Meer informatie over de aanmeldingslogboekactiviteiten.

Microsoft Entra registreert alle aanmeldingen in een Azure-tenant voor nalevingsdoeleinden. Als IT-beheerder moet u weten wat de waarden in de aanmeldingslogboeken betekenen, zodat u de logboekwaarden correct kunt interpreteren.

• Meer informatie over de aanmeldingslogboeken
• De aanmeldingslogboeken aanpassen en filteren

In dit artikel worden de waarden in de aanmeldingslogboeken uitgelegd. Deze waarden bieden waardevolle informatie voor het oplossen van aanmeldingsfouten.

Onderdelen van aanmeldingsactiviteiten

In Microsoft Entra ID bestaat een aanmeldingsactiviteit uit drie hoofdonderdelen:

• Wie: De identiteit (gebruiker) die de aanmelding uitvoert.
• Hoe: de client (toepassing) die wordt gebruikt voor de toegang.
• Wat: Het doel (resource) dat wordt geopend door de gebruiker.

Richt u op deze drie onderdelen bij het onderzoeken van een aanmelding om uw zoekopdracht te verfijnen, zodat u niet elke details bekijkt. Binnen elk van deze drie onderdelen zijn er gerelateerde id's die meer informatie kunnen bieden. Elke aanmelding bevat ook unieke id's die de aanmeldingspoging aan gekoppelde activiteiten correleren.

Wie

De volgende details zijn gekoppeld aan de gebruiker:

• Gebruiker
• Username
• Gebruikers-id
• Aanmeldings-id
• Gebruikerstype

Hoe

Hoe de gebruiker zich aanmeldt, kan worden geïdentificeerd door de volgende details te bekijken:

• Verificatievereiste
• Clientapplicatie
• Clientauthenticatietype
• Continue toegangsevaluatie

Wat

U kunt de resource identificeren die de gebruiker probeert te openen met behulp van de volgende details:

• Toepassing
• Applicatie-ID
• Bron
• Resource-ID
• Resourcetenant-id
• Id van resourceservice-principal

Unieke identificatoren

Aanmeldingslogboeken bevatten ook verschillende unieke id's die meer inzicht bieden in de aanmeldingspoging.

• Correlatie-id: De correlatie-id groepeert aanmeldingen van dezelfde aanmeldsessie. De waarde is gebaseerd op parameters die door een client worden doorgegeven, zodat Microsoft Entra-id de nauwkeurigheid ervan niet kan garanderen.
• Aanvraag-id: een id die overeenkomt met een uitgegeven token. Als u op zoek bent naar aanmeldingen met een specifiek token, moet u eerst de aanvraag-id uit het token extraheren.
• Unieke token-id: een unieke id voor het token dat tijdens de aanmelding is doorgegeven. Deze id wordt gebruikt om de aanmelding te correleren met de tokenaanvraag.

Details van aanmeldingsactiviteit

Elke aanmeldingspoging bevat details die zijn gekoppeld aan deze drie hoofdonderdelen. De details zijn ingedeeld in verschillende tabbladen, op basis van het type aanmelding.

Basisgegevens

Het tabblad Basisgegevens bevat het grootste deel van de details die zijn gekoppeld aan een aanmeldingspoging. Noteer de unieke id's, omdat deze mogelijk nodig zijn om aanmeldingsproblemen op te lossen. U kunt het wie, hoe, wat patroon volgen met behulp van de details in het tabblad Basisinformatie.

U kunt de Diagnose voor aanmelden ook starten op het tabblad Basisgegevens. Zie voor meer informatie Het gebruik van de diagnose voor aanmelden.

Foutcodes voor aanmelding

Als een aanmelding is mislukt, kunt u meer informatie krijgen over de reden op het tabblad Basisgegevens van het gerelateerde logboekitem. De foutcode en de bijbehorende foutoorzaak worden weergegeven in de details. Zie Aanmeldingsfouten oplossen voor meer informatie.

Locatie en apparaat

Op de tabbladen Locatie en Apparaatgegevens worden algemene informatie weergegeven over de locatie en het IP-adres van de gebruiker. Het tabblad Apparaatgegevens bevat details over de browser en het besturingssysteem die worden gebruikt om u aan te melden. Dit tabblad geeft ook details over de naleving, het beheer en de hybride koppeling van het apparaat met Microsoft Entra.

Verificatiedetails

Het tabblad Verificatiedetails in de details van een aanmeldingslogboek bevat de volgende informatie voor elke verificatiepoging:

• Een lijst met toegepast verificatiebeleid, zoals voorwaardelijke toegang of standaardinstellingen voor beveiliging.
• De reeks verificatiemethoden die worden gebruikt om u aan te melden.
• Als de verificatiepoging is geslaagd en de reden hiervoor.

Met deze informatie kunt u problemen met elke stap in de aanmelding van een gebruiker oplossen. Gebruik deze details om bij te houden:

• Het volume van aanmeldingen dat wordt beveiligd door MFA.
• Gebruiks- en slagingspercentages voor elke verificatiemethode.
• Gebruik van verificatiemethoden zonder wachtwoord, zoals aanmelden zonder wachtwoord en FIDO2.
• Hoe vaak aan de verificatievereisten wordt voldaan door tokenclaims, zoals wanneer gebruikers niet interactief worden gevraagd een wachtwoord in te voeren of een SMS OTP in te voeren.

Voorwaardelijke toegang

Als beleid voor voorwaardelijke toegang in uw tenant wordt gebruikt, kunt u zien of deze beleidsregels zijn toegepast op de aanmeldingspoging. Alle beleidsregels die op de aanmelding kunnen worden toegepast, worden vermeld. Het eindresultaat van het beleid wordt weergegeven, zodat u snel kunt zien of het beleid van invloed is op de aanmeldingspoging.

• Succes: Het beleid voor voorwaardelijke toegang is met succes toegepast op de aanmeldpoging.
• fout: Het beleid voor voorwaardelijke toegang is toegepast op de aanmeldingspoging, maar de aanmeldingspoging is mislukt.
• Niet toegepast: de aanmelding voldoet niet aan de criteria voor het beleid dat moet worden toegepast.
  • Er zijn specifieke scenario's die vanwege hun aard moeten worden uitgesloten van evaluatie van voorwaardelijke toegang om een kringafhankelijkheid (kip-en-eiscenario) te voorkomen die niet kunnen worden voltooid. Deze worden beschouwd als 'bootstrapscenario's' en kunnen aanmeldingen bevatten die zijn gekoppeld aan apparaatregistratie, apparaatcompatibiliteit of Network Policy Server-connectors.
  • Windows Hello voor Bedrijven aanmeldingen worden weergegeven als 'Niet toegepast', omdat het beleid voor voorwaardelijke toegang aanmeldingspogingen naar cloudresources beschermt, niet het Aanmeldingsproces van Windows.
• Uitgeschakeld: het beleid is uitgeschakeld op het moment van de aanmeldingspoging.

Alleen rapporteren

Beleidsregels voor voorwaardelijke toegang kunnen de aanmeldingservaring voor uw gebruikers wijzigen en hun processen mogelijk verstoren. Het is raadzaam om beleidsregels voor voorwaardelijke toegang te configureren in alleen-rapportagemodus voor een bepaalde periode om te garanderen dat uw beleid correct is geconfigureerd. Met de Alleen rapporteren-modus kunt u een beleid configureren en het mogelijke effect ervan evalueren voordat u het beleid inschakelt.

Op dit tabblad van de aanmeldingslogboeken worden de resultaten weergegeven van aanmeldingspogingen die binnen het bereik van het beleid lagen. Zie het artikel Wat is de rapportagemodus voor voorwaardelijke toegang? voor meer informatie.

Aanmeldingsgegevens en overwegingen

De volgende scenario's zijn belangrijk om rekening mee te houden wanneer u aanmeldingslogboeken bekijkt.

• IP-adres en locatie: er is geen definitieve verbinding tussen een IP-adres en waar de computer met dat adres zich fysiek bevindt. Mobiele providers en VPN's verlenen IP-adressen van centrale pools die vaak ver van de locatie zijn waar het client-apparaat wordt gebruikt. Op dit moment is het converteren van een IP-adres naar een fysieke locatie een poging naar beste vermogen op basis van traceringen, registergegevens, reverse lookups en overige informatie.

• Datum en tijd: de datum en tijd van een aanmeldingspoging worden gelokaliseerd in de tijdzone voor de persoon die zich heeft aangemeld bij het Microsoft Entra-beheercentrum, niet de gebruiker die zich heeft aangemeld.

• Voorwaardelijke toegang:

  • Not applied: Er is geen beleid toegepast op de gebruiker en toepassing tijdens het aanmelden. Windows Hello voor Bedrijven wordt weergegeven als 'Niet toegepast' omdat het beleid voor voorwaardelijke toegang aanmeldingspogingen naar cloudresources beveiligt, niet het Aanmeldingsproces van Windows. Andere aanmeldingen worden mogelijk onderbroken, zodat er geen beleid wordt toegepast.
  • Success: een of meer beleidsregels voor voorwaardelijke toegang die zijn toegepast op of zijn geëvalueerd voor de gebruiker en toepassing (maar niet noodzakelijkerwijs de andere voorwaarden) tijdens het aanmelden. Hoewel een Beleidsregel voor Voorwaardelijke Toegang mogelijk niet van toepassing is, indien deze is geëvalueerd, wordt de Voorwaardelijke Toegangsstatus weergegeven als Succes.
  • Failure: De aanmelding voldoet aan de gebruikers- en toepassingsvoorwaarde van ten minste één beveiligingsbeleid voor Conditional Access, en de toegangscontrole-elementen zijn niet voldaan of zijn ingesteld om toegang te blokkeren.
  • Voorwaardelijke toegang is niet van toepassing op Windows-aanmelding, zoals Windows Hello voor Bedrijven. Voorwaardelijke toegang beschermt aanmeldingspogingen naar cloudresources, niet het aanmeldingsproces van het apparaat.

• Evaluatie van continue toegang: Geeft aan of continue toegangsevaluatie (CAE) is toegepast op de aanmeldingsgebeurtenis.

  • Er zijn meerdere aanmeldingsaanvragen voor elke verificatie, die kunnen worden weergegeven op de interactieve of niet-interactieve tabbladen.
  • CAE wordt alleen weergegeven als waar voor een van de aanvragen en kan worden weergegeven op het interactieve tabblad of niet-interactieve tabblad.
  • Zie Aanmeldingen bewaken en problemen oplossen met continue toegangsevaluatie in Microsoft Entra ID voor meer informatie.

• Toegangstype voor meerdere tenants: beschrijft het type toegang tussen tenants dat door de actor wordt gebruikt voor toegang tot de resource. Mogelijke waarden zijn:

  • none - Een aanmeldingsgebeurtenis welke de grenzen van een Microsoft Entra-tenant niet heeft overschreden.
  • b2bCollaboration- Een tenantoverschrijdende aanmelding uitgevoerd door een gastgebruiker door middel van B2B-samenwerking.
  • b2bDirectConnect - Een aanmelding voor meerdere tenants uitgevoerd door een B2B.
  • microsoftSupport- Een aanmelding door een tenant uitgevoerd door een Microsoft-ondersteuningsagent in een externe Microsoft-tenant.
  • serviceProvider - Een aanmelding tussen tenants die wordt uitgevoerd door een Cloud Service Provider (CSP) of een vergelijkbare beheerder namens een klant van die CSP binnen een tenant.
  • unknownFutureValue - Een sentinelwaarde die door MS Graph wordt gebruikt om clients te helpen bij het omgaan met wijzigingen in opsommingslijsten. Zie Best practices voor het werken met Microsoft Graph voor meer informatie.

• Tenant: In het aanmeldingslogboek worden twee tenant-id's bijgehouden die relevant zijn in scenario's voor meerdere tenants:

  • Thuistenant : de tenant die eigenaar is van de gebruikersidentiteit. Microsoft Entra ID houdt de id en naam bij.
  • Resourcetenant : de tenant die eigenaar is van de (doel) resource.
  • Vanwege privacyverplichtingen wordt de naam van de thuistenant door Microsoft Entra ID niet ingevuld tijdens cross-tenant scenario's.
  • Als u wilt zien hoe gebruikers buiten uw tenant toegang hebben tot uw resources, selecteert u alle vermeldingen waarin de thuistenant niet overeenkomt met de resourcetenant.

• Meervoudige verificatie: wanneer een gebruiker zich aanmeldt met MFA, worden er verschillende afzonderlijke MFA-gebeurtenissen uitgevoerd. Als een gebruiker bijvoorbeeld de verkeerde validatiecode invoert of niet tijdig reageert, worden er meer MFA-gebeurtenissen verzonden om de meest recente status van de aanmeldingspoging weer te geven. Deze aanmeldingsgebeurtenissen worden weergegeven als één regelitem in de aanmeldingslogboeken van Microsoft Entra. Dezelfde aanmeldingsgebeurtenis in Azure Monitor wordt echter weergegeven als meerdere regelitems. Deze gebeurtenissen hebben allemaal hetzelfde correlationId.

• Verificatievereiste: toont het hoogste verificatieniveau dat nodig is via alle aanmeldingsstappen om de aanmelding te voltooien.

  • Graph API ondersteunt $filter (eq en startsWith operatoren alleen).

• Typen aanmeldingsgebeurtenissen: geeft de categorie van de aanmelding aan die gebeurtenis vertegenwoordigt.

  • De categorie gebruikersaanmelding kan interactiveUser of nonInteractiveUser zijn en komt overeen met de waarde voor de eigenschap isInteractive in de aanmeldingsresource.
  • De beheerde-identiteitcategorie is managedIdentity.
  • De categorie service-principal is servicePrincipal.
  • De Microsoft Graph-API ondersteunt: $filter (operator eq alleen).
  • Deze waarde wordt niet weergegeven in Azure Portal, maar de aanmeldingsgebeurtenis wordt op het tabblad geplaatst dat overeenkomt met het aanmeldingsgebeurtenistype. Mogelijke waarden zijn:
    • interactiveUser
    • nonInteractiveUser
    • servicePrincipal
    • managedIdentity
    • unknownFutureValue

• Gebruikerstype: voorbeelden zijn onder andere member, guestof external.

• Verificatiedetails:

  • OATH-verificatiecode wordt geregistreerd als de verificatiemethode voor zowel OATH-hardware- als softwaretokens (zoals de Microsoft Authenticator-app).
  • Op het tabblad Verificatiegegevens kunnen in eerste instantie onvolledige of onjuiste gegevens worden weergegeven totdat logboekgegevens volledig zijn samengevoegd. Bekende voorbeelden zijn:
    • Het bericht is aan voldaan door claim in token wordt onjuist weergegeven wanneer aanmeldingsgebeurtenissen in eerste instantie worden geregistreerd.
    • De primaire authenticatierij wordt aanvankelijk niet geregistreerd.
  • Als u niet zeker weet wat er in de logboeken wordt beschreven, verzamelt u de aanvraag-id en correlatie-id die u wilt gebruiken voor verdere analyse of probleemoplossing.
  • Als beleid voor voorwaardelijke toegang voor verificatie of sessielevensduur wordt toegepast, worden deze boven de aanmeldingspogingen vermeld. Als u een van deze opties niet ziet, worden deze beleidsregels momenteel niet toegepast. Zie Sessiebesturingselementen voor voorwaardelijke toegang voor meer informatie.