Сведения о действиях журнала входа
Microsoft Entra регистрирует все входы в клиент Azure в целях соответствия требованиям. ИТ-администратор должен знать, на что указывают значения в журналах входа, чтобы правильно интерпретировать значения журнала.
В этой статье описываются значения, найденные в журналах входа. Эти значения содержат ценные сведения об устранении ошибок входа.
Компоненты действий входа
В идентификаторе Microsoft Entra действие входа состоит из трех основных компонентов:
- Кто: удостоверение (пользователь) выполняет вход.
- Практическое руководство. Клиент (приложение), используемый для доступа.
- Что: целевой объект (ресурс), к которым обращается удостоверение.
Сосредоточьтесь на этих трех компонентах при изучении входа, чтобы сузить поиск, чтобы вы не смотрели на все детали. В каждом из этих трех компонентов есть связанные идентификаторы, которые могут предоставить дополнительные сведения. Каждый вход также содержит уникальные идентификаторы, которые сопоставляют попытку входа с связанными действиями.
Кто
Следующие сведения связаны с пользователем:
- User
- Username
- Идентификатор пользователя
- Идентификатор входа
- Тип пользователя
Как
Как пользователь входит в систему, идентифицировать его, ознакомьтесь со следующими сведениями:
- Требование проверки подлинности
- Клиентское приложение
- Тип учетных данных клиента
- Непрерывная оценка доступа
Какая
Вы можете определить ресурс, к который пользователь пытается получить доступ с помощью следующих сведений:
- Приложение
- Application ID
- Ресурс
- ИД ресурса
- ИД клиента ресурса
- Идентификатор субъекта-службы ресурсов
Уникальные идентификаторы
Журналы входа также содержат несколько уникальных идентификаторов, которые предоставляют дополнительные сведения о попытке входа.
- Идентификатор корреляции. Группы идентификаторов корреляции группирует входы из одного сеанса входа. Значение основано на параметрах, передаваемых клиентом, поэтому идентификатор Microsoft Entra не может гарантировать его точность.
- Идентификатор запроса: идентификатор, соответствующий выданному токену. Если вы ищете вход с определенным маркером, сначала необходимо извлечь идентификатор запроса из маркера.
- Уникальный идентификатор маркера: уникальный идентификатор маркера, переданный во время входа. Этот идентификатор используется для сопоставления входа с запросом маркера.
Сведения о действиях входа
Каждая попытка входа содержит сведения, связанные с этими тремя основными компонентами. Сведения упорядочены на несколько вкладок на основе типа входа.
Общие сведения
Вкладка "Основные сведения" содержит основную часть сведений, связанных с попыткой входа. Запишите уникальные идентификаторы, так как они могут потребоваться для устранения неполадок при входе. Вы можете следовать за тем, кто, как, какой шаблон, используя сведения на вкладке "Основные сведения".
Вы также можете запустить диагностику входа на вкладке "Основные сведения". Дополнительные сведения см. в разделе "Использование диагностики входа".
Коды ошибок входа
Если сбой входа, вы можете получить дополнительные сведения о причине на вкладке "Основные сведения" соответствующего элемента журнала. Код ошибки и связанная причина сбоя отображаются в подробных сведениях. Дополнительные сведения см. в разделе "Устранение неполадок при входе".
Расположение и устройство
На вкладках сведений о расположении и устройстве отображаются общие сведения о расположении и IP-адресе пользователя. Вкладка сведений об устройстве содержит сведения о браузере и операционной системе, используемой для входа. Эта вкладка также содержит сведения о том, соответствует ли устройство, управляется или присоединено к гибридному присоединению к Microsoft Entra.
Подробные сведения о проверке подлинности
Вкладка "Сведения о проверке подлинности" в журнале входа содержит следующие сведения для каждой попытки проверки подлинности:
- Список примененных политик проверки подлинности, таких как условный доступ или параметры безопасности по умолчанию.
- Последовательность методов проверки подлинности, используемых для входа.
- Если попытка проверки подлинности прошла успешно и причина.
Эти сведения позволяют устранять неполадки при каждом шаге входа пользователя. Используйте эти сведения для отслеживания:
- Объем входов, защищенных MFA.
- Показатели использования и успешности для каждого метода проверки подлинности.
- Использование методов проверки подлинности без пароля, таких как вход без пароля и FIDO2.
- Как часто требования к проверке подлинности удовлетворяются утверждениями маркеров, например, когда пользователям не предлагается ввести пароль или ввести SMS OTP.
Условный доступ
Если политики условного доступа (ЦС) используются в клиенте, вы можете увидеть, применены ли эти политики к попытке входа. Перечислены все политики, которые можно применить к входу. Конечный результат политики отображается, чтобы быстро увидеть, повлияла ли политика на попытку входа.
- Успешное выполнение. Политика ЦС была успешно применена к попытке входа.
- Сбой: политика ЦС была применена к попытке входа, но попытка входа завершилась ошибкой.
- Не применяется: вход не соответствует критериям применения политики.
- Отключено: политика была отключена во время попытки входа.
Только отчет
Так как политики условного доступа (ЦС) могут изменить интерфейс входа для пользователей и потенциально нарушить свои процессы, рекомендуется убедиться, что политика настроена правильно. В режиме только для отчетов можно настроить политику и оценить его потенциальный эффект перед включением политики.
На этой вкладке журналов входа отображаются результаты попыток входа, которые находились в области политики. Дополнительные сведения см. в статье "Что такое режим отчета условного доступа"?
Сведения о входе и рекомендации
Следующие сценарии важно учитывать при просмотре журналов входа.
IP-адрес и расположение: нет окончательного подключения между IP-адресом и местом, где компьютер с этим адресом находится физически. Поставщики мобильных устройств и виртуальные сети выдают IP-адреса из центральных пулов, которые часто находятся далеко от того, где используется клиентское устройство. Сейчас преобразование IP-адреса в физическое расположение не гарантируется и осуществляется на основе трассировок, данных реестра, обратных просмотров и других сведений.
Дата и время: дата и время попытки входа локализованы в часовой пояс для пользователя, выполнившего вход в Центр администрирования Microsoft Entra, а не пользователя, который пытался войти.
Условный доступ:
Not applied
: политика не применяется к пользователю и приложению во время входа.Success
: одна или несколько политик условного доступа, применяемых к пользователю и приложению (но не обязательно другие условия) во время входа. Несмотря на то, что политика условного доступа может не применяться, если она была оценена, состояние условного доступа показывает успешность.Failure
: вход удовлетворяет условию пользователя и приложения по крайней мере одной политики условного доступа и элементов управления предоставления либо не удовлетворены, либо заданы для блокировки доступа.- Условный доступ не применяется к входу в Windows, например Windows Hello для бизнеса. Условный доступ защищает попытки входа в облачные ресурсы, а не процесс входа устройства.
Оценка непрерывного доступа. Показывает, применена ли оценка непрерывного доступа (CAE) к событию входа.
- Существует несколько запросов на вход для каждой проверки подлинности, которые могут отображаться на интерактивных или неинтерактивных вкладках.
- CAE отображается только как true для одного из запросов, и он может отображаться на интерактивной вкладке или на неинтерактивной вкладке.
- Дополнительные сведения см. в статье "Мониторинг и устранение неполадок входа с помощью оценки непрерывного доступа" в идентификаторе Microsoft Entra.
Тип доступа между клиентами. Описывает тип доступа между клиентами, используемый субъектом для доступа к ресурсу. Возможны следующие значения:
none
— Событие входа, которое не пересекает границы клиента Microsoft Entra.b2bCollaboration
— вход между арендаторами, выполняемый гостевым пользователем с помощью службы "Совместная работа B2B".b2bDirectConnect
— вход между арендаторами, выполняемый службой B2B.microsoftSupport
— вход между клиентами, выполняемый агентом поддержки Майкрософт во внешнем клиенте Майкрософт.serviceProvider
— Межтенантный вход, выполняемый поставщиком облачных служб (CSP) или аналогичным администратором от имени клиента CSP в клиенте.unknownFutureValue
— контрольное значение, используемое MS Graph для помощи клиентам в обработке изменений в списках перечислений. Дополнительные сведения см. в статье Рекомендации по работе с Microsoft Graph.
Клиент. Журнал входа отслеживает два идентификатора клиента, которые относятся к сценариям между клиентами:
- главный арендатор — арендатор, которому принадлежит удостоверение пользователя. Идентификатор Microsoft Entra отслеживает идентификатор и имя.
- арендатор ресурсов — арендатор, которому принадлежит ресурс (целевой объект).
- В связи с обязательствами по конфиденциальности идентификатор Microsoft Entra не заполняет имя домашнего клиента во время сценариев между клиентами.
- Чтобы узнать, как пользователи за пределами клиента получают доступ к ресурсам, выберите все записи, в которых домашний клиент не соответствует клиенту ресурсов.
Многофакторная проверка подлинности. При входе пользователя с помощью MFA происходит несколько отдельных событий MFA. Например, если пользователь вводит неправильный код проверки или не отвечает вовремя, больше событий MFA отправляются, чтобы отразить последнее состояние попытки входа. Эти события входа отображаются как один элемент строки в журналах входа Microsoft Entra. Однако это же событие входа в Azure Monitor отображается в виде нескольких элементов строки. Все эти события одинаковы
correlationId
.Требование проверки подлинности. Показывает самый высокий уровень проверки подлинности, необходимый для успешного входа.
- API Graph поддерживает (
$filter
eq
иstartsWith
только операторы).
- API Graph поддерживает (
Типы событий входа: указывает категорию события входа.
- Категория входа пользователя может быть
interactiveUser
илиnonInteractiveUser
соответствует значению свойства isInteractive в ресурсе входа. - Категория управляемых удостоверений —
managedIdentity
это . - Категория субъекта-службы — servicePrincipal.
- API Microsoft Graph поддерживает:
$filter
(eq
только оператор). - Портал Azure не показывает это значение, однако событие входа в систему размещается на вкладке, соответствующей типу события входа в систему. Возможные значения:
interactiveUser
nonInteractiveUser
servicePrincipal
managedIdentity
unknownFutureValue
- Категория входа пользователя может быть
Тип пользователя: примеры включают
member
,guest
илиexternal
.Сведения о проверке подлинности:
- Код проверки OATH регистрируется как метод проверки подлинности для аппаратных и программных маркеров OATH (например, приложение Microsoft Authenticator).
- Вкладка сведений о проверке подлинности изначально может отображать неполные или неточные данные, пока данные журнала не будут полностью агрегированы. Известные примеры:
- Сообщение удовлетворено утверждением в маркере может отображаться ошибочно при первоначальной регистрации событий входа.
- Строка первичной проверки подлинности изначально не регистрируется.
- Если вы не уверены в деталях в журналах, соберите идентификатор запроса и идентификатор корреляции, чтобы использовать для дальнейшего анализа или устранения неполадок.
- Если применяются политики условного доступа для проверки подлинности или времени существования сеанса, они перечислены выше попыток входа. Если вы не видите ни одного из этих вариантов, эти политики в настоящее время не применяются. Дополнительные сведения см. в разделе "Элементы управления сеансами условного доступа".