Что такое журналы входа в Microsoft Entra?

Microsoft Entra регистрирует все входы в клиент Microsoft Entra, который включает внутренние приложения и ресурсы. В качестве ИТ-администратора необходимо знать, какие сведения о журнале входа означают, чтобы вы могли правильно интерпретировать значения журнала.

Проверка ошибок входа и шаблонов дает ценные сведения о том, как пользователи получают доступ к приложениям и службам. Журналы входа, предоставляемые идентификатором Microsoft Entra, являются мощным типом журнала действий, который можно проанализировать. В этой статье описывается несколько ключевых аспектов журналов входа.

Также доступны два других журнала действий, которые помогут отслеживать работоспособность клиента:

  • Аудит — сведения об изменениях, примененных к клиенту, например об управлении пользователями и группами или обновлениях, применяемых к ресурсам клиента.
  • Подготовка — действия, выполняемые службой подготовки, например создание группы в ServiceNow или пользователь, импортированный из Workday.

Что можно сделать с журналами входа?

Журналы входа можно использовать для ответов на такие вопросы, как:

  • Сколько пользователей вошли в определенное приложение на этой неделе?
  • Сколько неудачных попыток входа произошло за последние 24 часа?
  • Входят ли пользователи из определенных браузеров или операционных систем?
  • К каким из моих ресурсов Azure обращаются управляемые удостоверения и субъекты-службы?

Вы также можете описать действие, связанное с запросом на вход, идентифицируя следующие сведения:

  • кто — субъект (пользователь), выполняющий попытку входа;
  • Практическое руководство . Клиент (приложение), используемый для входа.
  • что — целевой объект (ресурс), к которому субъект осуществляет доступ.

Как получить доступ к журналам входа?

Существует несколько способов доступа к журналам в зависимости от ваших потребностей. Дополнительные сведения см. в разделе "Доступ к журналам действий".

Чтобы просмотреть журналы входа из Центра администрирования Microsoft Entra, выполните следующие действия.

  1. Войдите в Центр администрирования Microsoft Entra как минимум средство чтения отчетов.
  2. Перейдите к журналам мониторинга удостоверений и работоспособности>>входа.

Чтобы эффективнее использовать журналы входа в Центре администрирования Microsoft Entra, настройте фильтры только для просмотра определенного набора журналов. Дополнительные сведения см. в журналах входа в фильтр.

Каковы типы журналов входа?

Существует четыре типа журналов в предварительной версии журналов входа:

Классические журналы входа включают только интерактивные входы пользователей.

Ескерім

Записи в журналах входа создаются системой и не могут быть изменены или удалены.

Данные входа, используемые другими службами

Данные входа используются несколькими службами в Azure и Microsoft Entra для мониторинга рискованных входов, предоставления сведений об использовании приложений и т. д.

Защита идентификации Microsoft Entra

Визуализация данных журнала входа, относящаяся к рискованным входам, доступна в Защита идентификации Microsoft Entra обзоре, в котором используются следующие данные:

  • Пользователи, выполняющие рискованные действия
  • Рискованные входы пользователей
  • Удостоверения рискованных рабочих нагрузок

Дополнительные сведения о средствах Защита идентификации Microsoft Entra см. в Защита идентификации Microsoft Entra обзоре.

Использование и аналитика Microsoft Entra

Чтобы просмотреть данные входа, относящиеся к приложению, перейдите к сведениям о мониторинге идентификатора Microsoft Entra ID>и аналитике работоспособности.> Эти отчеты содержат более подробный обзор действий приложений Microsoft Entra и действий приложений AD FS. Дополнительные сведения см. в статье Об использовании и использовании Microsoft Entra.

Снимок экрана: отчет об использовании и аналитике.

Существует несколько отчетов, доступных в аналитике использования и аналитики. Некоторые из этих отчетов доступны в предварительной версии.

  • Действие приложения Microsoft Entra (предварительная версия)
  • активность приложений AD FS
  • Действия способов аутентификации
  • Действие входа субъекта-службы
  • Действие учетных данных приложения

Журналы действий Microsoft 365

Журналы действий Microsoft 365 можно просматривать в центре администрирования Microsoft 365. Действия Microsoft 365 и журналы действий Microsoft Entra используют значительное количество ресурсов каталога. Полностью просмотреть журналы действий Microsoft 365 можно только в центре администрирования Microsoft 365.

Журналы действий Microsoft 365 можно получить программным способом с помощью API управления Office 365.