Co to są dzienniki logowania w usłudze Microsoft Entra?
Firma Microsoft Entra rejestruje wszystkie logowania do dzierżawy firmy Microsoft Entra, która obejmuje wewnętrzne aplikacje i zasoby. Jako administrator IT musisz wiedzieć, jakie wartości w dziennikach logowania oznaczają, aby można było poprawnie interpretować wartości dziennika.
Przeglądanie błędów i wzorców logowania zapewnia cenny wgląd w sposób, w jaki użytkownicy uzyskują dostęp do aplikacji i usług. Dzienniki logowania udostępniane przez identyfikator entra firmy Microsoft to zaawansowany typ dziennika aktywności, który można analizować. W tym artykule opisano kilka kluczowych aspektów dzienników logowania.
Dostępne są również dwa inne dzienniki aktywności, które ułatwiają monitorowanie kondycji dzierżawy:
- Inspekcja — informacje o zmianach zastosowanych do dzierżawy, takich jak zarządzanie użytkownikami i grupami lub aktualizacje zastosowane do zasobów dzierżawy.
- Aprowizowanie — działania wykonywane przez usługę aprowizacji, takie jak tworzenie grupy w usłudze ServiceNow lub użytkownik zaimportowany z produktu Workday.
Wymagania dotyczące licencji i roli
Wymagane role i licencje różnią się w zależności od raportu. Do uzyskiwania dostępu do danych monitorowania i kondycji w programie Microsoft Graph są wymagane oddzielne uprawnienia. Zalecamy używanie roli z dostępem do najniższych uprawnień, aby dopasować je do wskazówek dotyczących relacji Zero Trust. Aby uzyskać pełną listę ról, zobacz Najmniej uprzywilejowane role według zadania.
| Dziennik/raport | Ról | Licencje |
|---|---|---|
| Dzienniki inspekcji | Czytelnik raportów Czytelnik zabezpieczeń Administrator zabezpieczeń |
Wszystkie wersje identyfikatora Entra firmy Microsoft |
| Dzienniki logowania | Czytelnik raportów Czytelnik zabezpieczeń Administrator zabezpieczeń |
Wszystkie wersje identyfikatora Entra firmy Microsoft |
| Dzienniki aprowizacji | Czytelnik raportów Czytelnik zabezpieczeń Administrator aplikacji Administrator aplikacji w chmurze |
Microsoft Entra ID P1 lub P2 |
| Niestandardowe dzienniki inspekcji atrybutów zabezpieczeń* | Administrator dziennika atrybutów Czytelnik dziennika atrybutów |
Wszystkie wersje identyfikatora Entra firmy Microsoft |
| Zdrowie | Czytelnik raportów Czytelnik zabezpieczeń Administrator pomocy technicznej |
Microsoft Entra ID P1 lub P2 |
| Ochrona tożsamości Microsoft Entra** | Administrator zabezpieczeń Operator zabezpieczeń Czytelnik zabezpieczeń Czytelnik globalny |
Microsoft Entra ID Free Aplikacje Microsoft 365 Microsoft Entra ID P1 lub P2 |
| Dzienniki aktywności programu Microsoft Graph | Administrator zabezpieczeń Uprawnienia dostępu do danych w odpowiednim miejscu docelowym dziennika |
Microsoft Entra ID P1 lub P2 |
| Użycie i szczegółowe informacje | Czytelnik raportów Czytelnik zabezpieczeń Administrator zabezpieczeń |
Microsoft Entra ID P1 lub P2 |
*Wyświetlanie niestandardowych atrybutów zabezpieczeń w dziennikach inspekcji lub tworzenie ustawień diagnostycznych niestandardowych atrybutów zabezpieczeń wymaga jednej z ról dziennika atrybutów. Potrzebna jest również odpowiednia rola, aby wyświetlić standardowe dzienniki inspekcji.
**Poziom dostępu i możliwości dla Ochrona tożsamości Microsoft Entra różni się w zależności od roli i licencji. Aby uzyskać więcej informacji, zobacz wymagania licencyjne dotyczące ochrony identyfikatorów.
Co można zrobić za pomocą dzienników logowania?
Możesz użyć dzienników logowania, aby odpowiedzieć na pytania, takie jak:
- Ilu użytkowników zalogowało się do określonej aplikacji w tym tygodniu?
- Ile nieudanych prób logowania wystąpiło w ciągu ostatnich 24 godzin?
- Czy użytkownicy logują się z określonych przeglądarek lub systemów operacyjnych?
- Do których zasobów platformy Azure uzyskiwano dostęp za pomocą tożsamości zarządzanych i jednostek usługi?
Możesz również opisać działanie skojarzone z żądaniem logowania, identyfikując następujące szczegóły:
- Who — tożsamość (użytkownik) wykonująca logowanie.
- Instrukcje — klient (aplikacja) używany do logowania.
- Co — element docelowy (zasób) uzyskiwany przez tożsamość.
Jak uzyskać dostęp do dzienników logowania?
Istnieje kilka sposobów uzyskiwania dostępu do dzienników w zależności od potrzeb. Aby uzyskać więcej informacji, zobacz Jak uzyskać dostęp do dzienników aktywności.
Aby wyświetlić dzienniki logowania z centrum administracyjnego firmy Microsoft Entra:
- Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako co najmniej czytelnik raportów.
- Przejdź do dzienników logowania do monitorowania tożsamości>i kondycji.>
Aby efektywniej korzystać z dzienników logowania w centrum administracyjnym firmy Microsoft Entra, dostosuj filtry, aby wyświetlić tylko określony zestaw dzienników. Aby uzyskać więcej informacji, zobacz Filtrowanie dzienników logowania.
Jakie są typy dzienników logowania?
W podglądzie dzienników logowania dostępne są cztery typy dzienników:
- Logowanie interakcyjne użytkownika
- Logowania użytkowników nieinterakcyjnych
- Logowania jednostki usługi
- Logowania tożsamości zarządzanej
Dzienniki logowania klasycznego obejmują tylko logowania interakcyjne użytkownika.
Nuta
Wpisy w dziennikach logowania są generowane przez system i nie można ich zmienić ani usunąć.
Dane logowania używane przez inne usługi
Dane logowania są używane przez kilka usług na platformie Azure i w firmie Microsoft Entra do monitorowania ryzykownych logów, zapewnia wgląd w użycie aplikacji i nie tylko.
Ochrona tożsamości Microsoft Entra
Wizualizacja danych dziennika logowania związana z ryzykownym logowaniem jest dostępna w przeglądzie Ochrona tożsamości Microsoft Entra, w którym są używane następujące dane:
- Ryzykowni użytkownicy
- Ryzykowne logowania użytkowników
- Ryzykowne tożsamości obciążeń
Aby uzyskać więcej informacji na temat narzędzi Ochrona tożsamości Microsoft Entra, zobacz omówienie Ochrona tożsamości Microsoft Entra.
Użycie i szczegółowe informacje firmy Microsoft
Aby wyświetlić dane logowania specyficzne dla aplikacji, przejdź do witryny Microsoft Entra ID Monitoring & health Usage &insights ( Monitorowanie identyfikatorów>i kondycja>firmy Microsoft). Te raporty zapewniają bliższe przyjrzenie się logowaniu dla działań aplikacji Firmy Microsoft Entra i działań aplikacji usług AD FS. Aby uzyskać więcej informacji, zobacz Microsoft Entra Usage &insights.
Istnieje kilka raportów dostępnych w obszarze Użycie i szczegółowe informacje. Niektóre z tych raportów są dostępne w wersji zapoznawczej.
- Działanie aplikacji Microsoft Entra (wersja zapoznawcza)
- Działanie aplikacji usług AD FS
- Działanie metod uwierzytelniania
- Działanie logowania jednostki usługi
- Działanie poświadczeń aplikacji
Dzienniki aktywności platformy Microsoft 365
Dzienniki aktywności platformy Microsoft 365 można wyświetlić w Centrum administracyjne platformy Microsoft 365. Działania platformy Microsoft 365 i dzienniki aktywności firmy Microsoft Entra współdzielą znaczną liczbę zasobów katalogu. Tylko Centrum administracyjne platformy Microsoft 365 zapewnia pełny widok dzienników aktywności platformy Microsoft 365.
Dostęp do dzienników aktywności platformy Microsoft 365 można uzyskać programowo przy użyciu interfejsów API zarządzania usługi Office 365.