編輯

共用方式為


Microsoft Entra 監視和健康情況的常見問題

本文包括 Microsoft Entra 監視和健康情況的常見問題解答。 如需詳細資訊,請參閱 Microsoft Entra 監視和健康情況概觀

開始使用

我要如何取得進階授權?

請參閱 Microsoft Entra ID 授權,以升級您的 Microsoft Entra 版本。

取得進階授權之後,應該多快會看到活動記錄資料?

如果您已經有具有免費授權的活動記錄數據,您可以立即看到。 如果您沒有任何數據,最多可能需要三天的時間,數據才會顯示在報表中。

取得 Microsoft Entra ID P1 或 P2 授權之後,我可以看到上個月的資料嗎?

如果您最近切換至進階版 (包括試用版),則一開始最多七天可以看到資料。 當資料累積時,您可以看到過去 30 天的資料。

活動記錄

我需要哪個角色才能在 Microsoft Entra 系統管理中心查看活動記錄?

檢視稽核和登入記錄 最低許可權角色 報表讀取者。 其他角色包括「安全性讀取者」和「安全性系統管理員」

哪些記錄可以與 Azure 監視器整合?

登入、稽核、布建、標識符保護、網路存取和其他許多記錄可以與 Azure 監視器和其他監視和警示工具整合。 目前未包括 B2C 相關稽核事件。 如需可與其他端點整合之Microsoft Entra 記錄的完整清單,請參閱 記錄選項,以串流至端點

我是否可以透過 Microsoft Entra 系統管理中心或 Azure 入口網站取得 Microsoft 365 活動記錄資訊?

Microsoft 365 和 Microsoft Entra 活動記錄共用許多目錄資源。 如果您想要完整檢視 Microsoft 365 活動記錄,則應該前往 Microsoft 365 系統管理中心以取得 Office 365 活動記錄資訊。 Microsoft 365 管理 API 文章會說明適用於 Microsoft 365 的 API。

我可以從 Microsoft Entra 系統管理中心下載多少筆記錄?

有數個因素會決定您可以從 Microsoft Entra 系統管理中心下載的記錄數目,例如瀏覽器記憶體大小、網路速度,以及 Microsoft Entra 報告 API 載入。 一般而言,小於 250,000 (針對稽核記錄) 和 100,000 (針對登入和佈建記錄) 的資料集適用於瀏覽器下載功能。 根據您包括的欄位數目,此數字可能會不同。 如果您在瀏覽器中完成大型下載時遇到問題,則請使用報告 API 來下載資料,或透過診斷設定將記錄傳送至端點

您可以下載的特定一組記錄取決於您開始下載時,Microsoft Entra 系統管理中心內的使用中篩選。 例如,在 Microsoft Entra 系統管理中心內篩選至特定使用者,表示您的下載會提取該特定使用者的記錄。 所下載記錄中的資料行「不」會變更。 「不論您在 Microsoft Entra 系統管理中心內自訂哪些資料行」,輸出都會包含稽核或登入記錄的所有詳細資料。

Microsoft Entra ID 會儲存活動記錄多久? 什麼是資料保留?

根據您的授權,Microsoft Entra ID 會將活動記錄儲存 7 到 30 天。 如需詳細資訊,請參閱 Microsoft Entra 報告保留原則

稽核記錄

如何瞭解使用者是否已購買授權或針對我的租用戶啟用試用版授權? 我在稽核記錄中看不到此活動。

目前,稽核記錄中沒有授權購買或啟用的特定活動。 不過,您可能可以將「將資源上線至 PIM」活動從「資源管理」類別相互關聯至授權的購買或啟用。 此活動不一定一律可供使用或提供確切的詳細資料。

登入記錄

我已使用 signInActivity 資源來查閱使用者的最後一個登入時間,但幾個小時後還是未更新。 何時將會使用最新的登入時間進行更新?

signInActivity 資源用來尋找一段時間尚未登入的非使用中使用者。 其不會近乎即時地進行更新。 如果您需要更快速地找到使用者的最後一個登入活動,則可以使用 Microsoft Entra 登入記錄來查看所有使用者近乎即時的登入活動。

從 Microsoft Entra 登入記錄下載的 CSV 檔案包括哪些資料?

CSV 包括您所選取登入類型的登入記錄。 「不」包括 Microsoft Graph API 中呈現為登入記錄巢狀陣列的資料。 例如,未包括條件式存取原則和僅限報告資訊。 如果您需要匯出登入記錄中包含的所有資訊,請使用 [匯出資料設定] 功能。

也請務必注意,所下載記錄中所含的資料行不會變更,即使您在 Microsoft Entra 系統管理中心內自訂資料行也是一樣。

我在登入記錄中使用者的裝置詳細數據中看到部分IP位址或「PII 已移除」的 .XXX。 為什麼會發生這種情況?

Microsoft Entra ID 可能會修訂登入記錄的一部分,以保護下列案例中的用戶隱私權:

  • 在跨租使用者登入期間,例如 CSP 技術人員登入 CSP 所管理的租用戶時。
  • 服務無法判斷使用者的身分識別是否足以確定使用者屬於可檢視記錄的租用戶。
  • Microsoft Entra ID 會修訂不屬於您租用戶的裝置所產生的個人識別資訊 (PII),以確保客戶資料。 PII 不會在沒有使用者和資料擁有者同意的情況下分散到租用戶界限之外。

我看到每個 requestID 都有重複的登入項目/多個登入事件。 為什麼會發生這種情況?

登入項目可能會在您的記錄中重複,原因有數個。

  • 如果在登入時識別到風險,則會在包括有風險之後立即發佈另一個幾乎完全相同的事件。
  • 如果收到與登入相關的 MFA 事件,則所有相關事件都會彙總至原始登入。
  • 如果登入事件的合作夥伴發佈失敗 (例如發佈至 Kusto),則會重試並再次發佈整批的事件,而這可能會導致重複。
  • 涉及多個條件式存取原則的登入事件可能會分割成多個事件,而這可能會導致每個登入事件都至少有兩個事件。

我正在調查使用 Log Analytics 的登入事件,但 TimeGenerated 時間與登入的實際時間不符。 為什麼會發生這種情況?

Log Analytics 中的 TimeGenerated 字段是 Log Analytics 接收和發佈項目的時間。 請記住,為了讓記錄出現在 Log Analytics 中,您必須設定診斷設定,將 記錄傳送 至 Log Analytics 工作區。 該程式需要時間,因此 TimeGenerated 字段可能不符合登入的實際時間。

若要確認日期和時間符合登入,請在Log Analytics結果中進一步尋找 CreatedDateTime 字段。 AuthenticationDetails您也可以展開欄位,以查看登入的確切時間。 Log Analytics 中的時間會以 UTC 顯示,但登入記錄中的時間會出現在本機時間Microsoft Entra 系統管理中心,因此您可能需要調整。

具風險的登入事件也有與實際登入時間不同的 TimeGenerated 時間。 具風險登入的 TimeGenerated 時間是偵測到風險的時間,而不是登入的時間。 檢查具風險的登入事件本身是否有啟用時間,這是登入的實際時間。

為什麼我的非互動式登入似乎具有相同的時間戳記?

非互動式登入可以每小時觸發大量的事件,因此記錄中會將其分組在一起。

在許多情況下,非互動式登入都有相同的特性,但登入的日期和時間除外。 如果時間彙總設定為 24 小時,則記錄似乎會同時顯示登入。 所有這些已分組的資料列都可以予以展開,以檢視確切的時間戳記。

我在登入記錄的使用者名稱欄位中看到「使用者識別碼」/「物件識別碼」/GUID。 為何會發生這種情形?

登入項目可能會在使用者名稱欄位中顯示「使用者識別碼」、「物件識別碼」或 GUID 的原因有很多。

  • 使用無密碼驗證時,「使用者識別碼」會顯示為使用者名稱。 若要確認此案例,請查看有問題的登入事件詳細資料。 authenticationDetail 欄位指出「無密碼」
  • 使用者已經過驗證,但尚未登入。 若要確認,請查看與中斷相互關聯的「錯誤碼 50058」
  • 如果使用者名稱欄位顯示 00000-00000-0000-0000 或類似項目,則可能已有租用戶限制,以防止使用者登入所選取的租用戶。
  • 多重要素驗證登入嘗試會與多個資料項目彙總,而這可能需要較長的時間才能正確顯示。 資料可能需要最多兩個小時才能完全彙總,但很少需要那麼長的時間。

我在登入記錄中看到 90025 錯誤。 這是否表示我的使用者無法登入? 我的租用戶是否已達到節流限制?

否,一般而言,透過自動重試會解決 90025 錯誤,而不會讓使用者注意到錯誤。 內部 Microsoft Entra 子服務達到重試額度且未指出您的租用戶受到節流時,可能會發生此錯誤。 這些錯誤通常由 Microsoft Entra ID 來內部解決。 如果使用者因這個錯誤而無法登入,則手動再試一次應該會解決此問題。

在服務主體登入記錄中,如果我在登入記錄中看到服務主體識別碼或資源服務主體識別碼為 "000000000-0000-0000-00000000000000" 或 "",則這是什麼意思?

如果服務主體識別碼的值為 "0000000-0000-0000-0000-000000000000",則該驗證執行個體中的用戶端應用程式沒有服務主體。 Microsoft Entra 不再發行沒有用戶端服務主體的存取權杖,但少數 Microsoft 和非 Microsoft 應用程式除外。

如果資源服務主體識別碼的值為 "0000000-0000-0000-0000-000000000000",則該驗證執行個體中的資源應用程式沒有服務主體。

目前只有有限數目的資源應用程式才允許此行為。

您可以在租用戶中查詢沒有用戶端或資源服務主體的驗證執行個體。

  • 若要尋找遺漏用戶端服務主體的租用戶登入記錄執行個體,請使用下列查詢:
    https://graph.microsoft.com/beta/auditLogs/signIns?$filter=signInEventTypes/any(t: t eq 'servicePrincipal') and servicePrincipalId eq '00000000-0000-0000-0000-000000000000'
    
  • 若要尋找遺漏資源服務主體的租用戶登入記錄執行個體,請使用下列查詢:
    https://graph.microsoft.com/beta/auditLogs/signIns?$filter=signInEventTypes/any(t: t eq 'servicePrincipal') and resourceServicePrincipalId eq '00000000-0000-0000-0000-000000000000'
    

您也可以在 Microsoft Entra 系統管理中心內找到這些登入記錄。

  • 登入 Microsoft Entra 系統管理中心。
  • 瀏覽至 [身分識別] > [監視和健康情況] > [登入記錄]
  • 選取 [服務主體登入]
  • 在 [日期] 欄位中,選取適當的時間範圍 (過去 24 小時、7 天等)。
  • 新增篩選,並選取 [服務主體識別碼],然後提供值 '00000000-0000-0000-0000-000000000000',以取得沒有用戶端服務主體的驗證執行個體。

如何限制我在服務主體登入記錄中看到的各種應用程式登入 (驗證)?

如果您想要控制特定用戶端或資源應用程式在租用戶中的驗證運作方式,則請遵循將 Microsoft Entra 應用程式限制為一組使用者文章中的指示。

為什麼我的互動式登入記錄上會顯示技術上非互動式的登入?

在公開預覽版中提供非互動式登入記錄之前,已提供某些非互動式登入。 這些非互動式登入已包括在互動式登入記錄中,並在非互動式記錄可供使用之後保留在互動式登入記錄中。 使用 FIDO2 金鑰的登入是互動式登入記錄中所顯示的非互動式登入範例。 目前,這些非互動式記錄一律會包括在互動式登入記錄中。

我應該針對 Identity Protection 風險偵測 (例如認證洩漏或匿名 IP 位址登入) 使用哪個報告 API?

您可以使用 Identity Protection 風險偵測 API,以透過 Microsoft Graph 來存取安全性偵測。 此 API 包括進階篩選和欄位選取,並將風險偵測標準化為一種類型,以更輕鬆地整合至 SIEM 和其他資料收集工具。

條件式存取

我可以在登入記錄中看到哪些條件式存取詳細資料?

您可以透過所有登入記錄來針對條件式存取原則進行疑難排解。 檢閱條件式存取狀態,並探索套用至每個原則登入和結果的原則詳細資料。

開始進行之前:

  • 登入 Microsoft Entra 系統管理中心。
  • 瀏覽至 [身分識別] > [監視和健康情況] > [登入記錄]
  • 選取您想要進行疑難排解的登入。
  • 選取 [條件式存取] 索引標籤,以檢視所有已影響登入的原則,以及每個原則的結果。

條件式存取狀態所有可能的值為何?

條件式存取狀態可能會包含下列值:

  • 不適用:沒有任何條件式存取原則包含範圍中的使用者和應用程式。
  • 成功:有一個條件式存取原則包含範圍中的使用者和應用程式,而且成功地符合條件式存取原則。
  • 失敗:登入已滿足至少一項條件式存取原則的使用者和應用程式條件,而授與控制項並未滿足或設為封鎖存取。

條件式存取原則結果所有可能的值為何?

條件式存取原則可能會包含下列結果:

  • 成功:已成功地符合原則。
  • 失敗:不符合原則。
  • 未套用:可能不符合原則條件。
  • 未啟用:原則可能處於已停用狀態。

登入記錄中的原則名稱不符合條件式存取中的原則名稱。 為什麼?

登入記錄中的原則名稱是以登入時的條件式存取原則名稱為基礎。 如果您已在登入之後更新原則名稱,則名稱可能會與條件式存取中的原則名稱不一致。

我的登入已因條件式存取原則而遭到封鎖,但登入記錄顯示登入成功。 為什麼?

目前,套用條件式存取時,登入記錄可能不會顯示 Exchange ActiveSync 案例的準確結果。 可能的情況為報告中的登入結果顯示成功登入時,但登入實際因原則而失敗。

為什麼 Windows 登入或 Windows Hello 企業版會在登入記錄詳細資料的 [條件式存取] 索引標籤上顯示為「超出範圍」或「不適用」?

條件式存取原則不適用於 Windows 登入或 Windows Hello 企業版。 條件式存取原則會保護對雲端資源的登入嘗試,而不是 Windows 登入程序。

Microsoft Graph API

我目前使用 `https://graph.windows.net/<tenant-name>/reports/` 端點 API,並以程式設計方式將 Microsoft Entra 稽核和整合式應用程式使用方式報告提取到我們的報告系統。 我應該切換至哪個項目?

請查閱 API 參考,以查看您可以如何使用 API 來存取活動記錄。 此端點有兩個報告 (稽核登入),提供您在舊有 API 端點中取得的所有資料。 這個新端點也有 Microsoft Entra ID P1 或 P2 授權的登入報告,而您可以用此報告來取得應用程式使用方式、裝置使用方式和使用者登入資訊。

我目前使用 `https://graph.windows.net/<tenant-name>/reports/` 端點 API,以程式設計方式將 Microsoft Entra 安全性報告 (認證洩漏或匿名 IP 位址登入這類特定類型的偵測) 提取至我們的報告系統。 我應該切換至哪個項目?

您可以使用 Identity Protection 風險偵測 API,以透過 Microsoft Graph 來存取安全性偵測。 這個新格式可讓您在如何查詢資料方面有更大的彈性。 此格式提供進階篩選和欄位選取,並將風險偵測標準化為一種類型,以更輕鬆地整合至 SIEM 和其他資料收集工具。 由於資料的格式不同,您無法以新查詢替換舊查詢。 不過,新 API 會使用 Microsoft Graph,這是 Microsoft 365 或 Microsoft Entra ID 這類 API 的 Microsoft 標準。 因此所需的工作可以擴充您目前的 Microsoft Graph 投資,或協助您開始轉換至新的標準平台。

我在執行查詢時持續收到權限錯誤。 我認為我已有適當的角色。

您可能需要與 Microsoft Entra 系統管理中心分開登入 Microsoft Graph。 選取右上角的設定檔圖示,然後登入正確的目錄。 您可能正在嘗試執行沒有權限的查詢。 選取 [修改權限],然後選取 [同意] 按鈕。 遵循登入提示。

為什麼有未與服務主體登入相互關聯的 'MicrosoftGraphActivityLogs' 事件?

每次使用權杖來呼叫 Microsoft Graph 端點時,都會使用該呼叫來更新 MicrosoftGraphActivityLogs。 其中一些呼叫是第一方僅限應用程式呼叫,而這些並不會發佈至服務主體登入記錄。 MicrosoftGraphActivityLogs 顯示您無法在登入記錄中找到的 uniqueTokenIdentifier 時,權杖識別碼會參考第一方僅限應用程式權杖。

建議

為什麼「已完成」的建議會變更回「使用中」?

如果服務針對標示為「已完成」的某個項目偵測到與該建議相關的活動,則會自動變更回「使用中」。