Udostępnij za pośrednictwem

Co to są interaktywne logowania użytkowników w usłudze Microsoft Entra?

  • Artykuł

Monitorowanie i kondycja firmy Microsoft Entra udostępnia kilka typów dzienników logowania, które ułatwiają monitorowanie kondycji dzierżawy. Logowania interakcyjne użytkownika są domyślnym widokiem w centrum administracyjnym firmy Microsoft Entra.

Co to jest logowanie interakcyjne użytkownika?

Logowania interakcyjne są wykonywane przez użytkownika. Zapewniają one współczynnik uwierzytelniania identyfikatorowi Entra firmy Microsoft. Ten czynnik uwierzytelniania może również współdziałać z aplikacją pomocnika, taką jak aplikacja Microsoft Authenticator. Użytkownicy mogą udostępniać hasła, odpowiedzi na wyzwania uwierzytelniania wieloskładnikowego, czynniki biometryczne lub kody QR do identyfikatora Entra firmy Microsoft lub aplikacji pomocniczej. Ten dziennik zawiera również federacyjne logowania od dostawców tożsamości, którzy są federacyjni do identyfikatora Entra firmy Microsoft.

Zrzut ekranu przedstawiający dziennik logowania interakcyjnego użytkownika.

Szczegóły dziennika

Rozmiar raportu: małe
przykłady:

  • Użytkownik udostępnia nazwę użytkownika i hasło na ekranie logowania firmy Microsoft Entra.
  • Użytkownik przechodzi wyzwanie uwierzytelniania wieloskładnikowego wiadomości SMS.
  • Użytkownik udostępnia gest biometryczny umożliwiający odblokowanie komputera z systemem Windows przy użyciu Windows Hello dla firm.
  • Użytkownik jest federacyjny z identyfikatorem Entra firmy Microsoft z asercją SAML usług AD FS.

Oprócz pól domyślnych dziennik logowania interakcyjnego zawiera również następujące informacje:

  • Lokalizacja logowania
  • Czy zastosowano dostęp warunkowy

Uwaga

Wpisy w dziennikach logowania są generowane przez system i nie można ich zmienić ani usunąć.

Specjalne uwagi

Logowania nieinterakcyjne w dziennikach logowania interakcyjnego

Wcześniej niektóre logowania nieinterakcyjne z klientów programu Microsoft Exchange zostały uwzględnione w dzienniku logowania interakcyjnego użytkownika w celu uzyskania lepszej widoczności. Ta zwiększona widoczność była konieczna przed wprowadzeniem dzienników logowania użytkownika nieinterakcyjnego w listopadzie 2020 r. Należy jednak pamiętać, że niektóre logowania nieinterakcyjne, takie jak te korzystające z kluczy FIDO2, mogą być nadal oznaczone jako interaktywne ze względu na sposób konfiguracji systemu przed wprowadzeniem oddzielnych dzienników nieinterakcyjnych. Te logowania mogą wyświetlać interaktywne szczegóły, takie jak typ poświadczeń klienta i informacje o przeglądarce, mimo że są technicznie nieinterakcyjne logowania.

Logowania przekazywane

Identyfikator entra firmy Microsoft wystawia tokeny na potrzeby uwierzytelniania i autoryzacji. W niektórych sytuacjach użytkownik, który jest zalogowany do dzierżawy firmy Contoso, może spróbować uzyskać dostęp do zasobów w dzierżawie firmy Fabrikam, gdzie nie ma dostępu. Token bez autoryzacji nazywany tokenem przekazywania jest wystawiany dzierżawie firmy Fabrikam. Token przekazywania nie zezwala użytkownikowi na dostęp do żadnych zasobów.

Wcześniej podczas przeglądania dzienników w tej sytuacji dzienniki logowania dla dzierżawy głównej (w tym scenariuszu contoso) nie wykazały próby logowania, ponieważ token nie udzielał dostępu do zasobu z żadnymi oświadczeniami. Token logowania był używany tylko do wyświetlania odpowiedniego komunikatu o błędzie.

Próby logowania przekazywanego są teraz wyświetlane w dziennikach logowania dzierżawy głównej i wszelkich odpowiednich dziennikach logowania ograniczeń dzierżawy. Ta aktualizacja zapewnia lepszy wgląd w próby logowania użytkowników od użytkowników i dokładniejsze szczegółowe informacje na temat zasad ograniczeń dzierżawy.

Właściwość crossTenantAccessType pokazuje passthrough teraz, aby odróżnić logowania przekazywane i jest dostępna w centrum administracyjnym firmy Microsoft Entra i programie Microsoft Graph.

Logowania jednostki usługi tylko dla aplikacji

Dzienniki logowania jednostki usługi nie obejmują działań logowania tylko do aplikacji. Ten typ działania występuje, gdy aplikacje innych firm uzyskują tokeny dla wewnętrznego zadania firmy Microsoft, w którym nie ma żadnego kierunku ani kontekstu od użytkownika. Wykluczamy te dzienniki, więc nie płacisz za dzienniki związane z wewnętrznymi tokenami firmy Microsoft w dzierżawie.

W przypadku routingu MicrosoftGraphActivityLogs do tego samego obszaru roboczego usługi Log Analytics możesz zidentyfikować zdarzenia programu Microsoft Graph, które nie są skorelowane z SignInLogs logowaniem jednostki usługi. Ta integracja umożliwia krzyżowe odwołanie do tokenu wystawionego dla wywołania interfejsu API programu Microsoft Graph przy użyciu działania logowania. Dzienniki UniqueTokenIdentifier logowania i SignInActivityId dzienniki aktywności programu Microsoft Graph nie będą dostępne w dziennikach logowania jednostki usługi.

Dostęp warunkowy

Logowania, które pokazują , że opcja Nie zastosowana do dostępu warunkowego może być trudna do zinterpretowania. Jeśli logowanie zostanie przerwane, logowanie zostanie wyświetlone w dziennikach, ale zostanie wyświetlone pole Nie zastosowano do dostępu warunkowego. Innym typowym scenariuszem jest zalogowanie się do Windows Hello dla firm. To logowanie nie ma zastosowanego dostępu warunkowego, ponieważ użytkownik loguje się do urządzenia, a nie do zasobów w chmurze chronionych przez dostęp warunkowy.