I log di accesso sono uno strumento comunemente usato per risolvere i problemi di accesso degli utenti e analizzare le attività di accesso rischiose. I log di controllo raccolgono ogni evento registrato in Microsoft Entra ID e possono essere usati per analizzare le modifiche apportate all'ambiente. Ci sono più di 30 colonne tra cui scegliere per personalizzare la visualizzazione dei log di accesso nell'interfaccia di amministrazione di Microsoft Entra. Anche i log di controllo e i log di provisioning possono essere personalizzati e filtrati in base alle esigenze.
Questo articolo illustra come personalizzare le colonne e quindi filtrare i log per trovare le informazioni necessarie in modo più efficiente.
Con le informazioni nei log di controllo di Microsoft Entra ID, si può accedere a tutti i record delle attività di sistema per la conformità. È possibile accedere ai log di controllo dalla sezione Monitoraggio e integrità di Microsoft Entra ID, in cui è possibile ordinare e filtrare in base a ogni categoria e attività. È anche possibile accedere ai log di controllo nell'area dell'interfaccia di amministrazione per il servizio che si sta analizzando.
Ad esempio, se si stanno esaminando le modifiche apportate ai gruppi di Microsoft Entra, è possibile accedere ai log di controllo dai gruppi di >Microsoft Entra ID. Quando si accede ai log di controllo dal servizio, il filtro viene modificato automaticamente in base al servizio.
Personalizzare il layout dei log di controllo
È possibile personalizzare le colonne nei log di controllo per visualizzare solo le informazioni necessarie. Le colonne Service, Category e Activity sono correlate tra loro, pertanto queste colonne devono essere sempre visibili.
Filtrare il log di controllo
Quando si filtrano i log in base al servizio, i dettagli Categoria e Attività cambiano automaticamente. In alcuni casi, potrebbe essere presente una sola categoria o un'attività. Per una tabella dettagliata di tutte le possibili combinazioni di questi dettagli, vedere Attività di controllo.
Servizio: l'impostazione predefinita è tutti i servizi disponibili, ma è possibile filtrare l'elenco a uno o più selezionando un'opzione dall'elenco a discesa.
Categoria: l'impostazione predefinita è tutte le categorie, ma può essere filtrata per visualizzare la categoria di attività, come la modifica di un criterio o l'attivazione di un ruolo di Microsoft Entra idoneo.
Attività: si basa sulla categoria e sul tipo di risorsa attività selezionati. È possibile selezionare un'attività specifica da visualizzare o selezionarle tutte.
È possibile ottenere l'elenco di tutte le attività di controllo tramite l'API Graph: https://graph.windows.net/<tenantdomain>/activities/auditActivityTypesV2?api-version=beta
Stato: consente di esaminare i risultati in base al fatto che l'attività abbia esito positivo o negativo.
Destinazione: consente di cercare la destinazione o il destinatario di un'attività. Eseguire la ricerca in base alle prime lettere di un nome o di un nome dell'entità utente (UPN). Il nome e l'UPN di destinazione fanno distinzione tra maiuscole e minuscole.
Avviato da: consente di eseguire ricerche da chi ha avviato l'attività usando le prime lettere del nome o dell'UPN. Il nome e l'UPN fanno distinzione tra maiuscole e minuscole.
Filtro Intervallo di date: permette di definire un intervallo di tempo per i dati restituiti. È possibile eseguire ricerche negli ultimi 7 giorni, 24 ore o in un intervallo personalizzato. Quando si seleziona un intervallo di tempo personalizzato, è possibile configurare un'ora di inizio e un'ora di fine.
Nella pagina dei log di accesso, è possibile cambiare fra quattro tipi di log di accesso.
Accessi utente interattivi: accessi in cui un utente fornisce un fattore di autenticazione, ad esempio una password, una risposta tramite app di autenticazione a più fattori, un fattore biometrico o un codice a matrice.
Accessi utente non interattivi: accessi eseguiti da un client per conto di un utente. Questi tipi di accesso non richiedono alcuna interazione o alcun fattore di autenticazione da parte dell'utente. Ad esempio, autenticazioni e autorizzazioni usando i token di accesso e aggiornamento che non richiedono a un utente di immettere le credenziali.
Accessi all'entità servizio: accessi da parte di app ed entità servizio che non coinvolgono alcun utente. In questi accessi, l'app o il servizio fornisce una credenziale, ad esempio il proprio certificato per autenticare o accedere alle risorse.
Accessi alle identità gestite per le risorse di Azure: accessi da parte delle risorse di Azure con segreti gestiti da Azure. Per altre informazioni, vedere Cosa sono le identità gestite per le risorse di Azure.
Personalizzare il layout dei log di accesso
È possibile personalizzare le colonne per il log di accesso utente interattivo usando più di 30 opzioni di colonna. Per visualizzare in modo più efficace il log di accesso, dedicare alcuni istanti alla personalizzazione della visualizzazione per le proprie esigenze.
- Selezionare Colonne dal menu in alto nel log.
- Selezionare le colonne da visualizzare e selezionare il pulsante Salva nella parte inferiore della finestra.
Filtrare i log di accesso
Filtrare i log di accesso è un modo utile per trovare rapidamente i log che corrispondono a uno scenario specifico. Ad esempio, è possibile filtrare l'elenco in modo da visualizzare solo gli accessi che si sono verificati in una posizione geografica specifica, da un sistema operativo specifico o da un tipo specifico di credenziali.
Alcune opzioni di filtro richiedono la selezione di altre opzioni. Seguire le istruzioni per effettuare la selezione necessaria per il filtro. È possibile aggiungere più filtri.
Selezionare il pulsante Aggiungi filtri, scegliere un'opzione di filtro e selezionare Applica.
Immettere un dettaglio specifico, come un ID richiesta, oppure selezionare un'altra opzione di filtro.
È possibile applicare filtri in base a diversi dettagli. Nella tabella seguente vengono descritti alcuni filtri di uso comune. Non sono descritte tutte le opzioni di filtro.
| Filtro |
Descrizione |
| ID richiesta |
Identificatore univoco per una richiesta di accesso |
| ID correlazione |
Identificatore univoco per tutte le richieste di accesso che fanno parte di un tentativo di accesso singolo |
| Utente |
Il nome dell'entità utente (UPN) dell'utente |
| Applicazione |
Applicazione mirata dalla richiesta di accesso |
| Status |
Le opzioni sono Successo, Errore e Interruzione |
| Conto risorse |
Il nome del servizio usato per l'accesso |
| Indirizzo IP |
L'indirizzo IP del client usato per l'accesso |
| Accesso condizionale |
Le opzioni sono Non applicata, Successo ed Errore |
Ora che la tabella dei log di accesso è formattata in base alle proprie esigenze, è possibile analizzare in modo più efficace i dati. È possibile eseguire ulteriori analisi e conservazione dei dati di accesso esportando i log in altri strumenti.
La personalizzazione delle colonne e la regolazione del filtro consentono di esaminare i log con caratteristiche simili. Per esaminare i dettagli di un accesso, selezionare una riga nella tabella per aprire il pannello Dettagli attività. Sono disponibili diverse schede da esplorare nel pannello. Per altre informazioni, vedere Dettagli dell'attività del log di accesso.
Filtro per l'app client
Quando si esamina la posizione di origine di un accesso, potrebbe essere necessario usare il filtro App client. L'app client ha due sottocategorie: Client di autenticazione moderna e Client di autenticazione legacy. I client con autenticazione moderna hanno altre due sottocategorie: Browser e App per dispositivi mobili e client desktop. Vi sono diverse sottocategorie per i client di autenticazione legacy, definiti nella tabella dei dettagli del client di autenticazione legacy.
Gli accessi Browser includono tutti i tentativi di accesso dai Web browser. Quando si visualizzano i dettagli di un accesso da un browser, nella scheda Informazioni di base si apre App client: Browser.
Nella scheda Informazioni sul dispositivo, il Browser mostra i dettagli del Web browser. Il tipo e la versione del browser sono elencati, ma in alcuni casi il nome del browser e della versione non è disponibile. Si potrebbe vedere un aspetto simile a Rich Client 4.0.0.0.
Dettagli del client di autenticazione legacy
La seguente tabella fornisce i dettagli per ognuna delle opzioni Client di autenticazione legacy.
| Nome |
Descrizione |
| SMTP autenticato |
Usato dai client POP e IMAP per inviare messaggi di posta elettronica. |
| Individuazione automatica |
Usata dai client Outlook e EAS per trovare le cassette postali in Exchange Online e connettersi a esse. |
| Exchange ActiveSync |
Il filtro mostra tutti i tentativi di accesso con il protocollo EAS. |
| Exchange ActiveSync |
Mostra tutti i tentativi di accesso da parte degli utenti di app client che usano Exchange ActiveSync per connettersi a Exchange Online |
| Exchange Online PowerShell |
Usato per connettersi a Exchange Online con PowerShell remoto. Se si blocca l'autenticazione di base per Exchange Online PowerShell, occorre usare il modulo Exchange Online PowerShell per connettersi. Per istruzioni, vedere Connettersi a Exchange Online PowerShell con l'autenticazione a più fattori. |
| Servizi Web Exchange |
Interfaccia di programmazione usata da Outlook, Outlook per Mac e app non-Microsoft. |
| IMAP4 |
Client di posta legacy che usa IMAP per recuperare la posta elettronica. |
| MAPI su HTTP |
Usato da Outlook 2010 e versioni successive. |
| Rubrica offline |
Copia delle raccolte di elenchi di indirizzi scaricate e usate da Outlook. |
| Outlook via Internet (RPC su HTTP) |
Usato da Outlook 2016 e versioni precedenti. |
| Servizio Outlook |
Usato dall'app di posta elettronica e calendario per Windows 10. |
| POP3 |
Client di posta legacy che usa POP3 per recuperare la posta elettronica. |
| Servizi Web per la creazione di report |
Funzionalità usata per recuperare i dati dei report in Exchange Online. |
| Altri client |
Mostra tutti i tentativi di accesso da parte degli utenti con un'app client non inclusa o sconosciuta. |
Per visualizzare in modo più efficace il log di provisioning, dedicare alcuni istanti alla personalizzazione della visualizzazione per le proprie esigenze. È possibile specificare le colonne da includere e filtrare i dati per restringere i risultati.
Personalizza il layout
Il log di provisioning ha una visualizzazione predefinita, ma è possibile personalizzare le colonne.
- Selezionare Colonne dal menu in alto nel log.
- Selezionare le colonne da visualizzare e selezionare il pulsante Salva nella parte inferiore della finestra.
Filtrare i risultati
Quando si filtrano i dati di provisioning, alcuni valori di filtro vengono popolati dinamicamente in base al tenant. Ad esempio, se non sono presenti eventi di "creazione" nel tenant, l'opzione Crea filtro non è disponibile.
Il filtro Identità consente di specificare il nome o l'identità desiderata. Questa identità può essere un utente, un gruppo, un ruolo o un altro oggetto.
È possibile cercare per nome o ID dell'oggetto. L'ID varia in base allo scenario.
- Se si esegue il provisioning di un oggetto da Microsoft Entra ID a Salesforce, l'ID di origine è l'ID oggetto dell'utente in Microsoft Entra ID. L'ID di destinazione è l'ID dell'utente in Salesforce.
- Se si esegue il provisioning da Workday a Microsoft Entra ID, l'ID origine è l'ID dipendente del ruolo di lavoro in Workday. L'ID di destinazione è l'ID dell'utente in Microsoft Entra ID.
- Se si esegue il provisioning degli utenti per la sincronizzazione tra tenant, l'ID di origine è l'ID dell'utente nel tenant di origine. L'ID di destinazione è l'ID dell'utente nel tenant di destinazione.
Nota
Il nome dell'utente potrebbe non essere sempre presente nella colonna Identità. Ci sarà sempre un ID.
Il filtro Date (Data) permette di definire un intervallo di tempo per i dati restituiti. I valori possibili sono:
- Un mese
- Sette giorni
- 30 giorni
- 24 ore
- Intervallo di tempo personalizzato (configurare una data di inizio e una data di fine)
Il filtro Stato consente di selezionare:
- Tutte le date
- Riuscita
- Errore
- Ignorato
Il filtro Azione consente di filtrare queste azioni:
- Creazione
- Update
- Elimina
- Disabilitazione
- Altro
Oltre ai filtri della visualizzazione predefinita, è possibile impostare i seguenti filtri.
ID lavoro: un ID lavoro univoco viene associato a ogni applicazione per cui è stato abilitato il provisioning.
ID ciclo: l'ID del ciclo identifica in modo univoco il ciclo di provisioning. È possibile condividere questo ID con il supporto tecnico del prodotto per cercare il ciclo in cui si è verificato questo evento.
ID di modifica: l'ID di modifica è un identificatore univoco per l'evento di provisioning. È possibile condividere questo ID con il supporto tecnico del prodotto per cercare l'evento di provisioning.
Sistema di origine: è possibile specificare da dove viene effettuato il provisioning dell'identità. Ad esempio, quando si esegue il provisioning di un oggetto da Microsoft Entra ID a ServiceNow, il sistema di origine è Microsoft Entra ID.
Sistema di destinazione: è possibile specificare dove viene effettuato il provisioning dell'identità. Ad esempio, quando si esegue il provisioning di un oggetto da Microsoft Entra ID a ServiceNow, il sistema di destinazione è ServiceNow.
Applicazione: è possibile visualizzare solo i record delle applicazioni con un nome visualizzato o un ID oggetto che contiene una stringa specifica. Per la sincronizzazione tra tenant, usare l'ID oggetto della configurazione e non l'ID applicazione.
