使用登入記錄調查驗證問題
Microsoft 365 系統管理員和 IT 系統管理員負責瞭解其 IT 環境的執行方式。 其系統健康情況的相關資訊可讓他們評估他們是否應回應潛在問題及如何回應。
為支援此目標,Microsoft Entra 系統管理中心提供系統管理員三個活動記錄的存取權:
- 登入記錄。 提供登入以及使用者如何使用組織資源的相關資訊。
- 稽核記錄。 提供適用於公司租用戶之變更的相關資訊。 例如,使用者和群組管理,或適用於租用戶資源的更新。
- 佈建記錄。 提供佈建服務所執行的活動清單。 例如,在 ServiceNow 中建立群組或從 Workday 匯入的使用者。
本單元提供登入記錄的概觀。 如需稽核記錄和佈建記錄的詳細資訊,請參閱:
登入記錄概觀
Microsoft Entra ID 會將所有使用者登入記錄到 Azure 租用戶中,其中包含您的內部應用程式和資源。 身為 IT 系統管理員,請務必瞭解記錄檔中追蹤的值,以便正確解譯這些值。 檢閱登入錯誤和模式,可提供您的使用者存取應用程式和服務之方式的實用深入解析。 Microsoft Entra ID 提供的登入記錄是一種功能強大的 活動記錄 類型,可供您分析。 登入記錄的預覽檢視包含互動式和非互動式使用者登入,以及服務主體和受控識別登入。您仍然可以檢視只包含互動式登入的傳統登入記錄。
組織可以使用登入記錄來回答問題,例如:
- 本週有多少使用者登入特定應用程式?
- 過去 24 小時內有多少次失敗的登入嘗試?
- 使用者是否從特定瀏覽器或作業系統登入?
- 哪一個公司的 Azure 資源會存取受控識別和服務主體?
您也可以識別下列詳細資料來描述與登入要求相關聯的活動:
- 人員 - 執行登入的身分識別 (使用者)。
- 方式 - 用於登入的用戶端 (應用程式)。
- 內容 - 身分識別存取的目標 (資源)。
登入事件 頁面中有四種記錄類型:
- 互動式使用者登入
- 非互動式使用者登入
- 服務主體登入
- 受控識別登入
傳統登入記錄只包含互動式使用者登入。
注意事項
登入記錄中的項目由系統產生。 系統管理員無法變更或刪除它們。
互動式使用者登入
使用者會執行互動式登入。這種類型的登入事件為 Microsoft Entra ID 提供驗證因素,這也可以與協助程式應用程式 (例如 Microsoft Authenticator 應用程式) 進行互動。 使用者可以提供密碼、MFA 挑戰的回應、生物特徵辨識因素,或供 Microsoft Entra ID 或協助程式應用程式使用的 QR 代碼。 此記錄也包含來自與 Microsoft Entra ID 同盟之身分識別提供者的同盟登入。
此記錄中顯示的互動式使用者登入事件類型範例包括:
- 使用者在 Microsoft Entra 登入畫面中提供使用者名稱和密碼。
- 使用者通過 SMS MFA 挑戰。
- 使用者提供生物特徵辨識手勢,以解除鎖定其具有 Windows Hello 企業版的 Windows 電腦。
- 使用者與具有 AD FS SAML 聲明的 Microsoft Entra ID 建立同盟。
除了預設欄位之外,互動式登入記錄也會顯示:
- 登入位置
- 條件式存取是否適用
系統管理員應注意互動式使用者登入記錄的已知限制,包括:
- 互動式登入記錄上的非互動式登入。 先前,互動式使用者登入記錄包含一些來自 Microsoft Exchange 用戶端的非互動式登入,以獲得更佳的可見度。 在 Microsoft 於 2020 年 11 月引進非互動式使用者登入記錄之前,系統必須提高可見度。 不過,請務必注意,系統可能仍會將某些非互動式登入 (例如使用 FIDO2 金鑰的登入) 標示為互動式登入。 如果發生這種情況,這是因為 Microsoft 在引進個別的非互動式記錄之前,會先設定記錄。 這些登入可能會顯示互動式詳細資料,例如用戶端認證類型和瀏覽器資訊 (即使登入在技術上為非互動式)。
- 傳遞登入。Microsoft Entra ID 會針對驗證和授權發佈權杖。 請考慮已登入 Contoso 租用戶的使用者嘗試存取 Fabrikam 租用戶中的資源,而該使用者卻沒有存取權的情況。 系統會發佈名為傳遞權杖的無授權權杖給 Fabrikam 租用戶。 傳遞權杖不允許使用者存取任何資源。 當您檢閱此情況的記錄時,主租用戶 (在此案例中為 Contoso) 的登入記錄不會顯示登入嘗試,因為系統並未根據主租用戶的原則評估權杖。 系統只會使用登入權杖來顯示適當的失敗訊息。 因此,在主租用戶記錄中不會記錄此案例的登入嘗試。
- 第一方、僅限應用程式的服務主體登入。服務主體登入記錄不包含第一方、僅限應用程式的登入活動。 當第一方應用程式取得內部 Microsoft 作業的權杖,而其中沒有來自使用者的指導或內容時,就會發生這種類型的活動。 我們會排除這些記錄,因此您不會支付與租用戶內部 Microsoft 權杖相關的記錄。 如果您要將具有 SignInLogs 的 MicrosoftGraphActivityLogs 路由傳送至相同的 Log Analytics 工作區,您可以識別與服務主體登入沒有關聯的 Microsoft Graph 事件。 此整合可讓您交叉參考針對 Microsoft Graph API 呼叫所發佈的權杖與登入活動。 登入記錄的 UniqueTokenIdentifier 和 Microsoft Graph 活動記錄中的 SignInActivityId 會從服務主體登入記錄中遺失。
非互動式使用者登入
當用戶端應用程式或作業系統元件代表使用者執行委派的登入時,就會發生非互動式登入。 因此,他們不需要使用者提供驗證因素。 相反地,Microsoft Entra ID 會識別必須重新整理使用者權杖的時機,並在幕後執行該作業,而不中斷使用者的工作階段。 一般而言,使用者會認為這些登入是在背景中發生。
此記錄中顯示的非互動式使用者登入事件類型範例包括:
- 用戶端應用程式會使用 OAuth 2.0 重新整理權杖來取得存取權杖。
- 用戶端會使用 OAuth 2.0 授權碼來取得存取權杖並重新整理權杖。
- 使用者在加入 Microsoft Entra 的電腦上對 Web 或 Windows 應用程執行單一登入 (SSO) (而不提供驗證因素或與 Microsoft Entra 提示互動)。
- 使用者在行動裝置上具有使用 FOCI (用戶端識別碼系列) 的工作階段時,登入第二個 Microsoft Office 應用程式。
除了預設欄位之外,非互動式登入記錄也會顯示:
- 資源識別碼
- 群組登入的數目
您無法自訂此報告中顯示的欄位。
為了讓您更輕鬆地摘要資料,系統會將非互動式登入事件分組。 用戶端通常會在短時間內,代表相同的使用者,建立許多非互動式登入。 非互動式登入會共用相同的特性,但嘗試登入的情況除外。 例如,用戶端每小時會代表使用者收到一次存取權杖。 如果使用者或用戶端的狀態未變更,則每個存取權杖要求的 IP 位址、資源和所有其他資訊都相同。 唯一會變更的狀態是登入的日期和時間。
您可能會注意到 Microsoft Entra ID 記錄多個除時間和日期之外相同的登入。 這些登入來自相同的實體,並彙總成單一資料列。 具有多個相同登入的資料列 (但發佈日期和時間除外) 在 登入次數 資料行中的值大於一。 這些彙總的登入可能也會顯示為具有相同的時間戳。 [時間彙總] 篩選條件可以設定為 1 小時、6 小時或 24 小時。 您可以展開資料列,以查看所有不同的登入及其不同的時間戳。
當下列資料相符時,系統會在非互動式使用者中彙總登入:
- 應用程式
- 使用者
- IP 位址
- 狀態
- 資源識別碼
注意事項
機密用戶端 所執行的非互動式登入的 IP 位址不符合重新整理權杖要求所來自的實際來源 IP。 相反地,它會顯示原始權杖發佈所使用的原始 IP。
服務主體登入
不同於互動式和非互動式使用者登入,服務主體登入不會涉及使用者。 相反地,這些登入是由非使用者帳戶進行,例如應用程式或服務主體 (受控識別登入除外,這僅包含在受控識別登入記錄中)。 在這些登入中,應用程式或服務會提供自己的認證,例如用來驗證或存取資源的憑證或應用程式密碼。
此記錄中顯示的服務主體登入事件類型範例包括:
- 服務主體會使用憑證來驗證和存取 Microsoft Graph。
- 應用程式會使用用戶端密碼在 OAuth 用戶端認證流程中進行驗證。
您無法自訂此報告中顯示的欄位。
為了讓您更輕鬆地摘要服務主體登入記錄中的資料,系統會將服務主體登入事件分組。 在相同條件下,來自相同實體的登入會彙總成單一資料列。 您可以展開資料列,以查看所有不同的登入及其不同的時間戳。 當下列資料相符時,會在服務主體報告中彙總登入:
- 服務主體名稱或識別碼
- 狀態
- IP 位址
- 資源名稱或識別碼
受控識別登入
Azure 資源受控識別登入是由其秘密由 Azure 管理以簡化認證管理的資源所執行的登入。 具有受控認證的 VM 會使用 Microsoft Entra ID 來取得存取權杖。
您無法自訂此報告中顯示的欄位。
為了讓您更輕鬆地摘要資料,系統會將 Azure 資源受控識別登入記錄分組。 來自相同實體的登入會彙總成單一資料列。 您可以展開資料列,以查看所有不同的登入及其不同的時間戳。 當下列所有資料相符時,會在受控識別報告中彙總登入:
- 受控識別名稱或識別碼
- 狀態
- 資源名稱或識別碼
在清單檢視中選取項目,以在節點底下顯示所有分組的登入。 選取分組項目以查看登入的所有詳細資料。