Во время входа в систему к пользователю и приложению политики не применялись.

  • Успешно. Во время входа в систему к пользователю и приложению (но необязательно к другим условиям) была применена одна политика условного доступа или несколько.

  • Сбой. При входе в систему удовлетворено условие пользователя и приложения по крайней мере одной политики условного доступа, а элементы управления предоставлением разрешения либо не удовлетворены, либо заданы для блокировки доступа.

Скачивание данных о действиях входа

Нажмите параметр Скачать, чтобы создать файл CSV или JSON из последних 250 000 записей. Вы можете скачать данные о действиях входа, если вам нужно поработать с ними за пределами портала Azure.

Download

Важно!

На число записей, которые можно скачать, влияют особенности политики хранения отчетов Azure Active Directory.

Точки для получения данных о входе

AAD и портал Azure предоставляют дополнительные точки входа для данных о событиях входа.

  • Обзор защиты удостоверений
  • Пользователи
  • Группы
  • корпоративные приложения.

Данные событий входа пользователей в разделе защиты удостоверений

График событий входа пользователей на странице обзора безопасности и защиты удостоверений демонстрирует объединенные по неделям данные о событиях входа. Период по умолчанию составляет 30 дней.

Screenshot shows a graph of Sign-ins over a month.

Щелкнув день на графике входов, вы увидите обзор действий входа за этот день.

Каждая строка в списке действий входа содержит такие сведения:

  • Кто выполнил вход?
  • Какое приложение было целью входа?
  • Каково состояние входа в систему?
  • Каково состояние MFA входа в систему?

Щелкнув элемент, вы получите более подробную информацию об операции входа:

  • User ID
  • Пользователь
  • Имя пользователя
  • Идентификатор приложения
  • Приложение
  • Клиент
  • Расположение
  • IP-адрес
  • Дата
  • Требуется многофакторная идентификация
  • состояние входа;

Примечание

IP-адреса выдаются таким образом, что определенная связь между IP-адресом и физическим расположением компьютера с этим адресом отсутствует. Сопоставление IP-адресов осложняется тем, что поставщики мобильной связи и виртуальные частные сети выдают IP-адреса из центральных пулов, которые нередко находятся очень далеко от места, где фактически используется клиентское устройство. Сейчас преобразование IP-адреса в физическое расположение не гарантируется и осуществляется на основе трассировок, данных реестра, обратных просмотров и других сведений.

На странице Пользователи можно получить полный обзор всех входов пользователей, щелкнув Вход в систему в разделе Действия.

Screenshot shows the Activity section where you can select Sign-ins.

Подробные сведения о проверке подлинности

На вкладке Сведения о проверке подлинности, расположенной в отчете о событиях входа, содержатся следующие сведения для каждой попытки проверки подлинности.

  • Список примененных политик проверки подлинности (например, условный доступ, MFA для каждого пользователя, параметры безопасности по умолчанию).
  • Список примененных политик времени существования сеанса (например, частота входа, сохранение данных MFA, настраиваемое время существования маркера).
  • Последовательность методов проверки подлинности, используемых для входа.
  • Была ли попытка проверки подлинности успешной.
  • Сведения о причинах успешной или неудачной попытки проверки подлинности.

Эта информация позволяет администраторам устранять неполадки на каждом шаге входа пользователя и отслеживать следующие сведения.

  • Объем попыток входа, защищенных многофакторной проверкой подлинности.
  • Причина запроса проверки подлинности на основе политик времени существования сеанса.
  • Показатели использования и успешности для каждого метода проверки подлинности.
  • Использование методов проверки подлинности без пароля (например, беспарольный вход с помощью телефона, FIDO2 и Windows Hello для бизнеса).
  • Как часто требования к проверке подлинности удовлетворяются с помощью утверждений маркеров (где у пользователя не запрашивается ввод пароля, SMS OTP и т. д.).

При просмотре отчета о входе перейдите на вкладку Сведения о проверке подлинности.

Screenshot of the Authentication Details tab

Примечание

Код проверки OATH регистрируется как метод проверки подлинности для аппаратных и программных маркеров OATH (например, приложение Microsoft Authenticator).

Важно!

На вкладке Сведения о проверке подлинности поначалу могут отображаться неполные или неточные данные, пока данные журнала не будут полностью агрегированы. Ниже приведены известные примеры.

  • Сообщение удовлетворено утверждением в маркере может отображаться ошибочно при первоначальной регистрации событий входа.
  • Строка Первичная проверки подлинности изначально не заносится в журнал.

Использование управляемых приложений

Представление данных входа, ориентированное на приложения, позволяет ответить на такие вопросы:

  • Кто использует мои приложения?
  • Какие три приложения являются самыми популярными в моей организации?
  • Как работает мое самое новое приложение?

Точкой входа для этих данных являются три самых популярных приложения в организации. Данные содержатся под заголовком Корпоративные приложения в разделе Обзор отчета за последние 30 дней.

Screenshot shows where you can select Overview.

Графики использования приложений за указанный период времени, на которых объединены по неделям события входа для трех самых популярных приложений. который по умолчанию составляет 30 дней.

Screenshot shows the App usage for a one month period.

Если нужно, вы можете переместить фокус на определенное приложение.

Reporting

Щелкнув день на графике использования приложений, вы увидите подробный список действий входа.

С помощью параметра Входов можно полностью отобразить все события входа в ваши приложения.

Журналы действий Microsoft 365

Журналы действий Microsoft 365 можно просматривать в центре администрирования Microsoft 365. Следует учитывать, что журналы действий Microsoft 365 и AAD совместно используют значительное количество ресурсов каталога. Полностью просмотреть журналы действий Microsoft 365 можно только в центре администрирования Microsoft 365.

Вы также можете получить программный доступ к журналам действий Microsoft 365 с помощью API управления Office 365.

Дальнейшие действия