Dowiedz się więcej o szczegółach aktywności dziennika logowania
Firma Microsoft Entra rejestruje wszystkie logowania do dzierżawy platformy Azure na potrzeby zgodności. Jako administrator IT musisz wiedzieć, jakie wartości w dziennikach logowania oznaczają, aby można było poprawnie interpretować wartości dziennika.
W tym artykule wyjaśniono wartości na karcie Informacje podstawowe dziennika logowania.
Karta Informacje podstawowe zawiera większość szczegółów, które są również wyświetlane w tabeli. Diagnostykę logowania można uruchomić na karcie Informacje podstawowe. Aby uzyskać więcej informacji, zobacz Jak używać diagnostyki logowania.
Kody błędów logowania
Jeśli logowanie nie powiodło się, możesz uzyskać więcej informacji na temat przyczyny na karcie Podstawowe informacje powiązanego elementu dziennika. Kod błędu i skojarzona przyczyna błędu są wyświetlane w szczegółach. Aby uzyskać więcej informacji, zobacz Jak rozwiązywać problemy z błędami logowania.
Unikatowe identyfikatory
W usłudze Microsoft Entra ID dostęp do zasobu ma trzy istotne składniki:
- KtoTo: Tożsamość (użytkownik) wykonuje logowanie.
- Instrukcje: klient (aplikacja) używany do uzyskiwania dostępu.
- Co: element docelowy (zasób) uzyskiwany przez tożsamość.
Każdy składnik ma skojarzony unikatowy identyfikator (ID).:
Wymaganie dotyczące uwierzytelniania: pokazuje najwyższy poziom uwierzytelniania wymagany przez wszystkie kroki logowania, aby logowanie zakończyło się pomyślnie.
- Interfejs API programu Graph obsługuje (
$filter
eq
istartsWith
tylko operatory).
- Interfejs API programu Graph obsługuje (
Ocena dostępu warunkowego: pokazuje, czy ocena dostępu ciągłego (CAE) została zastosowana do zdarzenia logowania.
- Istnieje wiele żądań logowania dla każdego uwierzytelniania, które mogą być wyświetlane na interaktywnych lub nieinterakcyjnych kartach.
- Funkcja CAE jest wyświetlana tylko jako prawda dla jednego z żądań i może być wyświetlana na karcie interakcyjnej lub na karcie nieinterakcyjnej.
- Aby uzyskać więcej informacji, zobacz Monitorowanie i rozwiązywanie problemów z logowaniem przy użyciu ciągłej oceny dostępu w usłudze Microsoft Entra ID.
Identyfikator korelacji: identyfikator korelacji grupuje logowania z tej samej sesji logowania. Wartość jest oparta na parametrach przekazywanych przez klienta, więc może microsoft Entra ID nie może zagwarantować jego dokładności.
Typ dostępu między dzierżawami: opisuje typ dostępu między dzierżawami używany przez aktora do uzyskiwania dostępu do zasobu. Dopuszczalne wartości:
none
— Zdarzenie logowania, które nie przekroczyło granic dzierżawy firmy Microsoft Entra.b2bCollaboration
— Logowanie między dzierżawami wykonywane przez użytkownika-gościa przy użyciu funkcji współpracy B2B.b2bDirectConnect
— Logowanie między dzierżawami wykonywane przez B2B.microsoftSupport
— Logowanie między dzierżawami wykonywane przez agenta pomocy technicznej firmy Microsoft w dzierżawie klienta firmy Microsoft.serviceProvider
— Logowanie między dzierżawami wykonywane przez dostawcę usług w chmurze (CSP) lub podobnego administratora w imieniu klienta tego dostawcy usług w chmurze w dzierżawieunknownFutureValue
— Wartość sentinel używana przez program MS Graph do obsługi zmian na listach wyliczenia przez klientów. Aby uzyskać więcej informacji, zobacz Najlepsze rozwiązania dotyczące pracy z programem Microsoft Graph.- Jeśli logowanie nie zostało przekazane granice dzierżawy, wartość to
none
.
Identyfikator żądania: identyfikator odpowiadający wystawionemu tokenowi. Jeśli szukasz logów przy użyciu określonego tokenu, najpierw musisz wyodrębnić identyfikator żądania z tokenu.
Logowanie: ciąg, który użytkownik udostępnia identyfikatorowi entra firmy Microsoft, aby zidentyfikować się podczas próby zalogowania się. Zazwyczaj jest to główna nazwa użytkownika (UPN), ale może być innym identyfikatorem, takim jak numer telefonu.
Typy zdarzeń logowania: wskazuje kategorię zdarzenia logowania reprezentuje.
- Kategoria logowania użytkownika może być
interactiveUser
lubnonInteractiveUser
odpowiada wartości właściwości isInteractive w zasobie logowania. - Kategoria tożsamości zarządzanej to
managedIdentity
. - Kategoria jednostki usługi to servicePrincipal.
- Witryna Azure Portal nie wyświetla tej wartości, ale zdarzenie logowania znajduje się na karcie zgodnej z typem zdarzenia logowania. Możliwe wartości to:
interactiveUser
nonInteractiveUser
servicePrincipal
managedIdentity
unknownFutureValue
- Interfejs API programu Microsoft Graph obsługuje:
$filter
(eq
tylko operator).
- Kategoria logowania użytkownika może być
Dzierżawa: dziennik logowania śledzi dwa identyfikatory dzierżawy:
- Dzierżawa domowa — dzierżawa , która jest właścicielem tożsamości użytkownika. Identyfikator Entra firmy Microsoft śledzi identyfikator i nazwę.
- Dzierżawa zasobów — dzierżawa , która jest właścicielem zasobu (docelowego).
- Te identyfikatory są istotne w scenariuszach obejmujących wiele dzierżaw.
- Aby na przykład dowiedzieć się, jak użytkownicy spoza dzierżawy uzyskują dostęp do zasobów, wybierz wszystkie wpisy, w których dzierżawa domowa nie jest zgodna z dzierżawą zasobów.
Typ użytkownika: typ użytkownika.
- Przykłady obejmują
member
,guest
lubexternal
.
- Przykłady obejmują
Zagadnienia dotyczące dzienników logowania
Poniższe scenariusze są ważne, aby wziąć pod uwagę podczas przeglądania dzienników logowania.
Adres IP i lokalizacja: nie ma ostatecznego połączenia między adresem IP i miejscem, w którym komputer z tym adresem jest fizycznie zlokalizowany. Dostawcy urządzeń przenośnych i sieci VPN wystawiają adresy IP z pul centralnych, które są często dalekie od tego, gdzie urządzenie klienckie jest rzeczywiście używane. Obecnie konwertowanie adresu IP na lokalizację fizyczną odbywa się na zasadzie największej staranności w oparciu o ślady, dane rejestru, wyszukiwanie wsteczne i inne informacje.
Dostęp warunkowy:
- Nie zastosowano: żadne zasady nie są stosowane do użytkownika i aplikacji podczas logowania.
- Powodzenie: co najmniej jedna zasada dostępu warunkowego zastosowana do lub została obliczona dla użytkownika i aplikacji (ale niekoniecznie innych warunków) podczas logowania. Mimo że zasady dostępu warunkowego mogą nie mieć zastosowania, jeśli zostały ocenione, stan dostępu warunkowego wskazuje powodzenie.
- Niepowodzenie: Logowanie spełnia warunek użytkownika i aplikacji co najmniej jednego zasad dostępu warunkowego i kontrole udzielania nie są spełnione lub ustawione w celu zablokowania dostępu.
Nazwa dzierżawy głównej: ze względu na zobowiązania dotyczące prywatności identyfikator Entra firmy Microsoft nie wypełnia pola nazwy dzierżawy głównej podczas scenariuszy między dzierżawami.
Uwierzytelnianie wieloskładnikowe: gdy użytkownik loguje się przy użyciu uwierzytelniania wieloskładnikowego, w rzeczywistości odbywa się kilka oddzielnych zdarzeń uwierzytelniania wieloskładnikowego. Jeśli na przykład użytkownik wprowadzi nieprawidłowy kod weryfikacji lub nie odpowie na czas, wysyłane są dodatkowe zdarzenia uwierzytelniania wieloskładnikowego, aby odzwierciedlić najnowszy stan próby logowania. Te zdarzenia logowania są wyświetlane jako jeden element wiersza w dziennikach logowania firmy Microsoft Entra. To samo zdarzenie logowania w usłudze Azure Monitor jest jednak wyświetlane jako wiele elementów wiersza. Wszystkie te zdarzenia mają ten sam
correlationId
element .