Azure Active Directory 中的登入記錄

身為 IT 管理員的您想要知道您的 IT 環境如何進行。 系統健康情況的相關資訊可讓您評估是否需要回應潛在問題以及回應方式。

為了支援此目標,Azure Active Directory 入口網站可讓您存取三個活動記錄:

  • 登入 – 登入及使用者如何使用您資源的相關資訊。
  • 稽核 – 與套用至租用戶的變更相關的資訊,例如套用至租用戶資源的使用者與群組管理或更新。
  • 佈建 – 由佈建服務執行的活動,例如在 ServiceNow 中建立群組,或從 Workday 匯入的使用者。

本文提供登入報告的概觀。

登入記錄能讓您做什麼?

您可以使用登入記錄來尋找問題的答案,例如:

  • 使用者的登入模式為何?

  • 一週內有多少使用者登入?

  • 這些登入的狀態為何?

誰可以進行存取?

您可以隨時使用此連結存取您自己的登入歷程記錄:https://mysignins.microsoft.com

若要存取登入記錄,您必須是:

  • 全域管理員

  • 下列其中一個角色的使用者:

    • 安全性系統管理員

    • 安全性讀取者

    • 全域讀取者

    • 報表讀者

您需要哪些 Azure AD 授權?

登入活動報告適用於所有版本的 Azure AD。 如果您有 Azure Active Directory P1 或 P2 授權,也可以透過 Microsoft Graph API 來存取登入活動報告。

您可以在 Azure 入口網站中的何處找到此功能?

Azure 入口網站提供您幾個選項以存取記錄。 例如,在 [Azure Active Directory] 功能表上,您可以在 [監視] 區段中開啟記錄。

Open sign-in logs

此外,您可以使用下列連結直接取得登入記錄:https://portal.azure.com/#blade/Microsoft_AAD_IAM/ActiveDirectoryMenuBlade/SignIns

什麼是預設檢視?

登入記錄的預設清單檢視會顯示︰

  • 登入日期
  • 相關的使用者
  • 使用者已登入的應用程式
  • 登入狀態
  • 風險偵測的狀態
  • 多重要素驗證 (MFA) 需求的狀態

Screenshot shows the Office 365 SharePoint Online Sign-ins.

您可以按一下工具列中的 [資料行],以自訂清單檢視。

Screenshot shows the Columns option in the Sign-ins page.

[資料行] 對話方塊提供您可選取屬性的存取權。 在登入報告中,當指定的登入要求為資料行時,具有一個以上值的欄位無法適用。 例如,對於驗證詳細資料、條件式存取資料和網路位置而言皆為如此。

Screenshot shows the Columns dialog box where you can select attributes.

登入錯誤碼

如果登入失敗,您可以在相關記錄項目的 [基本資訊] 區段中取得原因的詳細資訊。

sign-in error code

雖然記錄項目會提供您失敗的原因,但在某些情況下,您可以使用登入錯誤查詢工具來取得詳細資訊。 例如,此工具 (若適用) 提供您補救步驟。

Error code lookup tool

篩選登入活動

您可以篩選記錄檔中的資料,將資料縮小到適合您的層級:

Screenshot shows the Add filters option.

要求識別碼 - 您重視的要求識別碼。

使用者 - 您重視的使用者名稱或使用者主體名稱 (UPN)。

應用程式 - 目標應用程式的名稱。

狀態 - 您重視的登入狀態:

  • Success

  • 失敗

  • 已中斷

IP 位址 - 用於連線至租用戶裝置的 IP 位址。

位置 - 起始連線的位置:

  • City

  • 州/省

  • 國家/地區

資源 - 用於登入的服務名稱。

資源識別碼 - 用於登入的服務識別碼。

用戶端應用程式 - 用於連線至租用戶的用戶端應用程式類型:

Client app filter

注意

基於對隱私權的承諾,Azure AD 不會在跨租使用者的案例中,將此欄位填入主租用戶。

Name 新式驗證 Description
已驗證的簡易郵件傳輸通訊協定 POP 與 IMAP 用戶端傳送電子郵件訊息時使用。
AutoDiscover Outlook 與 EAS 用戶端尋找及連線至 Exchange Online 中的信箱時使用。
Exchange ActiveSync 此篩選條件會顯示已嘗試過 EAS 通訊協定的所有登入嘗試。
瀏覽器 Blue checkmark. 顯示使用網頁瀏覽器使用者的所有登入嘗試
Exchange ActiveSync 顯示使用 Exchange ActiveSync 連線至 Exchange Online 用戶端應用程式使用者的所有登入嘗試
Exchange Online PowerShell 透過遠端 PowerShell 連線至 Exchange Online 時使用。 如果您封鎖 Exchange Online PowerShell 的基本驗證,則需使用 Exchange Online PowerShell 模組進行連線。 如需相關說明,請參閱使用多重要素驗證連線至 Exchange Online PowerShell
Exchange Web 服務 Outlook、Mac 版 Outlook 及協力廠商應用程式使用的程式設計介面。
IMAP4 使用 IMAP 取出電子郵件的舊版郵件用戶端。
經由 HTTP 的 MAPI 用於 Outlook 2010 和之後的版本。
行動裝置應用程式和桌面用戶端 Blue checkmark. 顯示使用行動裝置應用程式和桌面用戶端使用者的所有登入嘗試。
離線通訊錄 Outlook 所下載與使用的一份位址清單集合。
Outlook 無所不在 (經由 HTTP 的 RPC) 用於 Outlook 2016 和之前的版本。
Outlook 服務 用於 Windows 10 電子郵件與行事曆應用程式。
POP3 使用 POP3 取出電子郵件的舊版郵件用戶端。
報告 Web 服務 用於取出 Exchange Online 中的報告資料。
其他用戶端 顯示未包含或不明用戶端應用程式使用者的所有登入嘗試。

作業系統 - 在用於登入您租用戶的裝置上執行的作業系統。

裝置瀏覽器 - 如果是由瀏覽器起始連線,此欄位可讓您依瀏覽器名稱進行篩選。

相互關聯識別碼 - 活動的相互關聯識別碼。

條件式存取 - 套用條件式存取規則的狀態

  • 未套用:在登入期間未將原則套用至使用者和應用程式。

  • 成功:在登入期間套用至使用者和應用程式的一個或多個條件式存取原則 (但不一定是其他條件)。

  • 失敗:登入已滿足至少一項條件式存取原則的使用者和應用程式條件,而授與控制項並未滿足或設為封鎖存取。

登入資料捷徑

Azure AD 與 Azure 入口網站皆提供您其他可取得登入資料的進入點︰

  • 身分識別安全性保護概觀
  • 使用者
  • 群組
  • 企業應用程式

身分識別安全性保護中的使用者登入資料

[身分識別安全性保護] 概觀頁面中的使用者登入圖會顯示每週登入彙總。預設的時間範圍是 30 天。

Screenshot shows a graph of Sign-ins over a month.

當您按一下登入圖中的某一天時,會取得當日登入活動的概觀。

登入活動清單中的每一列會顯示:

  • 誰已登入?
  • 哪個應用程式是登入的目標?
  • 登入狀態為何?
  • 登入的 MFA 狀態為何?

按一下項目,即可取得有關登入作業的更多詳細資料:

  • 使用者識別碼
  • User
  • 使用者名稱
  • 應用程式識別碼
  • 應用程式
  • 用戶端
  • Location
  • IP 位址
  • 日期
  • 需要 MFA
  • 登入狀態

注意

IP 位址的發出方式如下:IP 位址與該位址實際所在的電腦之間沒有任何明確的連線。 對應 IP 位址之所以複雜,是因為行動提供者和 VPN 會從中央集區發出 IP 位址,而中央集區通常距離用戶端裝置的實際使用位置非常遠。 目前,將 IP 位址轉換為實體位置是根據追蹤、登錄資料、反向查詢和其他資訊下所可取得的最佳結果。

在 [使用者] 頁面上,按一下 [活動] 區段中的 [登入],即可取得所有使用者登入的完整概觀。

Screenshot shows the Activity section where you can select Sign-ins.

驗證詳細資料

在登入報告中的 [驗證詳細資料] 索引標籤會提供下列資訊,以進行每個驗證嘗試:

  • 套用的驗證原則清單 (例如條件式存取、每個使用者的 MFA、安全性預設值)
  • 套用的工作階段存留期原則清單 (例如登入頻率、記住 MFA、可設定的權杖存留期)
  • 用於登入的驗證方法順序
  • 驗證嘗試是否成功
  • 驗證嘗試成功或失敗的原因詳細資料

這項資訊可讓管理員針對使用者登入中的每個步驟進行疑難排解,並追蹤:

  • 受到多重要素驗證保護的登入數量
  • 根據工作階段存留期原則進行驗證提示的原因
  • 每個驗證方法的使用方式和成功率
  • 無密碼驗證方法的使用方式 (例如無密碼電話登入、FIDO2 和 Windows Hello 企業版)
  • 權杖宣告滿足驗證需求的頻率 (不會以互動方式提示使用者輸入密碼、輸入 SMS OTP 等等)

檢視登入報表時,請選取 [驗證詳細資料] 索引標籤:

Screenshot of the Authentication Details tab

注意

OATH 驗證碼 會記錄為 OATH 硬體和軟體權杖的驗證方法 (例如 Microsoft Authenticator 應用程式)。

重要

[驗證詳細資料] 索引標籤一開始會顯示不完整或不正確的資料,直到記錄資訊完全彙總為止。 已知範例包括:

  • 一開始記錄登入事件時,會不正確地顯示由權杖中宣告滿足訊息。
  • 一開始不會記錄主要驗證資料列。

受控應用程式的使用情況

利用登入資料以應用程式為主的檢視,您可以回答下列問題︰

  • 誰在使用我的應用程式?
  • 您的組織中排名前 3 的應用程式為何?
  • 我的最新應用程式表現如何?

這項資料的進入點是組織中的應用程式前三名。 包含 30 天內報告的資料在 [企業應用程式] 下方的 [概觀] 區塊中。

Screenshot shows where you can select Overview.

在指定期間,應用程式使用量會提供應用程式前三名的每週登入彙總圖表。 時間週期的預設值是 30 天。

Screenshot shows the App usage for a one month period.

如果您想要,您可以將焦點設在特定的應用程式。

Reporting

當您按一下應用程式使用圖中的某一天時,您會取得登入活動的詳細清單。

[登入] 選項會提供您的應用程式的所有登入事件的完整概觀。

Microsoft 365 活動記錄

您可以從 Microsoft 365 系統管理中心中檢視 Microsoft 365 的活動記錄。 請考慮這一點:Microsoft 365 活動和 Azure AD 活動記錄共用大量的目錄資源。 只有 Microsoft 365 系統管理員中心提供 Microsoft 365 活動記錄的完整檢視。

您也可以使用 Office 365 管理 API,以程式設計的方式存取 Microsoft 365 活動記錄。

後續步驟