Поделиться через

Что такое интерактивные входы пользователей в Microsoft Entra?

  • Статья

Мониторинг и работоспособность Microsoft Entra предоставляет несколько типов журналов входа, помогающих отслеживать работоспособность вашего клиента. Интерактивные входы пользователей — это представление по умолчанию в Центре администрирования Microsoft Entra.

Что такое интерактивный вход пользователя?

Интерактивные входы выполняются пользователем . Они предоставляют фактор проверки подлинности идентификатору Microsoft Entra. Этот фактор проверки подлинности также может взаимодействовать с вспомогательным приложением, например приложением Microsoft Authenticator. Пользователи могут предоставлять пароли, ответы на проблемы MFA, биометрические факторы или QR-коды идентификатору Microsoft Entra или вспомогательному приложению. Этот журнал также включает федеративные входы из поставщиков удостоверений, которые федеративны с идентификатором Microsoft Entra.

Снимок экрана: интерактивный журнал входа пользователя.

Подробные сведения журнала

Размер отчета: небольшие
примеры:

  • Пользователь предоставляет имя пользователя и пароль на экране входа в Microsoft Entra.
  • Пользователь передает ответ на запрос MFA через текстовое сообщение.
  • Пользователь предоставляет биометрический жест для разблокировки компьютера Windows с помощью Windows Hello для бизнеса.
  • Пользователь федеративный с идентификатором Microsoft Entra с утверждением AD FS SAML.

Кроме полей по умолчанию, в журнале интерактивных операций входа отображается следующая информация:

  • расположение входа;
  • Применяется ли условный доступ

Примечание.

Записи в журналах входа создаются системой и не могут быть изменены или удалены.

Примечания

Неинтерактивные входы в журналы интерактивного входа

Ранее некоторые неинтерактивные входы из клиентов Microsoft Exchange были включены в интерактивный журнал входа пользователей для повышения видимости. Эта повышенная видимость была необходима, прежде чем журналы входа пользователей, не интерактивных, появились в ноябре 2020 года. Однако важно отметить, что некоторые неинтерактивные входы, такие как ключи FIDO2, по-прежнему могут быть помечены как интерактивные из-за того, как система была настроена до появления отдельных неинтерактивных журналов. Эти входы могут отображать интерактивные сведения, такие как тип учетных данных клиента и сведения о браузере, даже если они технически неактивные входы.

Сквозные входы

Идентификатор Microsoft Entra выдает маркеры для проверки подлинности и авторизации. В некоторых ситуациях пользователь, вошедший в клиент Contoso, может попытаться получить доступ к ресурсам в клиенте Fabrikam, где у них нет доступа. Маркер без авторизации, называемый маркером сквозного руководства, выдан клиенту Fabrikam. Маркер сквозного руководства не позволяет пользователю получать доступ к каким-либо ресурсам.

Ранее при просмотре журналов для этой ситуации журналы входа для домашнего клиента (в этом сценарии Contoso) не отображали попытку входа, так как маркер не предоставлял доступ к ресурсу с любыми утверждениями. Маркер входа использовался только для отображения соответствующего сообщения об ошибке.

Сквозные попытки входа теперь отображаются в журналах входа в домашний клиент и всех соответствующих журналах входа клиента. Это обновление обеспечивает более подробную информацию о попытках входа пользователей из пользователей и более подробной информации о политиках ограничений клиента.

Теперь crossTenantAccessType свойство показывает passthrough , чтобы различать сквозные входы и доступны в Центре администрирования Microsoft Entra и Microsoft Graph.

Единый вход субъекта-службы только для приложений

Журналы входа субъекта-службы не включают действия входа только для приложений. Этот тип действия происходит, когда сторонние приложения получают маркеры для внутреннего задания Майкрософт, где нет направления или контекста от пользователя. Мы исключим эти журналы, поэтому вы не оплачиваете журналы, связанные с внутренними токенами Майкрософт в клиенте.

Вы можете определить события Microsoft Graph, которые не коррелируют с входом субъекта-службы, если вы выполняете маршрутизацию MicrosoftGraphActivityLogs с SignInLogs той же рабочей областью Log Analytics. Эта интеграция позволяет перекрестно ссылаться на токен, выданный для вызова API Microsoft Graph, с действием входа. Журналы UniqueTokenIdentifier входа и SignInActivityId журналы действий Microsoft Graph отсутствуют в журналах входа субъекта-службы.

Условный доступ

Входы, которые показывают , что не применяется для условного доступа, может быть трудно интерпретировать. Если вход прерывается, вход отображается в журналах, но отображается не применяется для условного доступа. Другой распространенный сценарий — вход в Windows Hello для бизнеса. Этот вход не применяется к условному доступу, так как пользователь входит на устройство, а не к облачным ресурсам, защищенным условным доступом.

Поле TimeGenerated

Если вы интегрируете журналы входа с журналами Azure Monitor и Log Analytics, вы можете заметить, что поле TimeGenerated в журналах не соответствует времени входа. Это несоответствие связано с способом приема журналов в Azure Monitor. Поле TimeGenerated — это время получения и публикации записи Log Analytics, а не времени входа. Поле CreatedDateTime в журналах показывает время входа.

Таким образом, события рискованного входа также отображаются TimeGenerated в качестве времени обнаружения рискованного входа, а не когда произошел вход. Чтобы найти фактическое время входа, можно использовать CorrelationId, чтобы найти событие входа в журналах и найти время входа.