Inloggningar i Azure Active Directory
Som IT-administratör vill du veta hur it-miljön fungerar. Med hjälp av informationen om systemets hälsotillstånd kan du bedöma om och hur du behöver svara på potentiella problem.
Som stöd för det här målet ger Azure Active Directory-portalen dig åtkomst till tre aktivitetsloggar:
- Inloggningar – Information om inloggningar och hur dina resurser används av användarna.
- Granskning – Information om ändringar som tillämpas på din klientorganisation, till exempel användare och grupphantering eller uppdateringar som tillämpas på klientorganisationens resurser.
- Etablering – Aktiviteter som utförs av etableringstjänsten, till exempel skapande av en grupp i ServiceNow eller en användare som importerats från Workday.
Den här artikeln ger dig en översikt över inloggningsrapporten.
Vad kan du göra med det?
Du kan använda inloggningsloggen för att få svar på frågor som:
Vilket inloggningsmönster har en användare?
Hur många användare har loggat in under en vecka?
Vad är status för dessa inloggningar?
Vem kan komma åt den?
Du kan alltid komma åt din egen inloggningshistorik med hjälp av den här länken: https://mysignins.microsoft.com
För att komma åt inloggningsloggen måste du vara:
En global administratör
En användare med någon av följande roller:
Säkerhetsadministratör
Säkerhetsläsare
Global läsare
Rapportläsare
Vilken Azure AD-licens behöver du?
Inloggningsrapporten är tillgänglig i alla utgåvor av Azure AD. Om du har en Azure Active Directory P1- eller P2-licens kan du också komma åt inloggningsaktivitetsrapporten via Microsoft Graph API.
Var hittar du den i Azure Portal?
I Azure Portal du flera alternativ för att komma åt loggen. På menyn Azure Active Directory du till exempel öppna loggen i avsnittet Övervakning.
Dessutom kan du komma direkt till inloggningsloggarna med hjälp av den här länken: https://portal.azure.com/#blade/Microsoft_AAD_IAM/ActiveDirectoryMenuBlade/SignIns
Vad är standardvyn?
En inloggningslogg har en standardlistvy som visar:
- inloggningsdatum
- den aktuella användaren
- Programmet som användaren har loggat in på
- inloggningsstatus
- status för riskidentifieringen
- status för MFA-kravet (multifaktorautentisering).
Du kan anpassa listvyn genom att klicka på Kolumner i verktygsfältet.
Dialogrutan Kolumner ger dig åtkomst till de valbara attributen. I en inloggningsrapport kan du inte ha fält som har fler än ett värde för en viss inloggningsbegäran som kolumn. Detta gäller till exempel för autentiseringsinformation, data för villkorlig åtkomst och nätverksplats.
Välj ett objekt i listvyn för att få mer detaljerad information.
Felkod för inloggning
Om inloggningen misslyckades kan du få mer information om orsaken i avsnittet Grundläggande information för det relaterade loggobjektet.
Medan loggobjektet ger dig en felorsak finns det fall där du kan få mer information med hjälp av sökverktyget för inloggningsfel. Om det till exempel är tillgängligt ger det här verktyget dig reparationssteg.
Filtrera inloggningsaktivitet
Du kan filtrera data i en logg för att begränsa dem till en nivå som passar dig:
Begärande-ID – ID:t för den begäran som du bryr dig om.
Användare – Namnet eller användarens huvudnamn (UPN) för den användare som du bryr dig om.
Program – namnet på målprogrammet.
Status – Den inloggningsstatus som du bryr dig om:
Klart
Fel
Avbruten
IP-adress – IP-adressen för den enhet som används för att ansluta till din klientorganisation.
Plats – Platsen som anslutningen initierades från:
City
Delstat/provins
Land/region
Resurs – Namnet på den tjänst som används för inloggningen.
Resurs-ID – ID:t för den tjänst som används för inloggningen.
Klientapp – Typen av klientapp som används för att ansluta till din klientorganisation:
Anteckning
På grund av sekretessåtaganden fyller Azure AD inte i det här fältet till hemklientorganisationen i händelse av ett scenario mellan klienter.
| Name | Modern autentisering | Description |
|---|---|---|
| Autentiserad SMTP | Används av POP- och IMAP-klienter för att skicka e-postmeddelanden. | |
| Autodiscover | Används av Outlook EAS-klienter för att hitta och ansluta till postlådor i Exchange Online. | |
| Exchange ActiveSync | Det här filtret visar alla inloggningsförsök där EAS-protokollet har försökts. | |
| Webbläsare |  |
Visar alla inloggningsförsök från användare som använder webbläsare |
| Exchange ActiveSync | Visar alla inloggningsförsök från användare med klientappar som använder Exchange ActiveSync för att ansluta till Exchange Online | |
| Exchange Online PowerShell | Används för att ansluta Exchange Online med fjärr-PowerShell. Om du blockerar grundläggande autentisering för Exchange Online PowerShell måste du använda powershell Exchange Online modulen för att ansluta. Mer information finns i Anslut att Exchange Online PowerShell med hjälp av multifaktorautentisering. | |
| Exchange-webbtjänster | Ett programmeringsgränssnitt som används av Outlook, Outlook för Mac och appar från tredje part. | |
| IMAP4 | En äldre e-postklient som använder IMAP för att hämta e-post. | |
| MAPI över HTTP | Används av Outlook 2010 och senare. | |
| Mobilappar och skrivbordsklienter | |
Visar alla inloggningsförsök från användare som använder mobilappar och skrivbordsklienter. |
| Offlineadressbok | En kopia av samlingar med adresslistor som hämtas och används av Outlook. | |
| Outlook Anywhere (RPC över HTTP) | Används av Outlook 2016 och tidigare. | |
| Outlook Service | Används av e-post- och kalenderappen för Windows 10. | |
| POP3 | En äldre e-postklient som använder POP3 för att hämta e-post. | |
| Reporting Web Services | Används för att hämta rapportdata i Exchange Online. | |
| Övriga klienter | Visar alla inloggningsförsök från användare där klientappen inte ingår eller är okänd. |
Operativsystem – Operativsystemet som körs på enheten använde inloggning till din klientorganisation.
Enhetswebbläsare – Om anslutningen har initierats från en webbläsare kan du filtrera efter webbläsarnamn i det här fältet.
Korrelations-ID – korrelations-ID för aktiviteten.
Villkorlig åtkomst – Status för de tillämpade reglerna för villkorlig åtkomst
Tillämpas inte: Ingen princip tillämpas på användaren och programmet under inloggningen.
Lyckades: En eller flera principer för villkorlig åtkomst som tillämpas på användaren och programmet (men inte nödvändigtvis de andra villkoren) under inloggningen.
Fel: Inloggningen uppfyllt användar- och programvillkoret för minst en princip för villkorlig åtkomst och beviljandekontroller är antingen inte uppfyllda eller inställda på att blockera åtkomst.
Ladda ned inloggningsaktivitet
Klicka på alternativet Ladda ned för att skapa en CSV- eller JSON-fil med de senaste 250 000 posterna. Börja med att ladda ned inloggningsdata om du vill arbeta med dem utanför Azure Portal.
Viktigt
Antalet poster som du kan ladda ned begränsas av de principer Azure Active Directory kvarhållning av rapporter.
Genvägar till inloggningsdata
Azure AD och Azure Portal ger dig ytterligare startpunkter för inloggningsdata:
- Översikt över Identity Security Protection
- Användare
- Grupper
- Företagsprogram
Användare loggar in data i Identity Security Protection
Diagrammet över användarindata på översiktssidan för Identity Security Protection visar veckovisa sammanställningar av inloggningar. Standardvärdet för tidsperioden är 30 dagar.
När du klickar på en dag i inloggningsdiagrammet visas en översikt över inloggningsaktiviteterna för den dagen.
Det här visas på varje rad i listan med inloggningsaktiviteter:
- Vem har loggat in?
- Vilket program var målet för inloggningen?
- Vilken status har inloggningen?
- Vilken MFA-status har inloggningen?
När du klickar på ett objekt visas mer information om inloggningen:
- Användar-ID
- Användare
- Användarnamn
- Program-ID:t
- Program
- Client
- Location
- IP-adress
- Datum
- MFA krävs
- Inloggningsstatus
Anteckning
IP-adresser utfärdas på ett sådant sätt att det inte finns någon slutgiltig anslutning mellan en IP-adress och var datorn med den adressen finns fysiskt. Mappningen av IP-adresser är komplicerad eftersom mobilleverantörer och VPN:er utfärdar IP-adresser från centrala pooler som ofta är mycket långt från den plats där klientenhet faktiskt används. För närvarande är det bäst att konvertera IP-adresser till en fysisk plats baserat på spårningar, registerdata, omvända uppslag och annan information.
På sidan Användare visas en fullständig översikt över alla användarinloggningar om du klickar på Inloggningar i avsnittet Aktivitet.
Autentiseringsinformation
Fliken Autentiseringsinformation i inloggningsrapporten innehåller följande information för varje autentiseringsförsök:
- En lista över autentiseringsprinciper som tillämpas (till exempel villkorsstyrd åtkomst, MFA per användare, standardinställningar för säkerhet)
- En lista över tillämpade principer för sessionslivslängd (till exempel inloggningsfrekvens, Kom ihåg MFA, Konfigurerbar tokenlivslängd)
- Den sekvens med autentiseringsmetoder som används för att logga in
- Om autentiseringsförsöket lyckades eller inte
- Information om varför autentiseringsförsöket lyckades eller misslyckades
Med den här informationen kan administratörer felsöka varje steg i en användares inloggning och spåra:
- Mängden inloggningar som skyddas av multifaktorautentisering
- Orsak till autentiseringsuppfråga baserat på sessionslivslängdsprinciper
- Användnings- och lyckade priser för varje autentiseringsmetod
- Användning av lösenordsfri autentisering (till exempel lösenordsfri Telefon inloggning, FIDO2 och Windows Hello för företag)
- Hur ofta autentiseringskraven uppfylls av tokenanspråk (där användarna inte uppmanas att ange ett lösenord interaktivt, ange ett SMS OTP och så vidare)
När du visar inloggningsrapporten väljer du fliken Autentiseringsinformation:
Anteckning
OATH-verifieringskoden loggas som autentiseringsmetod för både OATH-maskin- och programvarutoken (till exempel Microsoft Authenticator appen).
Viktigt
Fliken Autentiseringsinformation kan initialt visa ofullständiga eller felaktiga data tills logginformationen är helt aggregerad. Kända exempel är:
- Ett uppfyllt anspråk i tokenmeddelandet visas felaktigt när inloggningshändelser loggas inledningsvis.
- Den primära autentiseringsraden loggas inte från början.
Användning av hanterade program
Med en programcentrerad vy över dina inloggningsuppgifter kan du få svar på frågor som:
- Vem använder mina program?
- Vilka är de tre främsta programmen i din organisation?
- Hur går det för mitt senaste program?
Startpunkten för dessa data är de tre främsta programmen i din organisation. Informationen finns i rapporten för de senaste 30 dagarna i avsnittet Översikt under Företagsprogram.
Diagrammen för appanvändning visar veckovisa aggregeringar av inloggningar för de tre främsta programmen under en viss tidsperiod. Standardvärdet för tidsperioden är 30 dagar.
Om du vill kan du ange att fokusera på ett visst program.
När du klickar på en dag i programanvändningsdiagrammet kan du få en detaljerad lista över inloggningsaktiviteterna.
Alternativet Inloggningar ger dig en fullständig översikt över alla inloggningshändelser för dina program.
Microsoft 365 aktivitetsloggar
Du kan visa Microsoft 365 aktivitetsloggar från Administrationscenter för Microsoft 365. Tänk på att Microsoft 365 och Azure AD-aktivitetsloggar delar ett stort antal katalogresurser. Endast Administrationscenter för Microsoft 365 ger en fullständig vy över Microsoft 365 aktivitetsloggar.
Du kan också komma åt Microsoft 365 aktivitetsloggar programmatiskt med hjälp av Office 365 Management-API:erna.