Nejčastější dotazy týkající se monitorování a stavu Microsoft Entra

Pokud chcete upgradovat edici Microsoft Entra, podívejte se na licencování Microsoft Entra ID.

Pokud už máte data protokolu aktivit s bezplatnou licencí, můžete je okamžitě zobrazit. Pokud žádná data nemáte, může trvat až tři dny, než se data zobrazí v sestavách.

Pokud jste nedávno přešli na verzi Premium (včetně zkušební verze), můžete zpočátku zobrazit data až sedm dní. Když se data nashromáždí, můžete zobrazit data za posledních 30 dnů.

nejméně privilegované role k zobrazení protokolů auditu a přihlašování je čtenář sestav. Mezi další role patří čtenář zabezpečení a správce zabezpečení.

S Azure Monitorem a dalšími nástroji pro monitorování a upozorňování je možné integrovat přihlášení, audit, zřizování, ochranu ID, přístup k síti a mnoho dalších protokolů. Aktuálně nejsou zahrnuty události auditu související s B2C. Úplný seznam protokolů Microsoft Entra, které je možné integrovat s jinými koncovými body, najdete v tématu možnosti protokolu pro streamování do koncových bodů.

Protokoly aktivit Microsoft 365 a Microsoft Entra sdílejí mnoho adresářových prostředků. Pokud chcete zobrazit úplné zobrazení protokolů aktivit Microsoftu 365, měli byste přejít na Centrum pro správu Microsoftu 365 a získat informace protokolu aktivit Office 365. Rozhraní API pro Microsoft 365 jsou popsaná v článku rozhraní API pro správu Microsoftu 365.

Několik faktorů určuje počet protokolů, které si můžete stáhnout z Centra pro správu Microsoft Entra, jako je velikost paměti prohlížeče, rychlost sítě a načítání rozhraní API pro generování sestav Microsoft Entra. Obecně platí, že datové sady menší než 250 000 pro protokoly auditu a 100 000 pro přihlášení a zřizování protokolů fungují dobře s funkcí stahování prohlížeče. V závislosti na počtu zahrnutých polí se toto číslo může lišit. Pokud máte problémy s dokončováním velkých stahování v prohlížeči, pomocí rozhraní API pro vytváření sestav stáhněte data nebo odešlete protokoly do koncového bodu prostřednictvím nastavení diagnostiky.

Aktivní filtry v Centru pro správu Microsoft Entra při zahájení stahování určují konkrétní sadu protokolů, které si můžete stáhnout. Například filtrování pro konkrétního uživatele v Centru pro správu Microsoft Entra znamená, že stahování stáhne protokoly pro daného konkrétního uživatele. Sloupce ve stažených protokolech se nemění . Výstup obsahuje všechny podrobnosti o protokolu auditu nebo přihlášení bez ohledu na sloupce, které jste přizpůsobili v Centru pro správu Microsoft Entra.

V závislosti na vaší licenci ukládá Microsoft Entra ID protokoly aktivit mezi 7 a 30 dny. Další informace naleznete v tématu Microsoft Entra report retention policies.

V tomto okamžiku se v protokolech auditu nezobrazuje konkrétní aktivita pro nákupy licencí ani povolení. Možná ale budete moct korelovat aktivitu Onboard resource to PIM (Onboard resource to PIM) z kategorie Správa prostředků s nákupem nebo povolením licence. Tato aktivita nemusí být vždy dostupná nebo zadat přesné podrobnosti.

Prostředek signInActivity slouží k vyhledání neaktivních uživatelů, kteří se ještě nějakou dobu nepřihlásili. Neaktualizuje se téměř v reálném čase. Pokud potřebujete najít poslední přihlašovací aktivitu uživatele rychleji, můžete pomocí protokolů přihlášení k Microsoft Entra zobrazit téměř aktivitu přihlášení v reálném čase pro všechny uživatele.

Sdílený svazek clusteru obsahuje protokoly přihlašování pro typ přihlášení, které jste vybrali. Data, která jsou reprezentovaná jako vnořené pole v rozhraní Microsoft Graph API pro protokoly přihlašování, nejsou zahrnuta. Nezahrnou se například zásady podmíněného přístupu a informace jen pro sestavy. Pokud potřebujete exportovat všechny informace obsažené v protokolech přihlášení, použijte funkci Nastavení exportu dat.

Je také důležité si uvědomit, že sloupce zahrnuté ve stažených protokolech se nemění, i když jste přizpůsobili sloupce v Centru pro správu Microsoft Entra.

Id Microsoft Entra může redact part of a sign-in log to protect user privacy in the following scenarios:

• Při přihlašování mezi tenanty, například když se technik CSP přihlásí k tenantovi, kterého spravuje poskytovatel CSP.
• Když naše služba nemohla určit identitu uživatele s dostatečnou jistotou, aby se ujistil, že uživatel patří do tenanta, který si protokoly prohlíží.
• Microsoft Entra ID provádí redakci identifikovatelných osobních údajů (PII) generovaných zařízeními, která nepatří do vašeho tenanta, aby se zajistila zákaznická data. PII se nerozprostírá za hranice tenanta bez souhlasu uživatele a vlastníka dat.

V protokolech může být duplicitních položek přihlášení z několika důvodů.

• Pokud se při přihlášení zjistí riziko, publikuje se hned po zahrnutí rizika další téměř identická událost.
• Pokud se přijímají události vícefaktorového ověřování související s přihlášením, všechny související události se agregují do původního přihlášení.
• Pokud publikování partnera pro událost přihlášení selže, například publikování do Kusto, opakuje se celá dávka událostí a publikuje se znovu, což může vést k duplicitám.
• Události přihlášení, které zahrnují více zásad podmíněného přístupu, můžou být rozdělené na více událostí, což může mít za následek alespoň dvě události na jednu událost přihlášení.

Pole TimeGenerated v Log Analytics je čas, kdy byla položka přijata a publikována službou Log Analytics. Nezapomeňte, že aby se vaše protokoly zobrazovaly v Log Analytics, musíte nakonfigurovat nastavení diagnostiky pro odesílání protokolů do pracovního prostoru služby Log Analytics. Tento proces nějakou dobu trvá, takže pole TimeGenerated nemusí odpovídat skutečnému času přihlášení.

Pokud chcete potvrdit, že datum a čas odpovídají přihlášení, vyhledejte CreatedDateTime pole trochu dál ve výsledcích Log Analytics. Pole AuthenticationDetails lze také rozšířit, aby se zobrazil přesný čas přihlášení. Čas v Log Analytics se zobrazí v UTC, ale čas v protokolech přihlašování v Centru pro správu Microsoft Entra se zobrazí v místním čase, takže možná budete muset upravit.

Rizikové události přihlášení mají také jiný čas TimeGenerated než skutečný čas přihlášení. TimeGenerated time for risky sign-ins is the time the risk was detected, not the time of the sign-in. Zkontrolujte samotnou rizikovou událost přihlášení pro čas aktivity, což je skutečný čas přihlášení.

Neinteraktivní přihlášení můžou každou hodinu aktivovat velký objem událostí, takže jsou seskupené do protokolů.

V mnoha případech mají neinteraktivní přihlášení stejné vlastnosti, s výjimkou data a času přihlášení. Pokud je agregace času nastavená na 24 hodin, zobrazí se v protokolech přihlášení současně. Každý z těchto seskupených řádků lze rozšířit, aby se zobrazilo přesné časové razítko.

Existuje několik důvodů, proč se v poli uživatelského jména můžou zobrazovat ID uživatelů, ID objektů nebo identifikátory GUID.

• Při ověřování bez hesla se ID uživatelů zobrazují jako uživatelské jméno. Pokud chcete tento scénář potvrdit, podívejte se na podrobnosti o příslušné události přihlášení. Pole authenticationDetail říká bez hesla.
• Uživatel se ověřil, ale ještě se nepřihlásil. Pro potvrzení existuje kód chyby 50058 , který koreluje s přerušením.
• Pokud se v poli uživatelského jména zobrazuje 0000000-0000-0000-00000 nebo něco podobného, můžou existovat omezení tenanta, která uživateli brání v přihlášení k vybranému tenantovi.
• Pokusy o přihlášení k vícefaktorovým ověřováním se agregují s více datovými položkami, což může trvat déle, než se správně zobrazí. Úplné agregace dat může trvat až dvě hodiny, ale zřídka to trvá příliš dlouho.

Ne, obecně chyby 90025 jsou vyřešeny automatickým opakovaným pokusem bez toho, aby uživatel chybu nezapomněl. K této chybě může dojít, když interní podslužba Microsoft Entra dosáhne svého povolení opakování a neznačí, že váš tenant je omezený. Tyto chyby obvykle interně řeší ID Microsoft Entra. Pokud se uživatel kvůli této chybě nemůže přihlásit, zkuste problém vyřešit ručně.

Pokud má ID instančního objektu hodnotu 0000000-0000-0000-0000-0000000000000 není pro klientskou aplikaci v této instanci ověřování žádný instanční objekt. Microsoft Entra už nesděluje přístupové tokeny bez instančního objektu klienta, s výjimkou několika aplikací microsoftu a jiných aplikací než Microsoftu.

Pokud má ID instančního objektu prostředku hodnotu 0000000-0000-0000-0000-00000000000000," v této instanci ověřování neexistuje žádný instanční objekt pro aplikaci prostředků.

Toto chování je aktuálně povolené jenom pro omezený počet aplikací prostředků.

Můžete se dotazovat na instance ověřování bez instančního objektu klienta nebo prostředku ve vašem tenantovi.

• Pokud chcete vyhledat instance protokolů přihlašování pro vašeho tenanta, ve kterém chybí instanční objekt klienta, použijte následující dotaz:

  https://graph.microsoft.com/beta/auditLogs/signIns?$filter=signInEventTypes/any(t: t eq 'servicePrincipal') and servicePrincipalId eq '00000000-0000-0000-0000-000000000000'
  

• Pokud chcete najít instance protokolů přihlašování pro vašeho tenanta, ve kterém chybí instanční objekt prostředku, použijte následující dotaz:

  https://graph.microsoft.com/beta/auditLogs/signIns?$filter=signInEventTypes/any(t: t eq 'servicePrincipal') and resourceServicePrincipalId eq '00000000-0000-0000-0000-000000000000'
  

Tyto protokoly přihlašování najdete také v Centru pro správu Microsoft Entra.

• Přihlaste se do Centra pro správu Microsoft Entra.
• Přejděte do protokolů přihlášení k monitorování identit>a stavu>.
• Vyberte přihlášení instančního objektu.
• V poli Datum vyberte vhodný časový rámec (posledních 24 hodin, 7 dní atd.).
• Přidejte filtr a vyberte ID instančního objektu a zadejte hodnotu 00000000-0000-0000-0000-000000000000, abyste získali instance ověřování bez instančního objektu klienta.

Pokud chcete řídit fungování ověřování ve vašem tenantovi pro konkrétní aplikace klienta nebo prostředků, postupujte podle pokynů v aplikaci Omezit Microsoft Entra na sadu uživatelů článku.

Některé neinteraktivní přihlášení byly zpřístupněny dříve, než byly protokoly neinteraktivních přihlášení k dispozici ve verzi Public Preview. Tato neinteraktivní přihlášení byla zahrnuta do interaktivních protokolů přihlašování a zůstala v interaktivních protokolech přihlašování poté, co byly dostupné neinteraktivní protokoly. Přihlášení pomocí klíčů FIDO2 jsou příkladem neinteraktivních přihlášení, která se zobrazují v interaktivních protokolech přihlašování. V tuto chvíli se tyto neinteraktivní protokoly vždy zahrnou do interaktivního protokolu přihlašování.

K přístupu k detekci zabezpečení prostřednictvím Microsoft Graphu můžete použít rozhraní API pro detekci rizik identity Protection. Toto rozhraní API zahrnuje pokročilé filtrování a výběr polí a standardizuje detekce rizik do jednoho typu, aby se usnadnila integrace do SIEM a dalších nástrojů pro shromažďování dat.

Pomocí všech protokolů přihlašování můžete řešit potíže se zásadami podmíněného přístupu. Zkontrolujte stav podmíněného přístupu a projděte si podrobnosti o zásadách použitých pro přihlášení a výsledek jednotlivých zásad.

Jak začít:

• Přihlaste se do Centra pro správu Microsoft Entra.
• Přejděte do protokolů přihlášení k monitorování identit>a stavu>.
• Vyberte přihlášení, které chcete vyřešit.
• Výběrem karty Podmíněný přístup zobrazíte všechny zásady, které ovlivnily přihlášení, a výsledek pro každou zásadu.

Stav podmíněného přístupu může mít následující hodnoty:

• Nepoužito: Pro uživatele a aplikaci v oboru nebyly žádné zásady podmíněného přístupu.
• Úspěch: Byly úspěšně splněny zásady podmíněného přístupu s uživatelem a aplikací v oboru a zásady podmíněného přístupu.
• Chyba: Přihlášení splnilo podmínku uživatele a aplikace alespoň jedné zásady podmíněného přístupu a udělování ovládacích prvků buď nejsou splněné, nebo jsou nastavené tak, aby blokovaly přístup.

Zásady podmíněného přístupu můžou mít následující výsledky:

• Úspěch: Zásada byla úspěšně splněna.
• Selhání: Zásady nebyly splněny.
• Nepoužito: Podmínky zásad nemusí být splněné.
• Nepovoleno: Zásady můžou být v zakázaném stavu.

Název zásady v protokolu přihlašování je založený na názvu zásady podmíněného přístupu v době přihlášení. Název může být nekonzistentní s názvem zásady v podmíněném přístupu, pokud jste po přihlášení aktualizovali název zásady.

V současné době protokol přihlašování nemusí zobrazovat přesné výsledky pro protokol Exchange ActiveSync scénáře při použití podmíněného přístupu. V sestavě může dojít k případům, kdy se v sestavě zobrazí úspěšné přihlášení, ale přihlášení ve skutečnosti selhalo kvůli zásadám.

Zásady podmíněného přístupu se nevztahují na přihlášení k Windows ani Windows Hello pro firmy. Zásady podmíněného přístupu chrání pokusy o přihlášení ke cloudovým prostředkům, ne proces přihlášení k Windows.

Vyhledejte referenční informace k rozhraní API a zjistěte, jak můžete rozhraní API použít pro přístup k protokolům aktivit. Tento koncový bod má dvě sestavy (Audit a Přihlášení), které poskytují všechna data, která jste získali ve starém koncovém bodu rozhraní API. Tento nový koncový bod má také sestavu přihlášení s licencí Microsoft Entra ID P1 nebo P2, kterou můžete použít k získání informací o využití aplikací, využití zařízení a přihlašování uživatelů.

K přístupu k detekci zabezpečení prostřednictvím Microsoft Graphu můžete použít rozhraní API pro detekci rizik identity Protection. Tento nový formát poskytuje větší flexibilitu při dotazování na data. Formát poskytuje rozšířené filtrování, výběr polí a standardizuje detekce rizik do jednoho typu, aby se usnadnila integrace do SIEM a dalších nástrojů pro shromažďování dat. Vzhledem k tomu, že data jsou v jiném formátu, nemůžete nahradit starými dotazy nový dotaz. Nové rozhraní API ale používá Microsoft Graph, což je standard Microsoftu pro taková rozhraní API jako Microsoft 365 nebo Microsoft Entra ID. Proto požadovaná práce může buď rozšířit vaše aktuální investice do Microsoft Graphu, nebo vám pomůže začít s přechodem na tuto novou standardní platformu.

Možná se budete muset přihlásit k Microsoft Graphu odděleně od Centra pro správu Microsoft Entra. Vyberte ikonu profilu v pravém horním rohu a přihlaste se k pravému adresáři. Možná se pokoušíte spustit dotaz, ke kterému nemáte oprávnění. Vyberte Upravit oprávnění a vyberte tlačítko Souhlas . Postupujte podle pokynů k přihlášení.

Pokaždé, když se token používá k volání koncového bodu Microsoft Graphu, MicrosoftGraphActivityLogs aktualizuje se tímto voláním. Některá z těchto volání jsou volání jen pro aplikace, která nejsou publikovaná v protokolech přihlašování instančního objektu. MicrosoftGraphActivityLogs Když se zobrazí, uniqueTokenIdentifier že v protokolech přihlašování nemůžete najít, identifikátor tokenu odkazuje na token jen pro aplikaci první strany.

Pokud služba zjistí aktivitu související s tímto doporučením pro něco, co je označené jako dokončené, automaticky se změní zpět na aktivní.