Was sind nicht interaktive Benutzeranmeldungen in Microsoft Entra?

Microsoft Entra Monitoring und Health bietet mehrere Arten von Anmeldeprotokollen, die Ihnen helfen, den Zustand Ihres Mandanten zu überwachen. Nicht interaktive Anmeldungen sind eine Teilmenge der Benutzeranmeldungsprotokolle im Microsoft Entra Admin Center.

Was ist eine nicht-interaktive Benutzeranmeldung?

Nicht interaktive Anmeldungen werden im Namen von Benutzers*innen vorgenommen. Diese delegierten Anmeldungen wurden von einer Client-App oder Betriebssystemkomponenten im Namen von Benutzer*innen durchgeführt und erfordern keine durch die Benutzer*innen angegebene Authentifizierungsfaktoren. Stattdessen erkennt Microsoft Entra ID, wann die Token der Benutzer*innen aktualisiert werden müssen. Dies geschieht im Hintergrund, ohne die Benutzersitzung zu unterbrechen. Vom Benutzer werden diese Anmeldungen im Allgemeinen als im Hintergrund durchgeführte Vorgänge wahrgenommen.

Screenshot des nicht-interaktiven Benutzeranmeldeprotokolls.

Protokolldetails

Berichtsgröße: Groß
Beispiele:

  • Eine Client-App verwendet ein OAuth 2.0-Aktualisierungstoken zum Abrufen eines Zugriffstokens.
  • Ein Client verwendet einen OAuth 2.0-Autorisierungscode zum Abrufen eines Zugriffstokens und Aktualisierungstokens.
  • Ein Benutzer führt einmaliges Anmelden (Single Sign-On, SSO) bei einer Web- oder Windows-App auf einem in Microsoft Entra beigetretenen PC aus (ohne dass ein Authentifizierungsfaktor bereitgestellt oder mit einer Microsoft Entra-Eingabeaufforderung interagiert wird).
  • Ein Benutzer meldet sich bei einer zweiten Microsoft Office-App an, während er auf einem mobilen Gerät mit FOCI (Family of Client IDs) an einer Sitzung teilnimmt.

Zusätzlich zu den Standardfeldern werden im Protokoll zu nicht interaktiven Anmeldungen auch folgende Informationen angezeigt:

  • Ressourcen-ID
  • Anzahl von gruppierten Anmeldungen

Sie können die in diesem Bericht gezeigten Felder nicht anpassen.

Hinweis

Einträge in den Anmeldeprotokollen werden vom System generiert und können nicht geändert oder gelöscht werden.

Wie funktioniert dies?

Um die Verarbeitung der Daten zu vereinfachen, werden nicht interaktive Anmeldeereignisse gruppiert. Clients erstellen oft innerhalb eines kurzen Zeitraums viele nicht interaktive Anmeldungen im Namen desselben Benutzers. Die nicht interaktiven Anmeldungen weisen mit Ausnahme der Uhrzeit des Anmeldeversuchs die gleichen Merkmale auf. Beispielsweise kann ein Client im Namen eines Benutzers einmal pro Stunde ein Zugriffstoken abrufen. Wenn sich der Status des Benutzers oder Clients nicht ändert, sind die IP-Adresse, die Ressource und alle anderen Informationen bei jeder Zugriffstokenanforderung identisch. Nur das Datum und die Uhrzeit der Anmeldung ändern sich.

Screenshot: Aggregierte Anmeldung, die zum Anzeigen aller Zeilen expandiert wurde.

Wenn Microsoft Entra mehrere Anmeldungen protokolliert, die bis auf Datum und Uhrzeit identisch sind, stammen diese Anmeldungen von derselben Entität und werden in einer einzigen Zeile aggregiert. In einer Zeile mit mehreren identischen Anmeldungen – mit Ausnahme von Datum und Uhrzeit der Ausstellung – enthält die Spalte Anzahl der Anmeldungen einen Wert größer als 1. Diese aggregierten Anmeldungen können dem Anschein nach auch die gleichen Zeitstempel haben. Der Filter Zeitaggregat kann auf 1 Stunde, 6 Stunden oder 24 Stunden festgelegt werden. Sie können die Zeile erweitern, um alle unterschiedlichen Anmeldungen und deren unterschiedliche Zeitstempel anzuzeigen.

Anmeldungen werden in den nicht interaktiven Benutzern aggregiert, wenn die folgenden Daten übereinstimmen:

  • Anwendung
  • Benutzer
  • IP-Adresse
  • Status
  • Ressourcen-ID

Hinweis

Die IP-Adresse nicht interaktiver Anmeldungen, die von vertraulichen Clients durchgeführt werden, stimmt nicht mit der tatsächlichen Quell-IP-Adresse überein, von der die Aktualisierungstokenanforderung stammt. Stattdessen wird die ursprüngliche IP-Adresse für die ursprüngliche Tokenausstellung gezeigt.