Sık sorulan sorular Azure Active Directory raporlarını geçici bir çözümFrequently asked questions around Azure Active Directory reports

Bu makale, Azure Active Directory (Azure AD) hakkında sık sorulan sorular raporlama yanıtlarını içerir.This article includes answers to frequently asked questions about Azure Active Directory (Azure AD) reporting. Daha fazla bilgi için bkz. Azure Active Directory raporlaması.For more information, see Azure Active Directory reporting.

BaşlarkenGetting started

S: Şu anda kullanın https://graph.windows.net/<tenant-name>/reports/ API'leri çekme Azure AD denetim ve tümleşik uygulama kullanım için Raporlar Raporlama sistemlerimizde programlı olarak uç nokta. Ne için geçiş miyim?Q: I currently use the https://graph.windows.net/<tenant-name>/reports/ endpoint APIs to pull Azure AD audit and integrated application usage reports into our reporting systems programmatically. What should I switch to?

C: Arama API Başvurusu öğrenmek için etkinliği raporlarına erişmek için API'leri kullanan.A: Look up the API reference to see how you can use the APIs to access activity reports. Bu uç noktaya sahip iki rapor (denetim ve oturum açma işlemleri) eski API uç noktası aldığınız tüm verileri sağlar.This endpoint has two reports (Audit and Sign-ins) which provide all the data you got in the old API endpoint. Bu yeni uç nokta da, uygulama kullanımını, Aygıt kullanımı ve kullanıcı oturum açma bilgilerini almak için kullanabileceğiniz bir Azure AD Premium lisansına sahip bir oturum açma işlemleri raporu vardır.This new endpoint also has a sign-ins report with the Azure AD Premium license that you can use to get app usage, device usage, and user sign-in information.


S: Şu anda kullanın https://graph.windows.net/<tenant-name>/reports/ Azure AD güvenlik raporları (belirli tür algılamadan dışlanmasını, sızan kimlik bilgileri veya anonim IP adreslerinden oturum açma işlemleri gibi) program aracılığıyla raporlama sistemlerimizde çekmek için API uç noktası. Ne için geçiş miyim?Q: I currently use the https://graph.windows.net/<tenant-name>/reports/ endpoint APIs to pull Azure AD security reports (specific types of detections, such as leaked credentials or sign-ins from anonymous IP addresses) into our reporting systems programmatically. What should I switch to?

C: Kullanabileceğiniz kimlik koruması risk olayları API Microsoft Graph üzerinden erişim güvenlik algılamaları için.A: You can use the Identity Protection risk events API to access security detections through Microsoft Graph. Bu yeni biçim, Gelişmiş filtreleme, alan seçimi ve diğer verileri nasıl Sorgulayabileceğiniz büyük esneklik sağlar ve daha kolay tümleştirmeye Sıem'lerden ve diğer veri toplama araçları için bir tür içinde risk olayları standartlaştırır.This new format gives greater flexibility in how you can query data, with advanced filtering, field selection, and more, and standardizes risk events into one type for easier integration into SIEMs and other data collection tools. Verileri farklı bir biçimde olduğundan, yeni bir sorgu için eski sorgularınızı yerine geçemez.Because the data is in a different format, you can't substitute a new query for your old queries. Ancak, Microsoft Graph yeni API'yi kullanan, olduğu gibi API'ler olarak O365 veya Azure AD için Microsoft standart.However, the new API uses Microsoft Graph, which is the Microsoft standard for such APIs as O365 or Azure AD. MS Graph mevcut yatırımlarınızdan veya Yardım ya da genişletebilirsiniz iş gerekli şekilde bu yeni standart platformu geçişinizi başlayın.So the work required can either extend your current MS Graph investments or help you begin your transition to this new standard platform.


S: Bir premium lisansı nasıl alabilirim?Q: How do I get a premium license?

C: Bkz: Azure Active Directory Premium ile çalışmaya başlama , Azure Active Directory sürümünü yükseltmek için.A: See Getting started with Azure Active Directory Premium to upgrade your Azure Active Directory edition.


S: Ne kadar kısa sürede etkinliği verileri bir premium lisansı aldıktan sonra görüyorum?Q: How soon should I see activities data after getting a premium license?

C: Etkinlikler verileri ücretsiz lisans olarak zaten varsa, daha sonra bunu hemen görebilirsiniz.A: If you already have activities data as a free license, then you can see it immediately. Herhangi bir veri yoksa, veriler raporlarda görünmesi için bir veya iki gün sürebilir.If you don’t have any data, then it will take one or two days for the data to show up in the reports.


S: Son aya ilişkin verileri bir Azure AD premium lisansı aldıktan sonra görebilir miyim?Q: Can I see last month's data after getting an Azure AD premium license?

C: Yakın zamanda (deneme sürümü dahil) bir Premium sürümüne çalıştıysanız, veri yedekleme 7 gün için başlangıçta görebilirsiniz.A: If you have recently switched to a Premium version (including a trial version), you can see data up to 7 days initially. Verileri toplanır, son 30 güne ilişkin verileri görebilirsiniz.When data accumulates, you can see data for the past 30 days.


S: Azure portalında etkinlik oturum açma işlemleri görmek veya API üzerinden veri almak için genel yönetici olmanız gerekiyor mu?Q: Do I need to be a global administrator to see the activity sign-ins to the Azure portal or to get data through the API?

C: Eğer Hayır, da raporlama verileri portalı veya API üzerinden erişebilirsiniz bir güvenlik okuyucusu veya Güvenlik Yöneticisi Kiracı.A: No, you can also access the reporting data through the portal or through the API if you are a Security Reader or Security Administrator for the tenant. Elbette, genel Yöneticiler de bu verilere erişebilir.Of course, Global Administrators will also have access to this data.


Etkinlik günlükleriActivity logs

S: Azure portalında etkinlik günlüklerini (Denetim ve oturum açma) için veri saklama nedir?Q: What is the data retention for activity logs (Audit and Sign-ins) in the Azure portal?

C: Veri saklama süresi etkinlik günlükleri için aşağıdaki tabloda listelenmektedir.A: The following table lists the data retention period for activity logs. Daha fazla bilgi için veri bekletme ilkeleri için Azure AD raporlar.For more information, see data retention policies for Azure AD reports.

RaporReport Azure AD ÜcretsizAzure AD Free Azure AD Premium P1Azure AD Premium P1 Azure AD Premium P2Azure AD Premium P2
Denetim günlükleriAudit logs 7 gün7 days 30 gün30 days 30 gün30 days
Oturum açma işlemleriSign-ins YokN/A 30 gün30 days 30 gün30 days
Azure MFA kullanımıAzure MFA Usage 30 gün30 days 30 gün30 days 30 gün30 days

S: My görevi tamamladığınızda etkinlik verileri görene kadar ne kadar sürer?Q: How long does it take until I can see the activity data after I have completed my task?

C: Denetim günlükleri, 15 dakika veya saat arasında bir gecikme süresine sahiptir.A: Audit logs have a latency ranging from 15 minutes to an hour. Oturum açma etkinlik günlüklerini 15 dakika veya bazı kayıtları 2 saate kadar sürebilir.Sign-in activity logs can take from 15 minutes to up to 2 hours for some records.


S: Azure Portalı aracılığıyla Office 365 etkinlik günlüğü bilgilerini alabilir miyim?Q: Can I get Office 365 activity log information through the Azure portal?

C: Olsa da Office 365 ve Azure AD etkinlik günlükleri dizin kaynaklarının çoğunu paylaşır, Office 365 etkinlik günlüklerinin tam bir görünümünü istiyorsanız, Git Microsoft 365 Yönetim merkezini Office 365 etkinlik günlüğü almak için bilgiler.A: Even though Office 365 activity and Azure AD activity logs share a lot of the directory resources, if you want a full view of the Office 365 activity logs, you should go to the Microsoft 365 admin center to get Office 365 Activity log information.


S: Office 365 etkinlik günlükleri hakkında daha fazla bilgi almak için hangi API'leri kullanabilir?Q: Which APIs do I use to get information about Office 365 Activity logs?

C: Kullanım Office 365 Yönetim API'leri bir API aracılığıyla Office 365 etkinlik günlüklerine erişmek için.A: Use the Office 365 Management APIs to access the Office 365 Activity logs through an API.


S: Kaç tane kayıtlarını Azure portalından indirebilirim?Q: How many records I can download from Azure portal?

C: En fazla 5000 kayıtlarını Azure portalından indirebilirsiniz.A: You can download up to 5000 records from the Azure portal. Kayıtları göre sıralanır en son ve varsayılan olarak, en son 5000 kayıtları alın.The records are sorted by most recent and by default, you get the most recent 5000 records.


Riskli oturum açma işlemleriRisky sign-ins

S: Kimlik koruması risk olayı yoktur, ancak karşılık gelen oturum açma, oturum açma işlemleri raporu görüyorum değil. Bu beklenen bir durumdur?Q: There is a risk event in Identity Protection but I’m not seeing corresponding sign-in in the sign-ins report. Is this expected?

C: Evet, kimlik koruması, etkileşimli veya etkileşimli olmayan tüm kimlik doğrulama akışları için risk değerlendirir.A: Yes, Identity Protection evaluates risk for all authentication flows whether interactive or non-interactive. Ancak, tüm oturum açma işlemleri yalnızca rapor yalnızca etkileşimli oturum açma işlemleri gösterir.However, all sign-ins only report shows only the interactive sign-ins.


S: Neden bir oturum açma veya bir kullanıcıya Azure portalında riskli bayrak eklenmiş olan olduğunu nasıl öğrenebilirim?Q: How do I know why a sign-in or a user was flagged risky in the Azure portal?

C: Varsa bir Azure AD Premium abonelik edinebilirsiniz temel risk olayları hakkında daha fazla kullanıcı seçerek risk için işaretlenen kullanıcılar veya bir kaydı seçmesini riskli oturum açma işlemleri rapor.A: If you have an Azure AD Premium subscription, you can learn more about the underlying risk events by selecting the user in Users flagged for risk or by selecting a record in the Risky sign-ins report. Varsa bir ücretsiz veya temel abonelik olduktan sonra kullanıcılar, risk ve riskli oturum açma işlemleri raporları görüntüleyebilir, ancak temel alınan risk olayı bilgilerini göremez.If you have a Free or Basic subscription, then you can view the users at risk and risky sign-ins reports, but you cannot see the underlying risk event information.


S: IP adresleri oturum açma ve riskli oturum açma işlemleri raporu nasıl hesaplanır?Q: How are IP addresses calculated in the sign-ins and risky sign-ins report?

C: IP adresleri, bir IP adresi ve bilgisayarın bu adresine sahip fiziksel olarak bulunduğu yeri arasında kesin bağlantı yoktur şekilde verilir.A: IP addresses are issued in such a way that there is no definitive connection between an IP address and where the computer with that address is physically located. IP adreslerini eşleme daha fazla mobil sağlayıcıları ve VPN istemci cihaz gerçekten kullanıldığı gölgeden uzak IP adresleri merkezi havuzlarından genellikle çok verme gibi faktörlere tarafından karmaşık.Mapping IP addresses is further complicated by factors such as mobile providers and VPNs issuing IP addresses from central pools often very far from where the client device is actually used. Şu anda Azure AD raporlarında, IP adresi fiziksel bir konuma dönüştürme izlemeleri, kayıt defteri verisi, geriye doğru arama ve diğer bilgilere göre en iyi çaba ilkesi var.Currently in Azure AD reports, converting IP address to a physical location is a best effort based on traces, registry data, reverse look ups and other information.


S: "Oturum açma algılandı ek risk içeren" geldiğiniz risk olayı nedir?Q: What does the risk event "Sign-in with additional risk detected" signify?

C: Oturum açma işlemleri için Azure AD kimlik koruması aboneleri için özel olan algılama için yer tutucu olarak ortamınızda riskli oturum açma işlemleri, "Oturum açma algılandı ek risk içeren" işlevleri hakkında bilgi vermek için.A: To give you insight into all the risky sign-ins in your environment, "Sign-in with additional risk detected" functions as placeholder for sign-ins for detections that are exclusive to Azure AD Identity Protection subscribers.


Koşullu ErişimConditional Access

S: Bu özellik ile yenilikler nelerdir?Q: What's new with this feature?

C: Müşteriler artık tüm oturum açma işlemleri raporu koşullu erişim ilkeleriyle giderebilirsiniz.A: Customers can now troubleshoot Conditional Access policies through all sign-ins report. Müşteriler, oturum açma ve sonucu her ilke için uygulanan tüm ilkeler ayrıntılarını inceleyin ve koşullu erişim durumunu gözden geçirebilirsiniz.Customers can review the Conditional Access status and dive into the details of the policies that applied to the sign-in and the result for each policy.

S: Nasıl kullanmaya başlarım?Q: How do I get started?

C: Kullanmaya başlamak için:A: To get started:

  • Oturum açma işlemleri raporu gidin Azure portalında.Navigate to the sign-ins report in the Azure portal.
  • Sorun giderme istediğiniz oturum üzerinde tıklayın.Click on the sign-in that you want to troubleshoot.
  • Gidin koşullu erişim sekmesi. Burada, oturum açma ve her ilke için sonucu etkilenen tüm ilkelerde görüntüleyebilirsiniz.Navigate to the Conditional Access tab. Here, you can view all the policies that impacted the sign-in and the result for each policy.

S: Koşullu erişim durumu için tüm olası değerler nelerdir?Q: What are all possible values for the Conditional Access status?

C: Koşullu erişim durumu, aşağıdaki değerlere sahip olabilir:A: Conditional Access status can have the following values:

  • Uygulanmamış: Bu, CA ilke kullanıcı ve uygulamanın kapsamında olduğu anlamına gelir.Not Applied: This means that there was no CA policy with the user and app in scope.
  • Başarı: Bu kullanıcı ve uygulamanın kapsamında olan bir CA ilke vardı ve CA ilkeleri başarıyla karşılandı anlamına gelir.Success: This means that there was a CA policy with the user and app in scope and CA policies were successfully satisfied.
  • Hata: Bu kullanıcı ve uygulamanın kapsamında olan bir CA ilke vardı ve CA ilkeleri karşılanmadı anlamına gelir.Failure: This means that there was a CA policy with the user and app in scope and CA policies were not satisfied.

S: Koşullu erişim ilkesi sonucu için tüm olası değerler nelerdir?Q: What are all possible values for the Conditional Access policy result?

C: Koşullu erişim ilkesi, aşağıdaki sonuçları olabilir:A: A Conditional Access policy can have the following results:

  • Başarı: İlke başarıyla gerçekleşmiş.Success: The policy was successfully satisfied.
  • Hata: İlke karşılanmadı.Failure: The policy was not satisfied.
  • Uygulanmamış: İlke koşullarını karşılamıyor, çünkü bu olabilir.Not applied: This might be because the policy conditions did not meet.
  • Etkin: Bu ilkeyi devre dışı durumda kaynaklanır.Not enabled: This is due to the policy in disabled state.

S: Rapordaki tüm oturum açma ilke adını, CA ilkesi adı eşleşmiyor. Neden?Q: The policy name in the all sign-in report does not match the policy name in CA. Why?

C: Rapordaki tüm oturum açma ilkesi adı, oturum açma zaman CA ilke adına bağlıdır.A: The policy name in the all sign-in report is based on the CA policy name at the time of the sign-in. İlke adına daha sonra diğer bir deyişle, oturum açma işleminden sonra güncelleştirdiyseniz bu CA ilkesi adı ile tutarsız olabilir.This can be inconsistent with the policy name in CA if you updated the policy name later, that is, after the sign-in.

S: Koşullu erişim ilkesi nedeniyle My oturum açma engellendi, ancak oturum açma etkinliği raporunu, oturum açma başarılı olduğunu gösterir. Neden?Q: My sign-in was blocked due to a Conditional Access policy, but the sign-in activity report shows that the sign-in succeeded. Why?

C: Şu anda oturum açma raporu, koşullu erişim uygulandığında, Exchange ActiveSync senaryoları için daha doğru sonuçlar gösterilmeyebilir.A: Currently the sign-in report may not show accurate results for Exchange ActiveSync scenarios when Conditional Access is applied. Bir oturum açma başarılı oturum açma sonuç raporunda gösterdiği durumlarda durumları olabilir, ancak oturum açma aslında bir koşullu erişim ilkesi nedeniyle başarısız oldu.There can be cases when the sign-in result in the report shows a successful sign-in, but the sign-in actually failed due to a Conditional Access policy.