Azure Active Directory 中的登入記錄

以 IT 系統管理員的身分,您想要知道您的 IT 環境如何進行。 系統健康狀態的相關資訊可讓您評估是否和您需要回應潛在問題的方式。

為了支援此目標,Azure Active Directory 入口網站可讓您存取三個活動記錄:

  • 入-登入的 相關資訊,以及您的使用者如何使用您的資源。
  • Audit –套用至您租使用者的變更相關資訊,例如使用者和群組管理,或套用至租使用者資源的更新。
  • 建–布 建服務所執行的活動,例如在 ServiceNow 中建立群組,或從 Workday 匯入的使用者。

本文提供登入報告的總覽。

您可以用它來做什麼?

您可以使用登入記錄來尋找問題的解答,例如:

  • 使用者的登入模式為何?

  • 一週內有多少使用者登入?

  • 這些登入的狀態為何?

誰可以進行存取?

您一律可以使用此連結來存取自己的登入歷程記錄: https://mysignins.microsoft.com

若要存取登入記錄,您必須:

  • 全域管理員

  • 下列其中一個角色的使用者:

    • 安全性系統管理員

    • 安全性讀取者

    • 全域讀取者

    • 報表讀取者

您需要哪些 Azure AD 授權?

登入活動報告適用于所有版本的 Azure AD ,也可以透過 Microsoft Graph API 來存取。

您可以在 Azure 入口網站中找到它嗎?

Azure 入口網站可提供您數個存取記錄的選項。 例如,在 [Azure Active Directory] 功能表上,您可以在 [監視] 區段中開啟記錄檔。

開啟登入記錄

此外,您可以使用下列連結直接取得登入記錄: https://portal.azure.com/#blade/Microsoft_AAD_IAM/ActiveDirectoryMenuBlade/SignIns

什麼是預設視圖?

登入記錄的預設清單檢視會顯示︰

  • 登入日期
  • 相關的使用者
  • 使用者已登入的應用程式
  • 登入狀態
  • 風險偵測的狀態
  • 多重要素驗證 (MFA) 需求的狀態

螢幕擷取畫面顯示 Office 365 SharePoint Online 登入。

您可以按一下工具列中的 [資料行] 自訂清單檢視。

螢幕擷取畫面顯示 [登入] 頁面中的 [資料行] 選項。

[資料 ] 對話方塊可讓您存取可選取的屬性。 在登入報告中,當指定的登入要求為資料行時,具有一個以上值的欄位無法適用。 例如,驗證詳細資料、條件式存取資料和網路位置都是如此。

螢幕擷取畫面顯示 [資料行] 對話方塊,您可以從中選取 [屬性]。

選取清單檢視中的項目,即可取得更詳細的資訊。

螢幕擷取畫面顯示詳細的資訊檢視。

登入錯誤碼

如果登入失敗,您可以在相關記錄專案的 [ 基本資訊 ] 區段中取得原因的詳細資訊。

登入錯誤碼

雖然記錄專案會提供您失敗的原因,但在某些情況下,您可能會使用登 入錯誤查閱工具來取得詳細資訊。 例如,此工具(如果有的話)提供補救步驟。

錯誤碼查閱工具

<a name="filter-sign-in-activities">篩選登入活動

您可以篩選記錄檔中的資料,將資料縮小到適合您的層級:

![螢幕擷取畫面顯示 [新增篩選條件] 選項。](./media/concept-sign-ins/04.png "登入活動")

要求識別碼 - 您重視的要求識別碼。

使用者 - 您重視的使用者名稱或使用者主體名稱 (UPN)。

應用程式 - 目標應用程式的名稱。

狀態 - 您重視的登入狀態:

  • Success

  • 失敗

  • 已中斷

IP 位址 - 用於連線至租用戶裝置的 IP 位址。

位置-起始連接的位置:

  • City

  • 州/省

  • 國家/地區

資源 - 用於登入的服務名稱。

資源識別碼 - 用於登入的服務識別碼。

用戶端應用程式 - 用於連線至租用戶的用戶端應用程式類型:

用戶端應用程式篩選

注意

基於隱私權承諾,Azure AD 不會在跨租使用者案例的情況下,將此欄位填入至 home 租使用者。

Name 新式驗證 Description
已驗證的簡易郵件傳輸通訊協定 由 POP 和 IMAP 用戶端用來傳送電子郵件訊息。
AutoDiscover Outlook 與 EAS 用戶端尋找及連線至 Exchange Online 中的信箱時使用。
Exchange ActiveSync 此篩選器會顯示已嘗試過 EAS 通訊協定的所有登入嘗試。
瀏覽器 藍色核取記號。 顯示使用網頁瀏覽器之使用者的所有登入嘗試
Exchange ActiveSync 顯示用戶端應用程式的使用者登入嘗試,使用 Exchange ActiveSync 連接到 Exchange Online
Exchange Online PowerShell 透過遠端 PowerShell 連線至 Exchange Online 時使用。 如果您封鎖 Exchange Online PowerShell 的基本驗證,則需使用 Exchange Online PowerShell 模組進行連線。 如需相關說明,請參閱使用多重要素驗證連線至 Exchange Online PowerShell
Exchange Web 服務 Outlook、Mac 版 Outlook 及協力廠商應用程式使用的程式設計介面。
IMAP4 使用 IMAP 取出電子郵件的舊版郵件用戶端。
經由 HTTP 的 MAPI 用於 Outlook 2010 和之後的版本。
行動裝置應用程式和桌面用戶端 藍色核取記號。 顯示使用行動裝置應用程式和桌面用戶端使用者的所有登入嘗試。
離線通訊錄 Outlook 所下載與使用的一份位址清單集合。
Outlook 無所不在 (經由 HTTP 的 RPC) 用於 Outlook 2016 和之前的版本。
Outlook 服務 用於 Windows 10 電子郵件與行事曆應用程式。
POP3 使用 POP3 取出電子郵件的舊版郵件用戶端。
報告 Web 服務 用於取出 Exchange Online 中的報告資料。
其他用戶端 顯示未包含或不明用戶端應用程式使用者的所有登入嘗試。

作業系統 -裝置上執行的作業系統使用登入您的租使用者。

裝置瀏覽器 - 如果是由瀏覽器起始連線,此欄位可讓您依瀏覽器名稱進行篩選。

相互關聯識別碼 - 活動的相互關聯識別碼。

條件式存取 -套用的條件式存取規則的狀態

  • 未套用:在登入期間未將原則套用至使用者和應用程式。

  • 成功:在登入期間套用至使用者和應用程式的一個或多個條件式存取原則 (但不一定是其他條件)。

  • 失敗:登入符合至少一個條件式存取原則的使用者和應用程式條件,而且授與的控制項不符合或設定為封鎖存取。

下載登入活動

按一下 [下載] 選項,建立最近 250,000 筆記錄的 CSV 或 JSON 檔案。 如果您想要在 Azure 入口網站之外使用登入資料,請從 下載該資料 開始。

下載

重要

您可以下載的記錄數目會受限於 Azure Active Directory 報告保留原則

登入資料捷徑

Azure AD 和 Azure 入口網站都提供您登入資料的額外進入點:

  • 身分識別安全性保護概觀
  • 使用者
  • 群組
  • 企業應用程式

身分識別安全性保護中的使用者登入資料

[身分 識別安全性保護 ] 頁面中的使用者登入圖會顯示每週的登入匯總。時間週期的預設值是30天。

螢幕擷取畫面顯示一個月的登入圖表。

當您按一下登入圖中的某一天時,會取得當日登入活動的概觀。

登入活動清單中的每一列會顯示:

  • 誰已登入?
  • 哪個應用程式是登入的目標?
  • 登入狀態為何?
  • 登入的 MFA 狀態為何?

按一下項目,即可取得有關登入作業的更多詳細資料:

  • 使用者識別碼
  • User
  • 使用者名稱
  • 應用程式識別碼
  • 應用程式
  • 用戶端
  • Location
  • IP 位址
  • 日期
  • 需要 MFA
  • 登入狀態

注意

IP 位址的發出方式如下:IP 位址與該位址實際所在的電腦之間沒有任何明確的連線。 對應 IP 位址之所以複雜,是因為行動提供者和 VPN 會從中央集區發出 IP 位址,而中央集區通常距離用戶端裝置的實際使用位置非常遠。 目前,根據追蹤、登錄資料、反向查詢和其他資訊,將 IP 位址轉換為實體位置是最大的努力。

在 [使用者] 頁面上,按一下 [活動] 區段中的 [登入],即可取得所有使用者登入的完整概觀。

螢幕擷取畫面顯示您可以選擇 [登入] 的活動區段。

驗證詳細資料

在登入報告中的 [ 驗證詳細資料 ] 索引標籤會提供下列資訊,以進行每個驗證嘗試:

  • 套用的驗證原則清單 (例如條件式存取、每個使用者的 MFA、安全性預設值)
  • 用來登入的驗證方法序列
  • 驗證嘗試是否成功
  • 驗證嘗試成功或失敗的詳細資料

這項資訊可讓系統管理員針對使用者登入中的每個步驟進行疑難排解,並追蹤:

  • 受到多重要素驗證保護的登入數量
  • 每個驗證方法的使用方式和成功率
  • 無密碼 authentication 方法的使用方式 (例如無密碼電話登入、FIDO2 和商務 Windows Hello))
  • 權杖宣告滿足驗證需求的頻率 (不會以互動的方式提示使用者輸入密碼、輸入 SMS OTP 等等)

在查看登入報表時,請選取 [ 驗證詳細資料 ] 索引標籤:

[驗證詳細資料] 索引標籤的螢幕擷取畫面

注意

oath 驗證碼 會記錄為 oath 硬體和軟體權杖的驗證方法, (例如 Microsoft Authenticator 應用程式) 。

重要

[ 驗證詳細 資料] 索引標籤一開始會顯示不完整或不正確的資料,直到記錄資訊完全匯總為止。 已知的範例包括:

  • 一開始記錄登入事件時,會不正確地顯示 權杖訊息中 的已滿足宣告。
  • 一開始不會記錄 主要驗證 資料列。

受控應用程式的使用情況

利用登入資料以應用程式為主的檢視,您可以回答下列問題︰

  • 誰在使用我的應用程式?
  • 您組織中的前三個應用程式是什麼?
  • 我的最新應用程式表現如何?

這項資料的進入點是組織中的應用程式前三名。 包含 30 天內報告的資料在 [企業應用程式] 下方的 [概觀] 區塊中。

螢幕擷取畫面顯示您可從哪裡選擇 [概觀]。

在指定期間,應用程式使用量會提供應用程式前三名的每週登入彙總圖表。 時間週期的預設值是 30 天。

螢幕擷取畫面顯示一個月間的應用程式使用量。

如果您想要,您可以將焦點設在特定的應用程式。

報告

當您按一下應用程式使用圖中的某一天時,您會取得登入活動的詳細清單。

[登入] 選項會提供您的應用程式的所有登入事件的完整概觀。

Microsoft 365 活動記錄

您可以從Microsoft 365 系統管理中心中查看 Microsoft 365 的活動記錄。 請考慮 Microsoft 365 的活動和 Azure AD 活動記錄共用大量目錄資源的點。 只有 Microsoft 365 系統管理員中心提供 Microsoft 365 活動記錄的完整檢視。

您也可以使用Office 365 管理 api,以程式設計方式存取 Microsoft 365 活動記錄。

後續步驟