Często zadawane pytania dotyczące monitorowania i kondycji firmy Microsoft

Zobacz Licencjonowanie identyfikatora Entra firmy Microsoft, aby uaktualnić wersję firmy Microsoft Entra.

Jeśli masz już dane dziennika aktywności z bezpłatną licencją, możesz je natychmiast zobaczyć. Jeśli nie masz żadnych danych, wyświetlenie danych w raportach może potrwać do trzech dni.

Jeśli ostatnio przełączono się na wersję Premium (w tym wersję próbną), dane będą początkowo widoczne do siedmiu dni. Dopiero kiedy usługa zgromadzi więcej danych, będzie można zobaczyć dane z ostatnich 30 dni.

najmniej uprzywilejowaną rolą do wyświetlania dzienników inspekcji i logowania jest Raporty Czytelnik. Inne role to Czytelnik zabezpieczeń i Administrator zabezpieczeń.

Logowanie, inspekcja, aprowizowanie, ochrona identyfikatorów, dostęp do sieci i wiele innych dzienników można zintegrować z usługą Azure Monitor oraz innymi narzędziami do monitorowania i zgłaszania alertów. Zdarzenia inspekcji związane z usługą B2C nie są obecnie uwzględniane. Aby uzyskać pełną listę dzienników usługi Microsoft Entra, które można zintegrować z innymi punktami końcowymi, zobacz Opcje dziennika przesyłania strumieniowego do punktów końcowych.

Dzienniki aktywności platformy Microsoft 365 i firmy Microsoft Entra współdzielą wiele zasobów katalogu. Jeśli chcesz wyświetlić pełny widok dzienników aktywności platformy Microsoft 365, przejdź do Centrum administracyjne platformy Microsoft 365, aby uzyskać informacje o dzienniku aktywności usługi Office 365. Interfejsy API platformy Microsoft 365 zostały opisane w artykule Interfejsy API zarządzania platformy Microsoft 365.

Kilka czynników określa liczbę dzienników, które można pobrać z centrum administracyjnego firmy Microsoft Entra, takie jak rozmiar pamięci przeglądarki, szybkość sieci i obciążenia interfejsów API raportowania firmy Microsoft Entra. Ogólnie rzecz biorąc, zestawy danych mniejsze niż 250 000 dla dzienników inspekcji i 100 000 dzienników logowania i aprowizacji działają dobrze z funkcją pobierania przeglądarki. W zależności od liczby uwzględnionych pól ta liczba może się różnić. Jeśli napotkasz problemy z kończeniem dużych pobrań w przeglądarce, użyj interfejsu API raportowania, aby pobrać dane lub wysłać dzienniki do punktu końcowego za pomocą ustawień diagnostycznych.

Aktywne filtry w centrum administracyjnym firmy Microsoft Entra po rozpoczęciu pobierania określają konkretny zestaw dzienników, które można pobrać. Na przykład filtrowanie do określonego użytkownika w centrum administracyjnym firmy Microsoft Entra oznacza, że pobieranie pobiera dzienniki dla tego konkretnego użytkownika. Kolumny w pobranych dziennikach nie ulegają zmianie. Dane wyjściowe zawierają wszystkie szczegóły dziennika inspekcji lub logowania, niezależnie od kolumn dostosowanych w centrum administracyjnym firmy Microsoft Entra.

W zależności od licencji usługa Microsoft Entra ID przechowuje dzienniki aktywności z zakresu od 7 do 30 dni. Aby uzyskać więcej informacji, zobacz Zasady przechowywania raportów firmy Microsoft Entra.

Obecnie w dziennikach inspekcji nie ma określonego działania w przypadku zakupów licencji ani włączania. Można jednak skorelować działanie "Dołączanie zasobu do usługi PIM" z kategorii "Zarządzanie zasobami" do zakupu lub włączenia licencji. To działanie może nie zawsze być dostępne lub podać dokładne szczegóły.

Zasób signInActivity służy do znajdowania nieaktywnych użytkowników, którzy nie zalogowali się przez jakiś czas. Nie jest ona aktualizowana niemal w czasie rzeczywistym. Jeśli chcesz szybko znaleźć ostatnią aktywność logowania użytkownika, możesz użyć dzienników logowania firmy Microsoft Entra, aby wyświetlić aktywność logowania niemal w czasie rzeczywistym dla wszystkich użytkowników.

Plik CSV zawiera dzienniki logowania dla wybranego typu logowań. Dane reprezentowane jako tablica zagnieżdżona w interfejsie API programu Microsoft Graph dla dzienników logowania nie są uwzględniane. Na przykład zasady dostępu warunkowego i informacje tylko do raportu nie są uwzględniane. Jeśli musisz wyeksportować wszystkie informacje zawarte w dziennikach logowania, użyj funkcji Eksportuj ustawienia danych.

Należy również pamiętać, że kolumny zawarte w pobranych dziennikach nie ulegają zmianie, nawet jeśli kolumny zostały dostosowane w centrum administracyjnym firmy Microsoft Entra.

Identyfikator Entra firmy Microsoft może redact część dziennika logowania w celu ochrony prywatności użytkowników w następujących scenariuszach:

• Podczas logowania między dzierżawami, na przykład gdy technik CSP loguje się do dzierżawy zarządzanej przez dostawcę CSP.
• Gdy nasza usługa nie była w stanie określić tożsamości użytkownika z wystarczającą pewnością, aby upewnić się, że użytkownik należy do dzierżawy wyświetlających dzienniki.
• Identyfikator entra firmy Microsoft redacts Personally Identifiable Information (PII) generowane przez urządzenia, które nie należą do Twojej dzierżawy w celu zapewnienia danych klientów. Dane osobowe nie wykraczają poza granice dzierżawy bez zgody użytkownika i właściciela danych.

Istnieje kilka powodów, dla których wpisy logowania mogą być zduplikowane w dziennikach.

• Jeśli podczas logowania zostanie zidentyfikowane ryzyko, kolejne niemal identyczne zdarzenie zostanie opublikowane natychmiast po włączeniu ryzyka.
• Jeśli odbierane są zdarzenia uwierzytelniania wieloskładnikowego związane z logowaniem, wszystkie powiązane zdarzenia są agregowane do oryginalnego logowania.
• Jeśli publikowanie przez partnera dla zdarzenia logowania nie powiedzie się, takie jak publikowanie w usłudze Kusto, cała partia zdarzeń zostanie ponowiona i opublikowana ponownie, co może spowodować zduplikowanie.
• Zdarzenia logowania obejmujące wiele zasad dostępu warunkowego mogą być podzielone na wiele zdarzeń, co może spowodować co najmniej dwa zdarzenia na zdarzenie logowania.

Pole TimeGenerated w usłudze Log Analytics to czas odebrania i opublikowania wpisu przez usługę Log Analytics. Pamiętaj, że aby dzienniki pojawiły się w usłudze Log Analytics, należy skonfigurować ustawienia diagnostyczne w celu wysyłania dzienników do obszaru roboczego usługi Log Analytics. Ten proces zajmuje trochę czasu, więc pole TimeGenerated może nie być zgodne z rzeczywistym czasem logowania.

Aby potwierdzić, że data i godzina są zgodne z logowaniem, poszukaj CreatedDateTime pola nieco dalej w wynikach usługi Log Analytics. Pola AuthenticationDetails można również rozwinąć, aby zobaczyć dokładny czas logowania. Czas w usłudze Log Analytics jest wyświetlany w formacie UTC, ale czas w dziennikach logowania w centrum administracyjnym firmy Microsoft Entra jest wyświetlany w czasie lokalnym, więc może być konieczne dostosowanie.

Ryzykowne zdarzenia logowania mają również inny czas TimeGenerated niż rzeczywisty czas logowania. Czas Generowania czasu ryzykownych logów to czas wykrycia ryzyka, a nie czas logowania. Sprawdź ryzykowne zdarzenie logowania dla czasu działania, czyli rzeczywisty czas logowania.

Logowania nieinterakcyjne mogą wyzwalać dużą liczbę zdarzeń co godzinę, więc są grupowane razem w dziennikach.

W wielu przypadkach logowania nieinterakcyjne mają te same cechy, z wyjątkiem daty i godziny logowania. Jeśli agregacja czasu jest ustawiona na 24 godziny, dzienniki będą wyświetlane w tym samym czasie. Każdy z tych zgrupowanych wierszy można rozwinąć, aby wyświetlić dokładny znacznik czasu.

Istnieje kilka powodów, dla których wpisy logowania mogą wyświetlać identyfikatory użytkowników, identyfikatory obiektów lub identyfikatory GUID w polu nazwy użytkownika.

• W przypadku uwierzytelniania bez hasła identyfikatory użytkowników są wyświetlane jako nazwa użytkownika. Aby potwierdzić ten scenariusz, zapoznaj się ze szczegółami zdarzenia logowania. W polu authenticationDetail jest wyświetlany komunikat bez hasła.
• Użytkownik został uwierzytelniony, ale jeszcze nie zalogował się. Aby potwierdzić, istnieje kod błędu 50058 , który jest skorelowany z przerwaniami.
• Jeśli w polu nazwy użytkownika jest wyświetlana wartość 000000-0000-0000-0000 lub podobna, mogą istnieć ograniczenia dzierżawy, co uniemożliwia użytkownikowi zalogowanie się do wybranej dzierżawy.
• Próby logowania do uwierzytelniania wieloskładnikowego są agregowane przy użyciu wielu wpisów danych, co może trwać dłużej. Zagregowanie danych może potrwać do dwóch godzin, ale rzadko trwa to długo.

Nie. Ogólnie rzecz biorąc, błędy 90025 są rozwiązywane przez automatyczne ponawianie bez zauważenia błędu przez użytkownika. Ten błąd może wystąpić, gdy wewnętrzna podusługa firmy Microsoft Entra osiągnie limit ponawiania prób i nie wskazuje, że dzierżawa jest ograniczana. Te błędy są zwykle rozwiązywane wewnętrznie przez identyfikator entra firmy Microsoft. Jeśli użytkownik nie może się zalogować z powodu tego błędu, ręczne próby powinny rozwiązać ten problem.

Jeśli identyfikator jednostki usługi ma wartość "00000000-0000-0000-0000-0000000000000" nie ma jednostki usługi dla aplikacji klienckiej w tym wystąpieniu uwierzytelniania. Firma Microsoft Entra nie wystawia już tokenów dostępu bez jednostki usługi klienta, z wyjątkiem kilku aplikacji firmy Microsoft i firm innych niż Microsoft.

Jeśli identyfikator jednostki usługi zasobów ma wartość "00000000-0000-0000-0000-0000000000000", w tym wystąpieniu uwierzytelniania nie ma jednostki usługi dla aplikacji zasobów.

To zachowanie jest obecnie dozwolone tylko dla ograniczonej liczby aplikacji zasobów.

Możesz wykonywać zapytania dotyczące wystąpień uwierzytelniania bez klienta lub jednostki usługi zasobów w dzierżawie.

• Aby znaleźć wystąpienia dzienników logowania dla dzierżawy, w których brakuje jednostki usługi klienta, użyj następującego zapytania:

  https://graph.microsoft.com/beta/auditLogs/signIns?$filter=signInEventTypes/any(t: t eq 'servicePrincipal') and servicePrincipalId eq '00000000-0000-0000-0000-000000000000'
  

• Aby znaleźć wystąpienia dzienników logowania dla dzierżawy, w których brakuje jednostki usługi zasobu, użyj następującego zapytania:

  https://graph.microsoft.com/beta/auditLogs/signIns?$filter=signInEventTypes/any(t: t eq 'servicePrincipal') and resourceServicePrincipalId eq '00000000-0000-0000-0000-000000000000'
  

Te dzienniki logowania można również znaleźć w centrum administracyjnym firmy Microsoft Entra.

• Zaloguj się do centrum administracyjnego usługi Microsoft Entra.
• Przejdź do dzienników logowania do monitorowania tożsamości>i kondycji.>
• Wybierz pozycję Logowania jednostki usługi.
• Wybierz odpowiedni przedział czasu w polu Data (ostatnie 24 godziny, 7 dni itd.).
• Dodaj filtr i wybierz pozycję Identyfikator jednostki usługi i podaj wartość "000000000-0000-0000-0000-000000000000", aby uzyskać wystąpienia uwierzytelniania bez jednostki usługi klienta.

Jeśli chcesz kontrolować sposób działania uwierzytelniania w dzierżawie dla określonych aplikacji klienckich lub aplikacji zasobów, postępuj zgodnie z instrukcjami w artykule Ograniczanie aplikacji Microsoft Entra do zestawu użytkowników .

Niektóre logowania nieinterakcyjne zostały udostępnione przed udostępnieniem dzienników logowania nieinterakcyjnego w publicznej wersji zapoznawczej. Te nieinterakcyjne logowania zostały uwzględnione w dziennikach logowania interakcyjnego i pozostały w dziennikach logowania interakcyjnego po udostępnieniu dzienników nieinterakcyjnych. Logowania przy użyciu kluczy FIDO2 to przykład nieinterakcyjnych logowań wyświetlanych w dziennikach logowania interakcyjnego. W tej chwili te nieinterakcyjne dzienniki są zawsze uwzględniane w dzienniku logowania interakcyjnego.

Interfejs API wykrywania ryzyka usługi Identity Protection umożliwia dostęp do wykrywania zabezpieczeń za pośrednictwem programu Microsoft Graph. Ten interfejs API obejmuje zaawansowane filtrowanie i wybór pól oraz standaryzację wykrywania ryzyka w jednym typie w celu łatwiejszej integracji z narzędziami SIEM i innymi narzędziami do zbierania danych.

Zasady dostępu warunkowego można rozwiązywać za pomocą wszystkich dzienników logowania. Zapoznaj się ze stanem dostępu warunkowego i zapoznaj się ze szczegółami zasad zastosowanych do logowania i wyników dla poszczególnych zasad.

Aby rozpocząć:

• Zaloguj się do centrum administracyjnego usługi Microsoft Entra.
• Przejdź do dzienników logowania do monitorowania tożsamości>i kondycji.>
• Wybierz logowanie, które chcesz rozwiązać.
• Wybierz kartę Dostęp warunkowy, aby wyświetlić wszystkie zasady, które mają wpływ na logowanie i wynik dla poszczególnych zasad.

Stan dostępu warunkowego może mieć następujące wartości:

• Nie zastosowano: nie było żadnych zasad dostępu warunkowego z użytkownikiem i aplikacją w zakresie.
• Powodzenie: Pomyślnie spełniono zasady dostępu warunkowego dla użytkownika i aplikacji oraz zasady dostępu warunkowego.
• Niepowodzenie: Logowanie spełnia warunek użytkownika i aplikacji co najmniej jednego zasad dostępu warunkowego i kontrole udzielania nie są spełnione lub ustawione w celu zablokowania dostępu.

Zasady dostępu warunkowego mogą mieć następujące wyniki:

• Powodzenie: zasady zostały pomyślnie spełnione.
• Niepowodzenie: zasady nie zostały spełnione.
• Nie zastosowano: warunki zasad mogły nie zostać spełnione.
• Nie włączono: zasady mogą być w stanie wyłączonym.

Nazwa zasad w dzienniku logowania jest oparta na nazwie zasad dostępu warunkowego w momencie logowania. Nazwa może być niespójna z nazwą zasad w dostępie warunkowym, jeśli nazwa zasad została zaktualizowana po zalogowaniu.

Obecnie dziennik logowania może nie wyświetlać dokładnych wyników dla scenariuszy programu Exchange ActiveSync po zastosowaniu dostępu warunkowego. Mogą wystąpić przypadki, gdy wynik logowania w raporcie pokazuje pomyślne logowanie, ale logowanie rzeczywiście nie powiodło się z powodu zasad.

Zasady dostępu warunkowego nie mają zastosowania do logowania lub Windows Hello dla firm systemu Windows. Zasady dostępu warunkowego chronią próby logowania do zasobów w chmurze, a nie proces logowania systemu Windows.

Zapoznaj się z dokumentacją interfejsu API, aby zobaczyć, jak używać interfejsów API do uzyskiwania dostępu do dzienników aktywności. Ten punkt końcowy ma dwa raporty (inspekcja i logowania), które udostępniają wszystkie dane, które zostały podane w starym punkcie końcowym interfejsu API. Ten nowy punkt końcowy zawiera również raport logowania z licencją Microsoft Entra ID P1 lub P2, której można użyć do uzyskiwania informacji o użyciu aplikacji, użyciu urządzenia i logowaniu użytkownika.

Interfejs API wykrywania ryzyka usługi Identity Protection umożliwia dostęp do wykrywania zabezpieczeń za pośrednictwem programu Microsoft Graph. Ten nowy format zapewnia większą elastyczność w sposobie wykonywania zapytań dotyczących danych. Format zapewnia zaawansowane filtrowanie, wybór pól i standaryzację wykrywania ryzyka w jednym typie w celu łatwiejszej integracji z narzędziami SIEM i innymi narzędziami do zbierania danych. Ponieważ dane są w innym formacie, nie można zastąpić nowego zapytania dla starych zapytań. Jednak nowy interfejs API używa programu Microsoft Graph, który jest standardem firmy Microsoft dla takich interfejsów API jak Microsoft 365 lub Microsoft Entra ID. W związku z tym wymagana praca może rozszerzyć bieżące inwestycje w program Microsoft Graph lub ułatwić rozpoczęcie przejścia na nową platformę standardową.

Może być konieczne zalogowanie się do programu Microsoft Graph niezależnie od centrum administracyjnego firmy Microsoft Entra. Wybierz ikonę profilu w prawym górnym rogu i zaloguj się do odpowiedniego katalogu. Być może próbujesz uruchomić zapytanie, dla którego nie masz uprawnień. Wybierz pozycję Modyfikuj uprawnienia i wybierz przycisk Zgoda . Postępuj zgodnie z monitami logowania.

Za każdym razem, gdy token jest używany do wywoływania punktu końcowego programu Microsoft Graph, element MicrosoftGraphActivityLogs jest aktualizowany przy użyciu tego wywołania. Niektóre z tych wywołań to wywołania tylko dla aplikacji, które nie są publikowane w dziennikach logowania jednostki usługi. Gdy element MicrosoftGraphActivityLogs pokazuje uniqueTokenIdentifier , że nie można zlokalizować w dziennikach logowania, identyfikator tokenu odwołuje się do tokenu tylko aplikacji pierwszej firmy.

Jeśli usługa wykryje działanie związane z tym zaleceniem dla czegoś oznaczonego jako "ukończone", zmieni się automatycznie z powrotem na "aktywne".