Informazioni sui dettagli dell'attività del log di accesso
Microsoft Entra registra tutti gli accessi in un tenant di Azure a scopo di conformità. In qualità di amministratore IT, è necessario conoscere i valori nei log di accesso, in modo da poter interpretare correttamente i valori del log.
Questo articolo illustra i valori nella scheda Informazioni di base del log di accesso.
La scheda Informazioni di base contiene la maggior parte dei dettagli visualizzati anche nella tabella. È possibile avviare la diagnostica di accesso dalla scheda Informazioni di base. Per altre informazioni, vedere Come usare la diagnostica di accesso.
Codice degli errori di accesso
Se un accesso non è riuscito, è possibile ottenere altre informazioni sul motivo nella scheda Informazioni di base dell'elemento di log correlato. Il codice di errore e il motivo dell'errore associato vengono visualizzati nei dettagli. Per altre informazioni, vedere Come risolvere gli errori di accesso.
Identificatori univoci
In Microsoft Entra ID, un accesso alle risorse ha tre componenti rilevanti:
- Chi: l'identità (utente) che esegue l'accesso.
- Procedura: client (applicazione) usato per l'accesso.
- Cosa: destinazione (risorsa) a cui accede l'identità.
Ogni componente ha un identificatore univoco associato (ID).:
Requisito di autenticazione: mostra il livello di autenticazione più elevato necessario tramite tutti i passaggi di accesso per il corretto accesso.
- L'API Graph supporta
$filter
solo gli operatori eeq
startsWith
.
- L'API Graph supporta
Valutazione dell'accesso condizionale: indica se è stata applicata la valutazione dell'accesso continuo (CAE) all'evento di accesso.
- Sono presenti più richieste di accesso per ogni autenticazione, che possono essere visualizzate nelle schede interattive o non interattive.
- CaE viene visualizzato solo come true per una delle richieste e può essere visualizzato nella scheda interattiva o nella scheda non interattiva.
- Per altre informazioni, vedere Monitorare e risolvere i problemi di accesso con la valutazione dell'accesso continuo in Microsoft Entra ID.
ID correlazione: l'ID correlazione raggruppa gli accessi dalla stessa sessione di accesso. Il valore è basato sui parametri passati da un client, pertanto potrebbe non garantire la precisione dell'ID Di Microsoft Entra.
Tipo di accesso tra tenant: descrive il tipo di accesso tra tenant usato dall'attore per accedere alla risorsa. I valori possibili sono:
none
- Evento di accesso che non ha superato i limiti di un tenant di Microsoft Entra.b2bCollaboration
- Accesso tra tenant eseguito da un utente guest tramite Collaborazione B2B.b2bDirectConnect
- Accesso tra tenant eseguito da un B2B.microsoftSupport
- Accesso tra tenant eseguito da un agente di supporto Microsoft in un tenant del cliente Microsoft.serviceProvider
- Accesso tra tenant eseguito da un provider di servizi cloud (CSP) o da un amministratore simile per conto del cliente di tale provider di servizi cloud in un tenantunknownFutureValue
- Valore sentinel usato da MS Graph per consentire ai client di gestire le modifiche negli elenchi di enumerazioni. Per altre informazioni, vedere Procedure consigliate per l'uso di Microsoft Graph.- Se l'accesso non ha superato i limiti di un tenant, il valore è
none
.
ID richiesta: identificatore che corrisponde a un token rilasciato. Se si cercano gli accessi con un token specifico, è prima necessario estrarre l'ID richiesta dal token.
Accesso: stringa fornita dall'utente all'ID Entra di Microsoft per identificarsi durante il tentativo di accesso. Si tratta in genere di un nome dell'entità utente (UPN), ma può essere un altro identificatore, ad esempio un numero di telefono.
Tipi di evento di accesso: indica la categoria dell'evento di accesso rappresentato dall'evento.
- La categoria di accessi utente può essere
interactiveUser
ononInteractiveUser
e corrisponde al valore della proprietà isInteractive nella risorsa di accesso. - La categoria di identità gestita è
managedIdentity
. - La categoria dell'entità servizio è servicePrincipal.
- Il portale di Azure non mostra questo valore, ma l'evento di accesso viene inserito nella scheda corrispondente al tipo di evento di accesso. I valori possibili sono:
interactiveUser
nonInteractiveUser
servicePrincipal
managedIdentity
unknownFutureValue
- L'API Microsoft Graph supporta:
$filter
(eq
solo operatore).
- La categoria di accessi utente può essere
Tenant: il log di accesso tiene traccia di due identificatori del tenant:
- Tenant principale: tenant proprietario dell'identità utente. Microsoft Entra ID tiene traccia dell'ID e del nome.
- Tenant della risorsa: tenant proprietario della risorsa (destinazione).
- Questi identificatori sono rilevanti negli scenari tra tenant.
- Ad esempio, per scoprire come gli utenti esterni al tenant accedono alle risorse, selezionare tutte le voci in cui il tenant principale non corrisponde al tenant della risorsa.
Tipo di utente: tipo di utente.
- Gli esempi includono
member
,guest
oexternal
.
- Gli esempi includono
Considerazioni per i log di accesso
Gli scenari seguenti sono importanti da considerare quando si esaminano i log di accesso.
Indirizzo IP e posizione: non esiste una connessione definitiva tra un indirizzo IP e la posizione fisica del computer con tale indirizzo. Provider di dispositivi mobili e VPN rilasciano indirizzi IP da pool centrali che spesso sono lontani da dove viene effettivamente usato il dispositivo client. Attualmente, la conversione di un indirizzo IP in una posizione fisica è un'approssimazione basata su tracce, dati del Registro di sistema, ricerche inverse e altre informazioni.
Accesso condizionale:
- Non applicato: nessun criterio applicato all'utente e all'applicazione durante l'accesso.
- Operazione riuscita: uno o più criteri di accesso condizionale applicati o sono stati valutati per l'utente e l'applicazione (ma non necessariamente le altre condizioni) durante l'accesso. Anche se un criterio di accesso condizionale potrebbe non essere applicato, se è stato valutato, lo stato dell'accesso condizionale mostra Operazione riuscita.
- Errore: l'accesso ha soddisfatto la condizione dell'utente e dell'applicazione di almeno un criterio di accesso condizionale e i controlli di concessione non sono soddisfatti o impostati per bloccare l'accesso.
Nome tenant home: a causa degli impegni di privacy, Microsoft Entra ID non popola il campo del nome del tenant principale durante gli scenari tra tenant.
Autenticazione a più fattori: quando un utente esegue l'accesso con MFA, vengono effettivamente verificati diversi eventi MFA separati. Ad esempio, se un utente immette il codice di convalida errato o non risponde in tempo, vengono inviati altri eventi MFA per riflettere lo stato più recente del tentativo di accesso. Questi eventi di accesso vengono visualizzati come una voce nei log di accesso di Microsoft Entra. Lo stesso evento di accesso in Monitoraggio di Azure, tuttavia, viene visualizzato come più voci. Tutti questi eventi hanno lo stesso
correlationId
oggetto .