Настройка и фильтрация журналов действий удостоверений

Журналы регистрации входа часто используются для устранения проблем с доступом пользователей и анализа рискованной активности при входе. Журналы аудита собирают все зарегистрированные события в идентификаторе Microsoft Entra и могут использоваться для изучения изменений в вашей среде. Существует более 30 столбцов, которые можно выбрать для настройки представления журналов входа в Центре администрирования Microsoft Entra. Журналы аудита и журналы подготовки также можно настроить и отфильтровать для ваших потребностей.

В этой статье показано, как настроить столбцы, а затем отфильтровать журналы, чтобы найти нужную информацию более эффективно.

Предварительные условия

• Рабочий клиент Microsoft Entra с соответствующей лицензией Microsoft Entra, связанной с ним.
  • Полный список требований к лицензии см. в разделе "Лицензирование мониторинга и работоспособности Microsoft Entra".
• Читатель отчетов — это наименее привилегированная роль, необходимая для доступа к журналам действий.
  • Полный список ролей см. в разделе "Наименее привилегированная роль" по задачам.

Доступ к журналам действий в Центре администрирования Microsoft Entra

Вы всегда можете получить доступ к журналу входа в системе на https://mysignins.microsoft.com. Вы также можете получить доступ к журналам входа из Пользователи и Корпоративные приложения в Microsoft Entra ID.

1. Войдите в административный центр Microsoft Entra как минимум в роли читателя отчетов.
2. Перейдите к Идентификация>Мониторинг и здоровье>Журналы аудита/Журналы входа/Журналы подготовки.

Журналы аудита

Используя сведения в журналах аудита Microsoft Entra, вы можете получить доступ ко всем записям системных действий в целях соответствия требованиям. Журналы аудита можно получить из раздела "Мониторинг и работоспособность " идентификатора Microsoft Entra, где можно сортировать и фильтровать по каждой категории и действиям. Вы также можете получить доступ к журналам аудита в области центра администрирования для исследуемой службы.

Например, если вы изучаете изменения в группах Microsoft Entra, вы можете получить доступ к журналам аудита из Microsoft Entra ID>Groups. При доступе к журналам аудита из службы фильтр автоматически настраивается в соответствии со службой.

Настройка макета журналов аудита

Столбцы в журналах аудита можно настроить, чтобы просмотреть только необходимые сведения. Столбцы службы, категории и действия связаны друг с другом, поэтому эти столбцы всегда должны быть видимыми.

Фильтрация журналов аудита

При фильтрации журналов по службе сведения о категории и действиях автоматически изменяются. В некоторых случаях может быть только одна категория или действие. Подробную таблицу всех возможных сочетаний этих сведений см. в разделе "Действия аудита".

• Служба: по умолчанию для всех доступных служб, но вы можете отфильтровать список до одного или нескольких, выбрав параметр из раскрывающегося списка.

• Категория: по умолчанию для всех категорий, но можно отфильтровать для просмотра категории действий, таких как изменение политики или активация соответствующей роли Microsoft Entra.

• Действие: На основе выбора категории и типа ресурса действия, который вы делаете. Вы можете выбрать определенное действие или просмотреть все.

  Список всех действий аудита можно получить с помощью API Microsoft Graph: https://graph.windows.net/<tenantdomain>/activities/auditActivityTypesV2?api-version=beta

• Состояние: позволяет просмотреть результат на основе того, было ли действие успешно или неудачно.

• Цель: позволяет искать цель или получателей действия. Выполните поиск по первым нескольким буквам имени или имени участника-пользователя (UPN). Имя целевое и универсальное имя пользователя чувствительны к регистру.

• Инициировано: позволяет искать по инициатору действия, используя первые несколько букв имени или UPN. Имя и основное имя пользователя чувствительны к регистру.

• Диапазон дат: позволяет определить интервал времени для возвращаемых данных. Вы можете искать последние 7 дней, 24 часа или настраиваемый диапазон. При выборе пользовательского интервала времени можно настроить время начала и окончания.

Журналы действий входа

На странице журналов входа можно переключаться между четырьмя типами журналов входа.

• Интерактивные входы пользователей: входы, в которых пользователь предоставляет фактор проверки подлинности, например пароль, ответ через приложение MFA, биометрический фактор или QR-код.

• Неинтерактивные входы пользователей: входы, выполняемые клиентом от имени пользователя. Для этих операций входа не требуется взаимодействие с пользователем или фактор проверки подлинности. Например, проверка подлинности и авторизация с помощью маркеров обновления и доступа, для которых не требуется ввод учетных данных пользователем.

• Вход субъекта-службы: входы в приложения и субъекты-службы, не связанные с пользователем. При таких операциях входа приложение или служба предоставляют собственные учетные данные для проверки подлинности или доступа к ресурсам.

• Управляемые удостоверения для входа в ресурсы Azure: входы с помощью ресурсов Azure с секретами, управляемыми Azure. Для получения дополнительной информации см. Что такое управляемые удостоверения для ресурсов Azure?.

Настройте макет журналов регистрации

Столбцы для интерактивного журнала входа пользователя можно настроить с помощью более 30 параметров столбцов. Чтобы более эффективно просмотреть журнал входа, затратите несколько минут на настройку представления для ваших потребностей.

1. Выберите столбцы в меню в верхней части журнала.
2. Выберите столбцы, которые вы хотите просмотреть, и нажмите кнопку "Сохранить " в нижней части окна.

Фильтрация журналов входа

Фильтрация журналов входа — это полезный способ быстро найти журналы, соответствующие определенному сценарию. Например, можно отфильтровать список, чтобы просмотреть только входы, произошедшие в определенном географическом расположении, из определенной операционной системы или с определенного типа учетных данных.

Некоторые параметры фильтра запрашивают выбор дополнительных параметров. Следуйте инструкциям, чтобы выбрать нужный фильтр. Можно добавить несколько фильтров.

1. Нажмите кнопку "Добавить фильтры" , выберите параметр фильтра и нажмите кнопку "Применить".

   

2. Введите определенную информацию, например идентификатор запроса, или выберите другой параметр фильтра.

   

Вы можете отфильтровать несколько сведений. В следующей таблице описаны некоторые часто используемые фильтры. Не все параметры фильтра описаны.

Фильтр	Описание
Идентификатор запроса	Уникальный идентификатор запроса на вход
Идентификатор корреляции	Уникальный идентификатор для всех запросов на вход, которые являются частью попытки единого входа.
Пользователь	Основное имя пользователя (UPN) пользователя
Приложение	Приложение, на которое направлен запрос на вход
Состояние	Параметры : "Успех", "Сбой" и "Прервано"
Ресурс	Имя службы, используемой для входа
IP-адрес	IP-адрес клиента, используемый для входа
Условный доступ	Варианты: Не применено, Успех и Неудача

Теперь, когда таблица журналов входа форматируется для ваших потребностей, вы можете более эффективно анализировать данные. Дальнейший анализ и хранение данных входа можно выполнить, экспортируя журналы в другие средства.

Настройка столбцов и настройка фильтра помогает просмотреть журналы с аналогичными характеристиками. Чтобы просмотреть сведения о входе, выберите строку в таблице, чтобы открыть панель сведений о действиях. На панели есть несколько вкладок для изучения. Дополнительные сведения см. в разделе Сведения о действиях в журнале входа.

Фильтр по клиентскому приложению

При проверке происхождения входа может потребоваться использовать фильтр клиентского приложения . Клиентское приложение имеет две подкатегории: современные клиенты аутентификации и устаревшие клиенты аутентификации. Современные клиенты проверки подлинности имеют еще две подкатегории: браузерныеи мобильные приложения и классические клиенты. Существует несколько подкатегорий для устаревших клиентов проверки подлинности, определенных в таблице сведений о клиенте устаревшей проверки подлинности.

Входы в браузер включают все попытки входа из веб-браузеров. При просмотре сведений о входе из браузера на вкладке "Базовая информация " отображается клиентское приложение: Браузер.

На вкладке сведений об устройстве браузер отображает сведения о веб-браузере. Тип браузера и версия перечислены, но в некоторых случаях имя браузера и версии недоступно. Возможно, вы увидите что-то вроде Rich Client 4.0.0.0.

Сведения о клиенте устаревшей аутентификации

В следующей таблице приведены сведения о каждом из вариантов клиента проверки подлинности прежних версий.

Имя	Описание
SMTP с проверкой подлинности	Используется клиентами POP и IMAP для отправки сообщений электронной почты.
Автообнаружение	Используется клиентами Outlook и EAS для поиска почтовых ящиков в Exchange Online и подключения к ним.
Exchange ActiveSync	В этом фильтре показаны все попытки входа, в которых был выполнен протокол EAS.
Exchange ActiveSync	Показывает все попытки пользователей с клиентскими приложениями войти в систему с помощью Exchange ActiveSync для подключения к Exchange Online.
Exchange Online PowerShell	Используется для подключения к Exchange Online через удалённую оболочку PowerShell. Если вы заблокируете обычную аутентификацию для PowerShell в Exchange Online, для подключения понадобится использовать модуль PowerShell Exchange Online. Инструкции см. в статье Подключение к PowerShell Exchange Online с помощью многофакторной проверки подлинности.
Веб-службы Exchange	Программный интерфейс, используемый в Outlook, Outlook для Mac и не Microsoft приложениях.
IMAP4	Устаревший почтовый клиент, использующий IMAP для получения сообщений электронной почты.
MAPI поверх HTTP	Используется в Outlook 2010 и более поздних версиях.
Автономная адресная книга	Копия коллекций списков адресов, которые скачиваются и используются в Outlook.
Outlook Anywhere (RPC поверх HTTP)	Используется в Outlook 2016 и более ранних версиях.
Служба Outlook	Используется приложениями "Почта" и "Календарь" для Windows 10.
POP3	Устаревший почтовый клиент, использующий POP3 для получения сообщений электронной почты.
Веб-службы отчетности	Используются для получения данных отчетов в Exchange Online.
Другие клиенты	Отображает все попытки входа от пользователей, где клиентское приложение не включено или неизвестно.

Журналы подготовки

Чтобы более эффективно просмотреть журнал подготовки, затратите несколько минут на настройку представления для ваших потребностей. Можно указать, какие столбцы следует включить и отфильтровать данные, чтобы сузить их.

Настройка макета

Журнал предоставления ресурсов имеет представление по умолчанию, но можно настроить столбцы.

1. Выберите столбцы в меню в верхней части журнала.
2. Выберите столбцы, которые вы хотите просмотреть, и нажмите кнопку "Сохранить " в нижней части окна.

Фильтрация результатов

При фильтрации данных предоставления некоторые значения фильтров динамически заполняются на основе арендатора. Например, если в клиенте нет событий create, параметр "Создать фильтр" недоступен.

Фильтр идентификационная позволяет указать имя или идентификацию, которая вас интересует. Это может быть пользователь, группа, роль или другой объект.

Можно выполнить поиск по имени или идентификатору объекта. Идентификатор зависит от сценария.

• Если вы подготавливаете объект из Microsoft Entra ID в Salesforce, исходный идентификатор является идентификатором объекта пользователя в Microsoft Entra ID. Целевой идентификатор — это идентификатор пользователя в Salesforce.
• Если вы выполняете подготовку данных из Workday в Microsoft Entra ID, исходный идентификатор — это идентификатор сотрудника Workday. Целевой идентификатор — это идентификатор пользователя в идентификаторе Microsoft Entra.
• Если вы подготавливаете пользователей для синхронизации между клиентами, исходный идентификатор является идентификатором пользователя в исходном клиенте. Целевой идентификатор — это идентификатор пользователя в целевом клиенте.

Примечание.

Имя пользователя может не всегда присутствовать в столбце идентификаторов. Всегда будет один идентификатор.

Фильтр дат позволяет определить интервал времени для возвращаемых данных. Возможны следующие значения:

• Один месяц
• Семь дней
• 30 дней
• 24 ч
• Настраиваемый интервал времени (настройка даты начала и даты окончания)

В фильтре Состояние можете выбрать:

• Все
• Успех
• Сбой
• Пропущено

Фильтр Действий позволяет отфильтровать следующие действия:

• Создайте
• Обновить
• Удалить
• Отключить
• Другие

В дополнение к фильтрам представления по умолчанию можно задать следующие фильтры.

• Идентификатор задания: уникальный идентификатор связан с каждым приложением, для которого включено развертывание.

• Идентификатор цикла: идентификатор цикла однозначно определяет цикл наделения ресурсами. Вы можете поделиться этим идентификатором с помощью поддержки продукта, чтобы найти цикл, в котором произошло это событие.

• Идентификатор изменения: идентификатор изменения является уникальным кодом для события обеспечения. Вы можете поделиться этим идентификатором с поддержкой продукта, чтобы найти событие подготовки.

• Исходная система: Вы можете указать, откуда будет получена идентификация. Например, при предоставлении объекта из Microsoft Entra ID в ServiceNow исходной системой является Microsoft Entra ID.

• Целевая система: Вы можете указать, куда будет направляться удостоверение. Например, при предоставлении объекта из Microsoft Entra ID в ServiceNow целевая система — это ServiceNow.

• Приложение: Вы можете отображать только записи приложений, имеющих имя отображения или идентификатор объекта, которые содержат определенную строку. Для синхронизации между клиентами используйте идентификатор объекта конфигурации, а не идентификатор приложения.

Связанный контент

• Анализ ошибки входа
• Устранение ошибок входа
• Изучение всех категорий и действий журнала аудита