Che cosa sono i log di accesso di Microsoft Entra?

Microsoft Entra registra tutti gli accessi in un tenant di Microsoft Entra, che include le app e le risorse interne. In qualità di amministratore IT, è necessario conoscere i valori nei log di accesso, in modo da poter interpretare correttamente i valori del log.

La revisione degli errori di accesso e dei modelli fornisce informazioni utili sul modo in cui gli utenti accedono ad applicazioni e servizi. I log di accesso forniti da Microsoft Entra ID sono un potente tipo di log attività che è possibile analizzare. Questo articolo descrive diversi aspetti chiave dei log di accesso.

Sono disponibili anche altri due log attività per monitorare l'integrità del tenant:

  • Audit: informazioni sulle modifiche applicate al tenant, ad esempio utenti e gestione dei gruppi o aggiornamenti applicati alle risorse del tenant.
  • Provisioning – attività eseguite da un servizio di provisioning, ad esempio la creazione di un gruppo in ServiceNow o di un utente importato da Workday.

Requisiti di licenza e ruoli

I ruoli e le licenze necessari variano in base al report. Sono necessarie autorizzazioni separate per accedere ai dati di monitoraggio e integrità in Microsoft Graph. È consigliabile usare un ruolo con accesso con privilegi minimi per allinearsi alle linee guida Zero Trust. Per un elenco completo dei ruoli, vedere Ruoli con privilegi minimi per attività.

Log/Report Ruoli Licenze
Log di audit Lettore di report
Ruolo con autorizzazioni di lettura per la sicurezza
Amministratore della sicurezza
Tutte le edizioni di Microsoft Entra ID
Log di accesso Lettore di report
Ruolo con autorizzazioni di lettura per la sicurezza
Amministratore della sicurezza
Tutte le edizioni di Microsoft Entra ID
Log di provisioning Lettore di report
Ruolo con autorizzazioni di lettura per la sicurezza
Amministratore applicazione
Amministratore app cloud
Microsoft Entra ID P1 o P2
Log di audit degli attributi di sicurezza personalizzati* Amministratore log attributi
Lettore log attributi
Tutte le edizioni di Microsoft Entra ID
Integrità Lettore di report
Ruolo con autorizzazioni di lettura per la sicurezza
Amministratore del supporto tecnico
Microsoft Entra ID P1 o P2
Microsoft Entra ID Protection** Amministratore della sicurezza
Operatore per la sicurezza
Ruolo con autorizzazioni di lettura per la sicurezza
Ruolo con autorizzazioni di lettura globali
Microsoft Entra ID gratis
App di Microsoft 365
Microsoft Entra ID P1 o P2
Log attività di Microsoft Graph Amministratore della sicurezza
Autorizzazioni per accedere ai dati nella destinazione log corrispondente
Microsoft Entra ID P1 o P2
Utilizzo e informazioni dettagliate Lettore di report
Ruolo con autorizzazioni di lettura per la sicurezza
Amministratore della sicurezza
Microsoft Entra ID P1 o P2

*La visualizzazione degli attributi di sicurezza personalizzati nei log di audit o la creazione di impostazioni di diagnostica per gli attributi di sicurezza personalizzati richiede uno dei ruoli Log attributi. È inoltre necessario il ruolo appropriato per visualizzare i log di audit standard.

**Il livello di accesso e funzionalità per l Microsoft Entra ID Protection varia in base al ruolo e alla licenza. Per altre informazioni, vedere i requisiti di licenza per lID Protection.

Cosa è possibile fare con i log di accesso?

È possibile usare i log di accesso per rispondere a domande come:

  • Quanti utenti hanno eseguito l'accesso a una determinata applicazione questa settimana?
  • Quanti tentativi di accesso non riusciti si sono verificati nelle ultime 24 ore?
  • Gli utenti accedono da browser o sistemi operativi specifici?
  • Quale delle risorse di Azure è stato eseguito tramite identità gestite e entità servizio?

È anche possibile descrivere l'attività associata a una richiesta di accesso identificando i dettagli seguenti:

  • Chi : identità (utente) che esegue l'accesso.
  • Come : client (applicazione) usato per l'accesso.
  • Cosa : destinazione (risorsa) a cui l'identità accede.

Come si accede ai log di accesso?

Vi sono diversi modi per accedere ai log, a seconda delle esigenze. Per altre informazioni, vedere Come accedere ai log attività.

Per visualizzare i log di accesso dall'interfaccia di amministrazione di Microsoft Entra:

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra almeno con il ruolo Lettore report.
  2. Passare a Identità>Monitoraggio e integrità>Log di accesso.

Per usare in modo più efficace i log di accesso nell'interfaccia di amministrazione di Microsoft Entra, adattare i filtri in modo da visualizzare solo un set specifico di log. Per altre informazioni, vedere Filtrare log di accesso.

Quali sono i tipi di log di accesso?

Esistono quattro tipi di log nell'anteprima dei log di accesso:

I log di accesso classici includono solo accessi utente interattivi.

Nota

Le voci nel log di accesso sono generate dal sistema e non possono essere modificate o eliminate.

Dati di accesso usati da altri servizi

I dati di accesso vengono usati da diversi servizi in Azure e Microsoft Entra per monitorare gli accessi a rischio, fornire informazioni dettagliate sull'utilizzo delle applicazioni e altro ancora.

Microsoft Entra ID Protection

La visualizzazione dei dati di log di accesso correlata agli accessi a rischio è disponibile nella panoramica di Microsoft Entra ID Protection, che usa i dati seguenti:

  • Utenti a rischio
  • Accessi utente rischiosi
  • Identità dei carichi di lavoro a rischio

Per altre informazioni sugli strumenti Microsoft Entra ID Protection, vedere la panoramica di Microsoft Entra ID Protection.

Utilizzo e informazioni dettagliate di Microsoft Entra

Per visualizzare i dati di accesso specifici dell'applicazione, passare a Microsoft Entra ID>Monitoraggio e integrità>Utilizzo e Insights. Questi report forniscono un'analisi più approfondita degli accessi per l'attività dell'applicazione Microsoft Entra e l'attività dell'applicazione AD FS. Per ulteriori informazioni, vedere Utilizzo e Insights su Microsoft Entra.

Screenshot del report Utilizzo e informazioni dettagliate.

Sono disponibili diversi report in Utilizzo e Insights. Alcuni di questi report sono in anteprima.

  • Attività dell'applicazione Microsoft Entra (anteprima)
  • Attività dell'applicazione AD FS
  • Attività dei metodi di autenticazione
  • Log di accesso delle entità servizio
  • Attività delle credenziali dell'applicazione

Log attività di Microsoft 365

È possibile visualizzare i log attività di Microsoft 365 dall'interfaccia di amministrazione di Microsoft 365. Le attività di Microsoft 365 e i log attività di Microsoft Entra condividono un numero significativo di risorse della directory. Solo l'interfaccia di amministrazione di Microsoft 365 offre una visualizzazione completa dei log attività di Microsoft 365.

È possibile accedere ai log attività di Microsoft 365 a livello programmatico tramite le API di gestione di Office 365.