Delen via

Wat zijn interactieve gebruikersaanmelding in Microsoft Entra?

  • Artikel

Microsoft Entra-bewaking en -status biedt verschillende soorten aanmeldingslogboeken waarmee u de status van uw tenant kunt bewaken. De interactieve gebruikersaanmelding is de standaardweergave in het Microsoft Entra-beheercentrum.

Wat is een interactieve gebruikersaanmelding?

Interactieve aanmeldingen worden uitgevoerd door een gebruiker. Ze bieden een verificatiefactor voor Microsoft Entra-id. Deze verificatiefactor kan ook communiceren met een helper-app, zoals de Microsoft Authenticator-app. Gebruikers kunnen wachtwoorden, reacties op MFA-uitdagingen, biometrische factoren of QR-codes opgeven voor Microsoft Entra-id of een helper-app. Dit logboek bevat ook federatieve aanmeldingen van id-providers die zijn gefedereerd aan Microsoft Entra-id.

Schermopname van het interactieve aanmeldingslogboek van de gebruiker.

Logboekgegevens

Rapportgrootte: kleine
voorbeelden:

  • Een gebruiker geeft gebruikersnaam en wachtwoord op in het aanmeldingsscherm van Microsoft Entra.
  • Een gebruiker geeft een SMS MFA-uitdaging door.
  • Een gebruiker biedt een biometrisch gebaar voor het ontgrendelen van hun Windows-pc met Windows Hello voor Bedrijven.
  • Een gebruiker is gefedereerd naar Microsoft Entra ID met een AD FS SAML-assertie.

Naast de standaardvelden wordt in het interactieve aanmeldingslogboek ook het volgende weergegeven:

  • De aanmeldingslocatie
  • Of voorwaardelijke toegang is toegepast

Notitie

Vermeldingen in de aanmeldingslogboeken worden door het systeem gegenereerd en kunnen niet worden gewijzigd of verwijderd.

Speciale overwegingen

Niet-interactieve aanmeldingen in de interactieve aanmeldingslogboeken

Voorheen werden sommige niet-interactieve aanmeldingen van Microsoft Exchange-clients opgenomen in het interactieve aanmeldingslogboek van gebruikers voor betere zichtbaarheid. Deze verbeterde zichtbaarheid was nodig voordat de niet-interactieve gebruikersaanmeldingslogboeken in november 2020 werden geïntroduceerd. Het is echter belangrijk te weten dat sommige niet-interactieve aanmeldingen, zoals die met FIDO2-sleutels, nog steeds als interactief kunnen worden gemarkeerd vanwege de manier waarop het systeem is ingesteld voordat de afzonderlijke niet-interactieve logboeken werden geïntroduceerd. Deze aanmeldingen kunnen interactieve gegevens weergeven, zoals het type clientreferentie en browsergegevens, ook al zijn ze technisch niet-interactieve aanmeldingen.

Passthrough-aanmeldingen

Microsoft Entra ID geeft tokens voor verificatie en autorisatie uit. In sommige gevallen kan een gebruiker die is aangemeld bij de Contoso-tenant toegang proberen te krijgen tot resources in de Fabrikam-tenant, waar ze geen toegang hebben. Een token zonder autorisatie dat een passthrough-token wordt genoemd, wordt uitgegeven aan de Fabrikam-tenant. Met het passthrough-token heeft de gebruiker geen toegang tot resources.

Bij het controleren van de logboeken voor deze situatie hebben de aanmeldingslogboeken voor de basistenant (in dit scenario Contoso) geen aanmeldingspoging weergegeven omdat het token geen toegang verleent tot een resource met claims. Het aanmeldingstoken is alleen gebruikt om het juiste foutbericht weer te geven.

Passthrough-aanmeldingspogingen worden nu weergegeven in de aanmeldingslogboeken van de thuistenant en eventuele relevante aanmeldingslogboeken voor tenantbeperkingen. Deze update biedt meer inzicht in aanmeldingspogingen van gebruikers van uw gebruikers en meer inzicht in uw tenantrestrictiebeleid.

De crossTenantAccessType eigenschap wordt nu weergegeven passthrough om onderscheid te maken tussen passthrough-aanmeldingen en is beschikbaar in het Microsoft Entra-beheercentrum en Microsoft Graph.

Aanmeldingen van de service-principal van de eerste partij

De aanmeldingslogboeken van de service-principal bevatten geen eigen aanmeldingsactiviteit voor apps. Dit type activiteit treedt op wanneer apps van de eerste partij tokens krijgen voor een interne Microsoft-taak waarbij er geen richting of context van een gebruiker is. Deze logboeken worden uitgesloten, zodat u niet betaalt voor logboeken met betrekking tot interne Microsoft-tokens binnen uw tenant.

Mogelijk identificeert u Microsoft Graph-gebeurtenissen die niet correleren met een aanmelding van een service-principal als u doorsturen MicrosoftGraphActivityLogsSignInLogs naar dezelfde Log Analytics-werkruimte. Met deze integratie kunt u kruislings verwijzen naar het token dat is uitgegeven voor de Microsoft Graph API-aanroep met de aanmeldingsactiviteit. De UniqueTokenIdentifier aanmeldingslogboeken en de activiteitenlogboeken SignInActivityId van Microsoft Graph ontbreken in de aanmeldingslogboeken van de service-principal.

Voorwaardelijke toegang

Aanmeldingen die niet zijn toegepast op voorwaardelijke toegang, kunnen moeilijk te interpreteren zijn. Als de aanmelding wordt onderbroken, wordt de aanmelding weergegeven in de logboeken, maar wordt niet toegepast op voorwaardelijke toegang weergegeven. Een ander veelvoorkomend scenario is aanmelden bij Windows Hello voor Bedrijven. Voor deze aanmelding is geen voorwaardelijke toegang toegepast omdat de gebruiker zich aanmeldt bij het apparaat, niet naar cloudresources die worden beveiligd door voorwaardelijke toegang.

TimeGenerated-veld

Als u uw aanmeldingslogboeken integreert met Azure Monitor-logboeken en Log Analytics, ziet u mogelijk dat het TimeGenerated veld in de logboeken niet overeenkomt met het tijdstip waarop de aanmelding is opgetreden. Deze discrepantie komt door de manier waarop de logboeken worden opgenomen in Azure Monitor. Het TimeGenerated veld is het tijdstip waarop de vermelding is ontvangen en gepubliceerd door Log Analytics, niet het tijdstip waarop de aanmelding heeft plaatsgevonden. In het CreatedDateTime veld in de logboeken ziet u het tijdstip waarop de aanmelding heeft plaatsgevonden.

Op dezelfde manier worden riskante aanmeldingsgebeurtenissen ook TimeGenerated weergegeven als het tijdstip waarop de riskante gebeurtenis is gedetecteerd, niet wanneer de aanmelding heeft plaatsgevonden. Als u de werkelijke aanmeldingstijd wilt vinden, kunt u de CorrelationId gebruiken om de aanmeldingsgebeurtenis in de logboeken te vinden en de aanmeldingstijd te vinden.