Condividi tramite

Che cosa sono gli accessi utente interattivi in Microsoft Entra?

  • Articolo

Il monitoraggio e l'integrità di Microsoft Entra forniscono diversi tipi di log di accesso per aiutarti a monitorare lo stato di salute del tenant. Gli accessi utente interattivi sono la visualizzazione predefinita nell'interfaccia di amministrazione di Microsoft Entra.

Che cos'è un accesso utente interattivo?

Gli accessi interattivi vengono eseguiti da un utente. Forniscono un fattore di autenticazione a Microsoft Entra ID. Tale fattore di autenticazione può interagire anche con un'app helper, ad esempio l'app Microsoft Authenticator. Gli utenti possono fornire password, risposte alle sfide di autenticazione a più fattori, fattori biometrici o codici QR a Microsoft Entra ID o a un'applicazione di supporto. Questo log include anche gli accessi federati dai provider di identità federati a Microsoft Entra ID.

Screenshot del log di accesso utente interattivo.

Dettagli del log

Dimensioni del report: piccole
Esempi:

  • Un utente fornisce nome utente e password nella schermata di accesso di Microsoft Entra.
  • Un utente supera una richiesta di autenticazione a più fattori SMS.
  • Un utente fornisce un movimento biometrico per sbloccare il PC Windows con Windows Hello for Business.
  • Un utente è federato a Microsoft Entra ID con un'asserzione SAML di AD FS.

Oltre ai campi predefiniti, viene visualizzato anche il log di accesso interattivo:

  • Luogo di accesso
  • Indica se è stato applicato l'accesso condizionale

Nota

Le voci nel log di accesso sono generate dal sistema e non possono essere modificate o eliminate.

Considerazioni speciali

Accessi non interattivi nei registri degli accessi interattivi

In precedenza, alcuni accessi non interattivi dai client di Microsoft Exchange sono stati inclusi nel log di accesso utente interattivo per una migliore visibilità. Questa maggiore visibilità era necessaria prima che i log di accesso utente non interattivi siano stati introdotti a novembre 2020. Tuttavia, è importante notare che alcuni accessi non interattivi, ad esempio quelli che usano chiavi FIDO2, potrebbero comunque essere contrassegnati come interattivi a causa del modo in cui il sistema è stato configurato prima dell'introduzione dei log non interattivi separati. Questi accessi potrebbero visualizzare dettagli interattivi, ad esempio il tipo di credenziale client e le informazioni del browser, anche se tecnicamente non sono accessi interattivi.

Accessi tramite pass-through

Microsoft Entra ID emette token per l'autenticazione e l'autorizzazione. In alcune situazioni, un utente che ha eseguito l'accesso al tenant Contoso potrebbe provare ad accedere alle risorse nel tenant di Fabrikam, in cui non ha accesso. Un passthrough token, che non richiede autorizzazione, viene emesso per il tenant di Fabrikam. Il token pass-through non consente all'utente di accedere ad alcuna risorsa.

In precedenza, quando si esaminavano i log per questa situazione, i log di accesso per il tenant principale (in questo scenario, Contoso) non mostravano un tentativo di accesso perché il token non concedeva l'accesso a una risorsa con attestazioni. Il token di accesso è stato usato solo per visualizzare il messaggio di errore appropriato.

I tentativi di accesso passthrough vengono ora visualizzati nei log di accesso del tenant home e nei log di accesso alle restrizioni del tenant pertinenti. Questo aggiornamento offre maggiore visibilità sui tentativi di accesso degli utenti e informazioni più approfondite sui criteri di restrizione del tenant.

La proprietà crossTenantAccessType mostra ora passthrough per distinguere gli accessi pass-through ed è disponibile nell'interfaccia di amministrazione di Microsoft Entra e In Microsoft Graph.

Accessi principali del servizio di prima parte, solo per app

I log di accesso dell'entità servizio non includono attività di accesso solo app di prima parte. Questo tipo di attività si verifica quando le app proprietarie ottengono token per un processo Microsoft interno senza direzione o contesto da parte di un utente. Escludiamo questi log in modo da non farvi pagare quelli relativi ai token Microsoft interni al vostro tenant.

È possibile identificare gli eventi di Microsoft Graph che non sono correlati all'accesso di un'entità servizio se si esegue il routing MicrosoftGraphActivityLogs con SignInLogs alla stessa area di lavoro Log Analytics. Questa integrazione consente di fare riferimento incrociato al token emesso per la chiamata all'API Microsoft Graph con l'attività di accesso. Il UniqueTokenIdentifier per i log di accesso e il SignInActivityId nei log attività di Microsoft Graph non sono presenti nei log di accesso dell'entità servizio.

Accesso condizionale

Gli accessi che mostrano Non applicato per Accesso Condizionale possono essere difficili da interpretare. Se l'accesso viene interrotto, l'accesso viene visualizzato nei log ma viene visualizzato Non applicato per l'accesso condizionale. Un altro scenario comune consiste nell'accedere a Windows Hello for Business. Questo accesso non ha l'accesso condizionale applicato perché l'utente accede al dispositivo, non alle risorse cloud protette dall'accesso condizionale.

Campo TimeGenerated

Se si integrano i log di accesso con i log di Monitoraggio di Azure e Log Analytics, è possibile notare che il campo TimeGenerated nei log non corrisponde all'ora in cui si è verificato l'accesso. Questa discrepanza è dovuta al modo in cui i log vengono inseriti in Monitoraggio di Azure. Il campo TimeGenerated è l'ora in cui la voce è stata ricevuta e pubblicata da Log Analytics, non l'ora in cui si è verificato l'accesso. Il campo CreatedDateTime nei log mostra l'ora in cui si è verificato l'accesso.

Analogamente, gli eventi di accesso rischiosi visualizzano anche TimeGenerated come ora in cui è stato rilevato l'evento rischioso, non quando si è verificato l'accesso. Per trovare l'ora di accesso effettiva, è possibile usare il CorrelationId per trovare l'evento di accesso nei log e individuare l'ora di accesso.