Что такое журналы входа в Microsoft Entra?
Microsoft Entra регистрирует все входы в клиент Microsoft Entra, который включает внутренние приложения и ресурсы. Ит-администратор должен знать, какие значения в журналах входа означают, чтобы вы могли правильно интерпретировать значения журнала.
Проверка ошибок входа и шаблонов дает ценные сведения о том, как пользователи получают доступ к приложениям и службам. Журналы входа, предоставляемые идентификатором Microsoft Entra, являются мощным типом журнала действий, который можно проанализировать. В этой статье описывается несколько ключевых аспектов журналов входа.
Также доступны два других журнала действий, которые помогут отслеживать работоспособность клиента:
- Аудит — сведения об изменениях, примененных к клиенту, например об управлении пользователями и группами или обновлениях, применяемых к ресурсам клиента.
- Подготовка — действия, выполняемые службой подготовки, например создание группы в ServiceNow или пользователь, импортированный из Workday.
Требования к лицензии и роли
Требуемые роли и лицензии зависят от отчета. Для доступа к данным мониторинга и работоспособности в Microsoft Graph требуются отдельные разрешения. Мы рекомендуем использовать роль с минимальными привилегиями для согласования с руководством по нулю доверия. Полный список ролей см. в разделе "Наименее привилегированные роли по задачам".
| Журнал или отчет | Роли | Лицензии |
|---|---|---|
| Журналы аудита | Средство чтения отчетов Средство чтения безопасности Администратор безопасности |
Все выпуски идентификатора Microsoft Entra |
| Журналы входа | Средство чтения отчетов Средство чтения безопасности Администратор безопасности |
Все выпуски идентификатора Microsoft Entra |
| Журналы подготовки | Средство чтения отчетов Средство чтения безопасности Администратор приложений Администратор облачных приложений |
Идентификатор Microsoft Entra P1 или P2 |
| Журналы аудита настраиваемых атрибутов безопасности* | Администратор журнала атрибутов Читатель журналов атрибутов |
Все выпуски идентификатора Microsoft Entra |
| Здоровье | Средство чтения отчетов Средство чтения безопасности Администратор службы технической поддержки |
Идентификатор Microsoft Entra P1 или P2 |
| Защита идентификации Microsoft Entra** | Администратор безопасности Оператор безопасности Средство чтения безопасности Глобальный читатель |
Бесплатный идентификатор Microsoft Entra Приложения Microsoft 365 Идентификатор Microsoft Entra P1 или P2 |
| Журналы действий Microsoft Graph | Администратор безопасности Разрешения на доступ к данным в соответствующем назначении журнала |
Идентификатор Microsoft Entra P1 или P2 |
| Использование и аналитические сведения | Средство чтения отчетов Средство чтения безопасности Администратор безопасности |
Идентификатор Microsoft Entra P1 или P2 |
*Просмотр настраиваемых атрибутов безопасности в журналах аудита или создание параметров диагностики для настраиваемых атрибутов безопасности требует одной из ролей журнала атрибутов. Вам также нужна соответствующая роль для просмотра стандартных журналов аудита.
**Уровень доступа и возможностей для Защита идентификации Microsoft Entra зависит от роли и лицензии. Дополнительные сведения см. в требованиях к лицензии для защиты идентификаторов.
Что можно сделать с журналами входа?
Журналы входа можно использовать для ответов на такие вопросы, как:
- Сколько пользователей вошли в определенное приложение на этой неделе?
- Сколько неудачных попыток входа произошло за последние 24 часа?
- Входят ли пользователи из определенных браузеров или операционных систем?
- К каким из моих ресурсов Azure обращаются управляемые удостоверения и субъекты-службы?
Вы также можете описать действие, связанное с запросом на вход, идентифицируя следующие сведения:
- Кто — удостоверение (пользователь), выполняющее вход.
- Практическое руководство . Клиент (приложение), используемый для входа.
- Что — целевой объект (ресурс), к которым обращается удостоверение.
Как получить доступ к журналам входа?
Существует несколько способов доступа к журналам в зависимости от ваших потребностей. Дополнительные сведения см. в разделе "Доступ к журналам действий".
Чтобы просмотреть журналы входа из Центра администрирования Microsoft Entra, выполните следующие действия.
- Войдите в Центр администрирования Microsoft Entra как минимум средство чтения отчетов.
- Перейдите к журналам мониторинга удостоверений и работоспособности>>входа.
Чтобы эффективнее использовать журналы входа в Центре администрирования Microsoft Entra, настройте фильтры только для просмотра определенного набора журналов. Дополнительные сведения см. в журналах входа в фильтр.
Каковы типы журналов входа?
Существует четыре типа журналов в предварительной версии журналов входа:
- Интерактивные входы пользователей
- Неинтерактивные входы пользователей
- Вход субъекта-службы
- Входы с управляемыми удостоверениями
Классические журналы входа включают только интерактивные входы пользователей.
Заметка
Записи в журналах входа создаются системой и не могут быть изменены или удалены.
Данные входа, используемые другими службами
Данные входа используются несколькими службами в Azure и Microsoft Entra для мониторинга рискованных входов, предоставления сведений об использовании приложений и т. д.
Защита идентификации Microsoft Entra
Визуализация данных журнала входа, относящаяся к рискованным входам, доступна в Защита идентификации Microsoft Entra обзоре, в котором используются следующие данные:
- Рискованные пользователи
- Рискованные входы пользователей
- Удостоверения рискованных рабочих нагрузок
Дополнительные сведения о средствах Защита идентификации Microsoft Entra см. в Защита идентификации Microsoft Entra обзоре.
Использование и аналитика Microsoft Entra
Чтобы просмотреть данные входа, относящиеся к приложению, перейдите к сведениям о мониторинге идентификатора Microsoft Entra ID>и аналитике работоспособности.> Эти отчеты содержат более подробный обзор действий приложений Microsoft Entra и действий приложений AD FS. Дополнительные сведения см. в статье Об использовании и использовании Microsoft Entra.
Существует несколько отчетов, доступных в аналитике использования и аналитики. Некоторые из этих отчетов доступны в предварительной версии.
- Действие приложения Microsoft Entra (предварительная версия)
- Действие приложения AD FS
- Действие методов проверки подлинности
- Действие входа субъекта-службы
- Действие учетных данных приложения
Журналы действий Microsoft 365
Журналы действий Microsoft 365 можно просмотреть из Центр администрирования Microsoft 365. Действия Microsoft 365 и журналы действий Microsoft Entra используют значительное количество ресурсов каталога. Только Центр администрирования Microsoft 365 предоставляет полное представление журналов действий Microsoft 365.
Журналы действий Microsoft 365 можно получить программным способом с помощью API управления Office 365.