Oturum açma günlüğü etkinlik ayrıntıları hakkında bilgi edinin

Microsoft Entra, uyumluluk amacıyla tüm oturum açma bilgilerini bir Azure kiracısında günlüğe kaydeder. BT yöneticisi olarak, günlük değerlerini doğru yorumlayabilmeniz için oturum açma günlüklerindeki değerlerin ne anlama geldiğini bilmeniz gerekir.

• Oturum açma günlükleri hakkında bilgi edinin.
• Oturum açma günlüklerini özelleştirme ve filtreleme

Bu makalede, oturum açma günlüğünün Temel bilgiler sekmesindeki değerler açıklanmaktadır.

Temel bilgiler

Temel bilgiler sekmesi, tabloda da görüntülenen ayrıntıların çoğunu içerir. Oturum Açma Tanılama'yı Temel bilgiler sekmesinden başlatabilirsiniz. Daha fazla bilgi için bkz . Oturum Açma Tanılama'yı kullanma.

Oturum açma hatası kodları

Oturum açma başarısız olursa, ilgili günlük öğesinin Temel bilgiler sekmesinde nedeni hakkında daha fazla bilgi edinebilirsiniz. Hata kodu ve ilişkili hata nedeni ayrıntılarda görünür. Daha fazla bilgi için bkz . Oturum açma hatalarını giderme..

Konum ve Cihaz

Konum ve Cihaz bilgileri sekmeleri, kullanıcının konumu ve IP adresi hakkında genel bilgileri görüntüler. Cihaz bilgileri sekmesi, oturum açmak için kullanılan tarayıcı ve işletim sistemiyle ilgili ayrıntıları sağlar. Bu sekmede cihazın uyumlu, yönetilen veya Microsoft Entra karmaya katılmış olup olmadığıyla ilgili ayrıntılar da sağlanır.

Kimlik doğrulaması ayrıntıları

Oturum açma günlüğünün ayrıntılarındaki Kimlik Doğrulama Ayrıntıları sekmesi, her kimlik doğrulama girişimi için aşağıdaki bilgileri sağlar:

• Koşullu Erişim veya Güvenlik Varsayılanları gibi uygulanan kimlik doğrulama ilkelerinin listesi.
• Oturum açmak için kullanılan kimlik doğrulama yöntemlerinin dizisi.
• Kimlik doğrulama girişiminin başarılı olup olmadığını ve nedeni.

Bu bilgiler, kullanıcının oturum açma adımındaki her adımda sorun gidermenize olanak tanır. İzlemek için şu ayrıntıları kullanın:

• MFA tarafından korunan oturum açma işlemleri hacmi.
• Her kimlik doğrulama yöntemi için kullanım ve başarı oranları.
• Parolasız Telefon Oturum Açma, FIDO2 ve İş İçin Windows Hello gibi parolasız kimlik doğrulama yöntemlerinin kullanımı.
• Kullanıcıların etkileşimli olarak parola girmelerinin veya SMS OTP girmelerinin istenmesi gibi belirteç taleplerine göre kimlik doğrulama gereksinimlerinin ne sıklıkta karşılandığı.

Kimlik doğrulama ayrıntılarını analiz ederken aşağıdaki ayrıntıları not alın:

• OATH doğrulama kodu , oath donanım ve yazılım belirteçleri (Microsoft Authenticator uygulaması gibi) için kimlik doğrulama yöntemi olarak günlüğe kaydedilir.
• Kimlik doğrulama ayrıntıları sekmesi, günlük bilgileri tamamen toplanana kadar başlangıçta eksik veya yanlış veriler gösterebilir. Bilinen örnekler şunlardır:
  • Oturum açma olayları ilk kez günlüğe kaydedildiğinde belirteç iletisindeki talep tarafından karşılanan yanlış görüntüleniyor.
  • Birincil kimlik doğrulama satırı başlangıçta günlüğe kaydedilmez.
• Günlüklerdeki bir ayrıntıdan emin değilseniz, daha fazla analiz veya sorun giderme için kullanmak üzere İstek Kimliği ve Bağıntı Kimliği'ni toplayın.
• Kimlik doğrulaması veya oturum ömrü için Koşullu Erişim ilkeleri uygulanırsa, bunlar oturum açma girişimlerinin üstünde listelenir. Bunlardan birini görmüyorsanız, bu ilkeler şu anda uygulanmaz. Daha fazla bilgi için bkz . Koşullu Erişim oturum denetimleri.

Benzersiz tanımlayıcılar

Microsoft Entra Id'de kaynak erişiminin üç ilgili bileşeni vardır:

• Kim: Oturum açmayı yapan kimlik (Kullanıcı).
• Nasıl: Erişim için kullanılan istemci (Uygulama).
• Ne: Kimlik tarafından erişilen hedef (Kaynak).

Her bileşenin ilişkili benzersiz tanımlayıcısı (ID) vardır:

• Kimlik doğrulaması gereksinimi: Oturum açma işleminin başarılı olması için tüm oturum açma adımlarında gereken en yüksek kimlik doğrulama düzeyini gösterir.

  • Graph API yalnızca (eq ve startsWith işleçlerini) destekler $filter .

• Koşullu Erişim değerlendirmesi: Oturum açma olayına sürekli erişim değerlendirmesinin (CAE) uygulanıp uygulanmadığını gösterir.

  • Her kimlik doğrulaması için etkileşimli veya etkileşimli olmayan sekmelerde görünebilen birden çok oturum açma isteği vardır.
  • CAE, isteklerden yalnızca biri için true olarak görüntülenir ve etkileşimli sekmede veya etkileşimli olmayan sekmede görüntülenebilir.
  • Daha fazla bilgi için bkz . Microsoft Entra Id'de sürekli erişim değerlendirmesiyle oturum açma sorunlarını izleme ve sorunlarını giderme.

• Bağıntı Kimliği: Bağıntı kimliği, aynı oturum açma oturumundaki oturum açmaları gruplandırıyor. Değer, bir istemci tarafından geçirilen parametreleri temel alır, bu nedenle Microsoft Entra ID doğruluğunu garanti edemez.

• Kiracılar arası erişim türü: Aktörün kaynağa erişmek için kullandığı kiracılar arası erişim türünü açıklar. Olası değerler şunlardır:

  • none - Microsoft Entra kiracısı sınırlarını aşmamış bir oturum açma olayı.
  • b2bCollaboration- B2B İşbirliği kullanılarak konuk kullanıcı tarafından gerçekleştirilen kiracılar arası oturum açma.
  • b2bDirectConnect - B2B tarafından gerçekleştirilen kiracılar arası oturum açma.
  • microsoftSupport- Bir Microsoft müşteri kiracısında Microsoft destek aracısı tarafından gerçekleştirilen bir kiracılar arası oturum açma.
  • serviceProvider - Bir kiracıdaki CSP müşterisi adına Bulut Hizmeti Sağlayıcısı (CSP) veya benzer bir yönetici tarafından gerçekleştirilen kiracılar arası oturum açma
  • unknownFutureValue - İSTEMCIlerin numaralandırma listelerindeki değişiklikleri işlemesine yardımcı olmak için MS Graph tarafından kullanılan bir sentinel değeri. Daha fazla bilgi için bkz . Microsoft Graph ile çalışmaya yönelik en iyi yöntemler.
  • Oturum açma işlemi bir kiracının sınırlarını geçmezse değeri olur none.

• İstek Kimliği: Verilen belirteçlere karşılık gelen tanımlayıcı. Belirli bir belirteçle oturum açma işlemleri arıyorsanız, önce belirteçten istek kimliğini ayıklamanız gerekir.

• Oturum açma: Kullanıcının oturum açmaya çalışırken kendisini tanımlamak için Microsoft Entra Id'ye sağladığı dize. Genellikle bir kullanıcı asıl adıdır (UPN), ancak telefon numarası gibi başka bir tanımlayıcı olabilir.

• Oturum açma olay türleri: Olayın temsil ettiği oturum açma kategorisini gösterir.

  • Kullanıcı oturum açmaları kategorisi veya nonInteractiveUser olabilir interactiveUser ve oturum açma kaynağındaki isInteractive özelliğinin değerine karşılık gelir.
  • Yönetilen kimlik kategorisi şeklindedir managedIdentity.
  • Hizmet sorumlusu kategorisi servicePrincipal'dır.
  • Azure portalı bu değeri göstermez, ancak oturum açma olayı, oturum açma olay türüyle eşleşen sekmeye yerleştirilir. Olası değerler şunlardır:
    • interactiveUser
    • nonInteractiveUser
    • servicePrincipal
    • managedIdentity
    • unknownFutureValue
  • Microsoft Graph API'si şunları destekler: $filter (eq yalnızca işleç).

• Kiracı: Oturum açma günlüğü iki kiracı tanımlayıcısını izler:

  • Ev kiracısı – Kullanıcı kimliğine sahip olan kiracı. Microsoft Entra Id, kimliği ve adı izler.
  • Kaynak kiracısı – (hedef) kaynağın sahibi olan kiracı.
  • Bu tanımlayıcılar, kiracılar arası senaryolarda geçerlidir.
  • Örneğin, kiracınızın dışındaki kullanıcıların kaynaklarınıza nasıl eriştiğini öğrenmek için, ev kiracısının kaynak kiracıyla eşleşmediği tüm girişleri seçin.

• Kullanıcı türü: Kullanıcının türü.

  • Örnek olarak member, guestveya verilebilir external.

Oturum açma günlükleri için dikkat edilmesi gerekenler

Oturum açma günlüklerini gözden geçirirken aşağıdaki senaryoları göz önünde bulundurmanız önemlidir.

• IP adresi ve konum: IP adresi ile bu adrese sahip bilgisayarın fiziksel olarak bulunduğu yer arasında kesin bir bağlantı yoktur. Mobil sağlayıcılar ve VPN'ler, genellikle istemci cihazının gerçekten kullanıldığı konumdan uzak olan merkezi havuzlardan IP adresleri oluşturur. Şu anda IP adresini fiziksel bir konuma dönüştürme süreci izlemelere, kayıt defteri verilerine, geriye doğru aramalara ve diğer bilgilere göre mümkün olan en iyi şekilde tamamlanır.

• Koşullu Erişim:

  • Uygulanmadı: Oturum açma sırasında kullanıcıya ve uygulamaya hiçbir ilke uygulanmadı.
  • Başarılı: Oturum açma sırasında kullanıcı ve uygulama için uygulanan veya bu ilkeler için değerlendirilen bir veya daha fazla Koşullu Erişim ilkesi (ancak diğer koşullar olması gerekmez). Koşullu Erişim ilkesi uygulanamasa da, bu ilke değerlendirildiyse Koşullu Erişim durumu Başarılı olarak gösterilir.
  • Hata: Oturum açma işlemi, en az bir Koşullu Erişim ilkesinin kullanıcı ve uygulama koşuluyla karşılandı ve verme denetimleri karşılanmadı veya erişimi engelleyecek şekilde ayarlandı.

• Ev kiracı adı: Gizlilik taahhütleri nedeniyle Microsoft Entra Id, kiracılar arası senaryolar sırasında giriş kiracı adı alanını doldurmaz.

• Çok faktörlü kimlik doğrulaması: Bir kullanıcı MFA ile oturum açtığında, birkaç ayrı MFA olayı gerçekleşir. Örneğin, bir kullanıcı yanlış doğrulama kodu girerse veya zamanında yanıt vermezse, oturum açma girişiminin en son durumunu yansıtmak için ek MFA olayları gönderilir. Bu oturum açma olayları, Microsoft Entra oturum açma günlüklerinde bir satır öğesi olarak görünür. Ancak Azure İzleyici'de aynı oturum açma olayı birden çok satır öğesi olarak görünür. Bu olayların tümü aynı correlationIdolur.

Sonraki adımlar

• Microsoft Entra oturum açma günlüklerini dışarı aktarma hakkında bilgi edinin
• Microsoft Entra Id'de oturum açma tanılamasını keşfetme