Upravit

Sdílet prostřednictvím


Nejčastější dotazy týkající se monitorování a stavu Microsoft Entra

Tento článek obsahuje odpovědi na nejčastější dotazy týkající se monitorování a stavu Microsoft Entra. Další informace naleznete v tématu Microsoft Entra monitorování a stav přehledu.

Začínáme

Návody získat licenci Premium?

Pokud chcete upgradovat edici Microsoft Entra, podívejte se na licencování Microsoft Entra ID.

Jak brzy se po získání licence Premium zobrazí data protokolu aktivit?

Pokud už máte data protokolu aktivit s bezplatnou licencí, můžete je okamžitě zobrazit. Pokud žádná data nemáte, může trvat až tři dny, než se data zobrazí v sestavách.

Můžu zobrazit data za poslední měsíc po získání licence Microsoft Entra ID P1 nebo P2?

Pokud jste nedávno přešli na verzi Premium (včetně zkušební verze), můžete zpočátku zobrazit data až sedm dní. Když se data nashromáždí, můžete zobrazit data za posledních 30 dnů.

Protokoly aktivit

Jakou roli potřebuji k zobrazení protokolů aktivit v Centru pro správu Microsoft Entra?

nejméně privilegované role k zobrazení protokolů auditu a přihlašování je čtenář sestav. Mezi další role patří čtenář zabezpečení a správce zabezpečení.

Jaké protokoly můžu integrovat se službou Azure Monitor?

S Azure Monitorem a dalšími nástroji pro monitorování a upozorňování je možné integrovat přihlášení, audit, zřizování, ochranu ID, přístup k síti a mnoho dalších protokolů. Aktuálně nejsou zahrnuty události auditu související s B2C. Úplný seznam protokolů Microsoft Entra, které je možné integrovat s jinými koncovými body, najdete v tématu možnosti protokolu pro streamování do koncových bodů.

Můžu získat informace protokolu aktivit Microsoftu 365 prostřednictvím Centra pro správu Microsoft Entra nebo webu Azure Portal?

Protokoly aktivit Microsoft 365 a Microsoft Entra sdílejí mnoho adresářových prostředků. Pokud chcete zobrazit úplné zobrazení protokolů aktivit Microsoftu 365, měli byste přejít na Centrum pro správu Microsoftu 365 a získat informace protokolu aktivit Office 365. Rozhraní API pro Microsoft 365 jsou popsaná v článku rozhraní API pro správu Microsoftu 365.

Kolik záznamů si můžu stáhnout z Centra pro správu Microsoft Entra?

Několik faktorů určuje počet protokolů, které si můžete stáhnout z Centra pro správu Microsoft Entra, jako je velikost paměti prohlížeče, rychlost sítě a načítání rozhraní API pro generování sestav Microsoft Entra. Obecně platí, že datové sady menší než 250 000 pro protokoly auditu a 100 000 pro přihlášení a zřizování protokolů fungují dobře s funkcí stahování prohlížeče. V závislosti na počtu zahrnutých polí se toto číslo může lišit. Pokud máte problémy s dokončováním velkých stahování v prohlížeči, pomocí rozhraní API pro vytváření sestav stáhněte data nebo odešlete protokoly do koncového bodu prostřednictvím nastavení diagnostiky.

Aktivní filtry v Centru pro správu Microsoft Entra při zahájení stahování určují konkrétní sadu protokolů, které si můžete stáhnout. Například filtrování pro konkrétního uživatele v Centru pro správu Microsoft Entra znamená, že stahování stáhne protokoly pro daného konkrétního uživatele. Sloupce ve stažených protokolech se nemění . Výstup obsahuje všechny podrobnosti o protokolu auditu nebo přihlášení bez ohledu na sloupce, které jste přizpůsobili v Centru pro správu Microsoft Entra.

Jak dlouho microsoft Entra ID ukládá protokoly aktivit? Co je uchovávání dat?

V závislosti na vaší licenci ukládá Microsoft Entra ID protokoly aktivit mezi 7 a 30 dny. Další informace naleznete v tématu Microsoft Entra report retention policies.

Protokoly auditu

Jak zjistím, jestli uživatel zakoupil licenci nebo povolil zkušební licenci pro svého tenanta? Tato aktivita se nezobrazuje v protokolech auditu.

V tomto okamžiku se v protokolech auditu nezobrazuje konkrétní aktivita pro nákupy licencí ani povolení. Možná ale budete moct korelovat aktivitu Onboard resource to PIM (Onboard resource to PIM) z kategorie Správa prostředků s nákupem nebo povolením licence. Tato aktivita nemusí být vždy dostupná nebo zadat přesné podrobnosti.

Protokoly přihlašování

Použil(a) jsem prostředek signInActivity k vyhledání času posledního přihlášení uživatele, ale po několika hodinách se neaktualizoval. Kdy se aktualizuje o nejnovější čas přihlášení?

Prostředek signInActivity slouží k vyhledání neaktivních uživatelů, kteří se ještě nějakou dobu nepřihlásili. Neaktualizuje se téměř v reálném čase. Pokud potřebujete najít poslední přihlašovací aktivitu uživatele rychleji, můžete pomocí protokolů přihlášení k Microsoft Entra zobrazit téměř aktivitu přihlášení v reálném čase pro všechny uživatele.

Jaká data jsou součástí souboru CSV, který si můžu stáhnout z protokolů přihlašování Microsoft Entra?

Sdílený svazek clusteru obsahuje protokoly přihlašování pro typ přihlášení, které jste vybrali. Data, která jsou reprezentovaná jako vnořené pole v rozhraní Microsoft Graph API pro protokoly přihlašování, nejsou zahrnuta. Nezahrnou se například zásady podmíněného přístupu a informace jen pro sestavy. Pokud potřebujete exportovat všechny informace obsažené v protokolech přihlášení, použijte funkci Nastavení exportu dat.

Je také důležité si uvědomit, že sloupce zahrnuté ve stažených protokolech se nemění, i když jste přizpůsobili sloupce v Centru pro správu Microsoft Entra.

V podrobnostech o zařízení uživatele v protokolech přihlašování se zobrazuje hodnota .XXX v části IP adresy nebo "PII Odebráno". Proč se to děje?

Id Microsoft Entra může redact part of a sign-in log to protect user privacy in the following scenarios:

  • Při přihlašování mezi tenanty, například když se technik CSP přihlásí k tenantovi, kterého spravuje poskytovatel CSP.
  • Když naše služba nemohla určit identitu uživatele s dostatečnou jistotou, aby se ujistil, že uživatel patří do tenanta, který si protokoly prohlíží.
  • Microsoft Entra ID provádí redakci identifikovatelných osobních údajů (PII) generovaných zařízeními, která nepatří do vašeho tenanta, aby se zajistila zákaznická data. PII se nerozprostírá za hranice tenanta bez souhlasu uživatele a vlastníka dat.

Zobrazují se duplicitní položky přihlašování / více událostí přihlášení na ID požadavku. Proč se to děje?

V protokolech může být duplicitních položek přihlášení z několika důvodů.

  • Pokud se při přihlášení zjistí riziko, publikuje se hned po zahrnutí rizika další téměř identická událost.
  • Pokud se přijímají události vícefaktorového ověřování související s přihlášením, všechny související události se agregují do původního přihlášení.
  • Pokud publikování partnera pro událost přihlášení selže, například publikování do Kusto, opakuje se celá dávka událostí a publikuje se znovu, což může vést k duplicitám.
  • Události přihlášení, které zahrnují více zásad podmíněného přístupu, můžou být rozdělené na více událostí, což může mít za následek alespoň dvě události na jednu událost přihlášení.

Zkoumám událost přihlášení pomocí Log Analytics, ale čas TimeGenerated neodpovídá skutečnému času přihlášení. Proč se to děje?

Pole TimeGenerated v Log Analytics je čas, kdy byla položka přijata a publikována službou Log Analytics. Nezapomeňte, že aby se vaše protokoly zobrazovaly v Log Analytics, musíte nakonfigurovat nastavení diagnostiky pro odesílání protokolů do pracovního prostoru služby Log Analytics. Tento proces nějakou dobu trvá, takže pole TimeGenerated nemusí odpovídat skutečnému času přihlášení.

Pokud chcete potvrdit, že datum a čas odpovídají přihlášení, vyhledejte CreatedDateTime pole trochu dál ve výsledcích Log Analytics. Pole AuthenticationDetails lze také rozšířit, aby se zobrazil přesný čas přihlášení. Čas v Log Analytics se zobrazí v UTC, ale čas v protokolech přihlašování v Centru pro správu Microsoft Entra se zobrazí v místním čase, takže možná budete muset upravit.

Rizikové události přihlášení mají také jiný čas TimeGenerated než skutečný čas přihlášení. TimeGenerated time for risky sign-ins is the time the risk was detected, not the time of the sign-in. Zkontrolujte samotnou rizikovou událost přihlášení pro čas aktivity, což je skutečný čas přihlášení.

Proč se zdá, že moje neinteraktivní přihlášení mají stejné časové razítko?

Neinteraktivní přihlášení můžou každou hodinu aktivovat velký objem událostí, takže jsou seskupené do protokolů.

V mnoha případech mají neinteraktivní přihlášení stejné vlastnosti, s výjimkou data a času přihlášení. Pokud je agregace času nastavená na 24 hodin, zobrazí se v protokolech přihlášení současně. Každý z těchto seskupených řádků lze rozšířit, aby se zobrazilo přesné časové razítko.

V poli uživatelské jméno v přihlašovacím protokolu se zobrazují ID uživatelů / ID objektů a identifikátory GUID. Proč se to děje?

Existuje několik důvodů, proč se v poli uživatelského jména můžou zobrazovat ID uživatelů, ID objektů nebo identifikátory GUID.

  • Při ověřování bez hesla se ID uživatelů zobrazují jako uživatelské jméno. Pokud chcete tento scénář potvrdit, podívejte se na podrobnosti o příslušné události přihlášení. Pole authenticationDetail říká bez hesla.
  • Uživatel se ověřil, ale ještě se nepřihlásil. Pro potvrzení existuje kód chyby 50058 , který koreluje s přerušením.
  • Pokud se v poli uživatelského jména zobrazuje 0000000-0000-0000-00000 nebo něco podobného, můžou existovat omezení tenanta, která uživateli brání v přihlášení k vybranému tenantovi.
  • Pokusy o přihlášení k vícefaktorovým ověřováním se agregují s více datovými položkami, což může trvat déle, než se správně zobrazí. Úplné agregace dat může trvat až dvě hodiny, ale zřídka to trvá příliš dlouho.

V protokolech přihlášení se zobrazuje chyba 90025. Znamená to, že se uživateli nepodařilo přihlásit? Dosáhl můj tenant limitu omezování?

Ne, obecně chyby 90025 jsou vyřešeny automatickým opakovaným pokusem bez toho, aby uživatel chybu nezapomněl. K této chybě může dojít, když interní podslužba Microsoft Entra dosáhne svého povolení opakování a neznačí, že váš tenant je omezený. Tyto chyby obvykle interně řeší ID Microsoft Entra. Pokud se uživatel kvůli této chybě nemůže přihlásit, zkuste problém vyřešit ručně.

Co znamená v protokolech přihlašování instančního objektu, co znamená, když se v protokolech přihlašování zobrazuje "00000000-0000-0000-00000000000" nebo " pro ID instančního objektu nebo ID instančního objektu prostředku v protokolech přihlašování?

Pokud má ID instančního objektu hodnotu 0000000-0000-0000-0000-0000000000000 není pro klientskou aplikaci v této instanci ověřování žádný instanční objekt. Microsoft Entra už nesděluje přístupové tokeny bez instančního objektu klienta, s výjimkou několika aplikací microsoftu a jiných aplikací než Microsoftu.

Pokud má ID instančního objektu prostředku hodnotu 0000000-0000-0000-0000-00000000000000," v této instanci ověřování neexistuje žádný instanční objekt pro aplikaci prostředků.

Toto chování je aktuálně povolené jenom pro omezený počet aplikací prostředků.

Můžete se dotazovat na instance ověřování bez instančního objektu klienta nebo prostředku ve vašem tenantovi.

  • Pokud chcete vyhledat instance protokolů přihlašování pro vašeho tenanta, ve kterém chybí instanční objekt klienta, použijte následující dotaz:
    https://graph.microsoft.com/beta/auditLogs/signIns?$filter=signInEventTypes/any(t: t eq 'servicePrincipal') and servicePrincipalId eq '00000000-0000-0000-0000-000000000000'
    
  • Pokud chcete najít instance protokolů přihlašování pro vašeho tenanta, ve kterém chybí instanční objekt prostředku, použijte následující dotaz:
    https://graph.microsoft.com/beta/auditLogs/signIns?$filter=signInEventTypes/any(t: t eq 'servicePrincipal') and resourceServicePrincipalId eq '00000000-0000-0000-0000-000000000000'
    

Tyto protokoly přihlašování najdete také v Centru pro správu Microsoft Entra.

  • Přihlaste se do Centra pro správu Microsoft Entra.
  • Přejděte do protokolů přihlášení k monitorování identit>a stavu>.
  • Vyberte přihlášení instančního objektu.
  • V poli Datum vyberte vhodný časový rámec (posledních 24 hodin, 7 dní atd.).
  • Přidejte filtr a vyberte ID instančního objektu a zadejte hodnotu 00000000-0000-0000-0000-000000000000, abyste získali instance ověřování bez instančního objektu klienta.

Jak můžu omezit přihlášení (ověřování) pro různé aplikace, které se zobrazují v protokolech přihlašování instančního objektu?

Pokud chcete řídit fungování ověřování ve vašem tenantovi pro konkrétní aplikace klienta nebo prostředků, postupujte podle pokynů v aplikaci Omezit Microsoft Entra na sadu uživatelů článku.

Proč se přihlášení technicky neinteraktivně zobrazují v mých interaktivních protokolech přihlašování?

Některé neinteraktivní přihlášení byly zpřístupněny dříve, než byly protokoly neinteraktivních přihlášení k dispozici ve verzi Public Preview. Tato neinteraktivní přihlášení byla zahrnuta do interaktivních protokolů přihlašování a zůstala v interaktivních protokolech přihlašování poté, co byly dostupné neinteraktivní protokoly. Přihlášení pomocí klíčů FIDO2 jsou příkladem neinteraktivních přihlášení, která se zobrazují v interaktivních protokolech přihlašování. V tuto chvíli se tyto neinteraktivní protokoly vždy zahrnou do interaktivního protokolu přihlašování.

Jaké rozhraní API pro vytváření sestav mám použít pro detekci rizik identity Protection, jako jsou úniky přihlašovacích údajů nebo přihlášení z anonymních IP adres?

K přístupu k detekci zabezpečení prostřednictvím Microsoft Graphu můžete použít rozhraní API pro detekci rizik identity Protection. Toto rozhraní API zahrnuje pokročilé filtrování a výběr polí a standardizuje detekce rizik do jednoho typu, aby se usnadnila integrace do SIEM a dalších nástrojů pro shromažďování dat.

Podmíněný přístup

Jaké podrobnosti podmíněného přístupu se zobrazují v protokolech přihlašování?

Pomocí všech protokolů přihlašování můžete řešit potíže se zásadami podmíněného přístupu. Zkontrolujte stav podmíněného přístupu a projděte si podrobnosti o zásadách použitých pro přihlášení a výsledek jednotlivých zásad.

Jak začít:

  • Přihlaste se do Centra pro správu Microsoft Entra.
  • Přejděte do protokolů přihlášení k monitorování identit>a stavu>.
  • Vyberte přihlášení, které chcete vyřešit.
  • Výběrem karty Podmíněný přístup zobrazíte všechny zásady, které ovlivnily přihlášení, a výsledek pro každou zásadu.

Jaké jsou všechny možné hodnoty stavu podmíněného přístupu?

Stav podmíněného přístupu může mít následující hodnoty:

  • Nepoužito: Pro uživatele a aplikaci v oboru nebyly žádné zásady podmíněného přístupu.
  • Úspěch: Byly úspěšně splněny zásady podmíněného přístupu s uživatelem a aplikací v oboru a zásady podmíněného přístupu.
  • Chyba: Přihlášení splnilo podmínku uživatele a aplikace alespoň jedné zásady podmíněného přístupu a udělování ovládacích prvků buď nejsou splněné, nebo jsou nastavené tak, aby blokovaly přístup.

Jaké jsou všechny možné hodnoty výsledku zásad podmíněného přístupu?

Zásady podmíněného přístupu můžou mít následující výsledky:

  • Úspěch: Zásada byla úspěšně splněna.
  • Selhání: Zásady nebyly splněny.
  • Nepoužito: Podmínky zásad nemusí být splněné.
  • Nepovoleno: Zásady můžou být v zakázaném stavu.

Název zásady v protokolu přihlašování neodpovídá názvu zásady v podmíněném přístupu. Proč?

Název zásady v protokolu přihlašování je založený na názvu zásady podmíněného přístupu v době přihlášení. Název může být nekonzistentní s názvem zásady v podmíněném přístupu, pokud jste po přihlášení aktualizovali název zásady.

Moje přihlášení se zablokovalo kvůli zásadám podmíněného přístupu, ale protokol přihlašování ukazuje, že přihlášení proběhlo úspěšně. Proč?

V současné době protokol přihlašování nemusí zobrazovat přesné výsledky pro protokol Exchange ActiveSync scénáře při použití podmíněného přístupu. V sestavě může dojít k případům, kdy se v sestavě zobrazí úspěšné přihlášení, ale přihlášení ve skutečnosti selhalo kvůli zásadám.

Proč se na kartě Podmíněný přístup v podrobnostech protokolu přihlašování zobrazuje přihlášení nebo Windows Hello pro firmy jako "mimo rozsah" nebo "není použitelné"?

Zásady podmíněného přístupu se nevztahují na přihlášení k Windows ani Windows Hello pro firmy. Zásady podmíněného přístupu chrání pokusy o přihlášení ke cloudovým prostředkům, ne proces přihlášení k Windows.

Rozhraní Microsoft Graph API

V současné době používámhttps://graph.windows.net/<tenant-name> rozhraní API koncových bodů /reports/, aby programově přetáhla sestavy využití aplikací a auditování Microsoft Entra a integrované sestavy využití aplikací do našich systémů generování sestav. Na co mám přepnout?

Vyhledejte referenční informace k rozhraní API a zjistěte, jak můžete rozhraní API použít pro přístup k protokolům aktivit. Tento koncový bod má dvě sestavy (Audit a Přihlášení), které poskytují všechna data, která jste získali ve starém koncovém bodu rozhraní API. Tento nový koncový bod má také sestavu přihlášení s licencí Microsoft Entra ID P1 nebo P2, kterou můžete použít k získání informací o využití aplikací, využití zařízení a přihlašování uživatelů.

V současné době používámhttps://graph.windows.net/<tenant-name> rozhraní API koncového bodu /reports/k získání sestav zabezpečení Microsoft Entra (konkrétní typy detekcí, jako jsou úniky přihlašovacích údajů nebo přihlášení z anonymních IP adres) do našich systémů generování sestav prostřednictvím kódu programu. Na co mám přepnout?

K přístupu k detekci zabezpečení prostřednictvím Microsoft Graphu můžete použít rozhraní API pro detekci rizik identity Protection. Tento nový formát poskytuje větší flexibilitu při dotazování na data. Formát poskytuje rozšířené filtrování, výběr polí a standardizuje detekce rizik do jednoho typu, aby se usnadnila integrace do SIEM a dalších nástrojů pro shromažďování dat. Vzhledem k tomu, že data jsou v jiném formátu, nemůžete nahradit starými dotazy nový dotaz. Nové rozhraní API ale používá Microsoft Graph, což je standard Microsoftu pro taková rozhraní API jako Microsoft 365 nebo Microsoft Entra ID. Proto požadovaná práce může buď rozšířit vaše aktuální investice do Microsoft Graphu, nebo vám pomůže začít s přechodem na tuto novou standardní platformu.

Při spouštění dotazů dochází k chybám oprávnění. Myslela jsem, že mám odpovídající roli.

Možná se budete muset přihlásit k Microsoft Graphu odděleně od Centra pro správu Microsoft Entra. Vyberte ikonu profilu v pravém horním rohu a přihlaste se k pravému adresáři. Možná se pokoušíte spustit dotaz, ke kterému nemáte oprávnění. Vyberte Upravit oprávnění a vyberte tlačítko Souhlas . Postupujte podle pokynů k přihlášení.

Proč existují události MicrosoftGraphActivityLogs, které korelují s přihlášením instančního objektu?

Pokaždé, když se token používá k volání koncového bodu Microsoft Graphu, MicrosoftGraphActivityLogs aktualizuje se tímto voláním. Některá z těchto volání jsou volání jen pro aplikace, která nejsou publikovaná v protokolech přihlašování instančního objektu. MicrosoftGraphActivityLogs Když se zobrazí, uniqueTokenIdentifier že v protokolech přihlašování nemůžete najít, identifikátor tokenu odkazuje na token jen pro aplikaci první strany.

Doporučení

Proč se doporučení, které bylo dokončeno, změnilo zpět na aktivní?

Pokud služba zjistí aktivitu související s tímto doporučením pro něco, co je označené jako dokončené, automaticky se změní zpět na aktivní.