什么是 Microsoft Entra ID 中的“使用情况和见解”报告?

通过 Microsoft Entra“使用情况和见解”报告,可以从应用程序为中心的角度来了解登录数据。 使用情况和见解包括有关身份验证方法、服务主体登录和应用程序凭据活动的报告。 可找到以下问题的答案:

  • 组织中最常用的应用程序是哪些?
  • 哪些应用程序的登录失败次数最多?
  • 每个应用程序的最常见登录错误是什么?
  • 应用程序上次登录日期是什么时候?

先决条件

要从使用情况和见解访问数据,必须具有:

  • 一个 Microsoft Entra 租户
  • 用于查看登录数据的 Microsoft Entra ID P1 或 P2 许可证
  • 具有报表读取者、安全读取者或安全管理员角色的用户。

访问使用情况和见解

可以使用 Microsoft Graph,也可从 Azure 门户访问使用情况和见解报表。

  1. 至少以报告读取者身份登录到 Microsoft Entra 管理中心
  2. 浏览到“标识”>“监视和运行状况”>“使用情况和见解”。

Microsoft Entra ID 的“企业应用程序”区域也提供了“使用情况和见解”报告。 所有用户都可以在我的登录门户访问自己的登录。

Microsoft Entra 应用程序活动(预览版)

“Microsoft Entra 应用程序活动(预览版)”报告显示有一个或多个登录尝试的应用程序列表。 所选日期范围内任何应用程序活动都将显示在报表中。 报表可按成功登录数、失败登录数和成功率进行排序。

如果已删除的应用程序的活动发生在所选日期范围内且在其被删除之前,则报告中可能会显示该活动。 其他场景可能包括用户尝试登录到没有关联服务主体的应用程序。 对于这些类型的场景,可能需要查看审核日志或登录日志以进一步进行调查。

要查看应用程序登录活动的详细信息,可选择应用程序的“查看登录活动”链接。

屏幕截图显示了应用程序活动的使用情况和见解,你可以在其中选择范围并查看不同应用的登录活动。

登录活动图使用交互式用户登录。请在应用程序使用情况图中选择一天以查看该应用程序登录活动的详细列表。 此详细列表实际上是将筛选器设置为所选应用程序和日期的登录日志。 任何登录失败的详细信息会显示在表下方。

所选应用程序的登录活动详细信息的屏幕截图。

使用 Microsoft Graph 的应用程序活动

可以使用 Microsoft Graph 查看 Microsoft Entra 应用程序活动的 applicationSignInSummaryapplicationSignInDetailedSummary

添加以下查询,以查看登录摘要,然后选择“运行查询”按钮。

GET https://graph.microsoft.com/beta/reports/getAzureADApplicationSignInSummary(period='{period}')

添加以下查询,以查看登录详细信息,然后选择“运行查询”按钮。

GET https://graph.microsoft.com/beta/reports/applicationSignInDetailedSummary/{id}

有关详细信息,请参阅 Microsoft Graph 中的应用程序登录

AD FS 应用程序活动

“使用情况和见解”中的“AD FS 应用程序活动”报告列出了组织中在过去 30 天内有活动用户登录进行身份验证的所有 Active Directory 联合服务 (AD FS) 应用程序。 这些应用程序尚未迁移到 Microsoft Entra ID 进行身份验证。

使用 Microsoft Graph 检索 relyingPartyDetailedSummary 对象列表来查询 AD FS 应用程序活动,这可以识别特定联合身份验证服务的信赖方。

添加以下查询,然后选择“运行查询”按钮。

GET https://graph.microsoft.com/beta/reports/getRelyingPartyDetailedSummary(period='{period}')

有关详细信息,请参阅 Microsoft Graph 中的 AD FS 应用程序活动

身份验证方法活动

“使用情况和见解”中的身份验证方法活动显示了你的组织使用的不同身份验证方法的可视化效果。 “注册选项卡”显示针对每种可用身份验证方法注册的用户的统计信息。 选择页面顶部的“使用情况”选项卡,查看每种身份验证方法的实际使用情况。

还可以访问与身份验证相关的其他几个报表和工具。

是否计划运行注册活动,以推动用户注册 MFA? 使用侧边菜单中的“注册活动”选项设置注册活动。 有关详细信息,请参阅推动用户设置 Microsoft Authenticator

正在查找用户及其身份验证方法的详细信息? 从侧边菜单中查看“用户注册详细信息”报表,并搜索名称或 UPN。 随即将显示默认的 MFA 方法和注册的其他方法。 还可以查看用户是否能够注册其中一种身份验证方法。

正在查找用户的身份验证注册或重置事件的状态? 从侧边菜单中查看“注册和重置事件”报表,然后搜索名称或 UPN。 你可以看到用于尝试注册或重置身份验证方法的方法。

服务主体登录活动(预览)

服务主体登录活动(预览)报表提供每个服务主体的上一次活动日期。 报表提供有关服务主体使用情况的信息 - 它是用作客户端还是资源应用,以及它是在仅限应用的上下文中还是在委托上下文中使用。 报表显示上次使用服务主体的时间。

服务主体登录活动报表的屏幕截图。

选择“查看更多详细信息”链接,可查找应用程序的客户端和对象 ID 以及特定的服务主体登录活动。

服务主体登录活动详细信息的屏幕截图。

使用 Microsoft Graph 的服务主体登录活动

可以使用 Microsoft Graph 查看 servicePrincipalSignInActivity 报表。

在 Graph 浏览器中添加以下查询以检索服务主体登录活动,然后选择“运行查询”按钮。

GET https://graph.microsoft.com/beta/reports/servicePrincipalSignInActivities/{id}

示例响应:

{
     "@odata.context": "https://graph.microsoft.com/beta/$metadata#reports/servicePrincipalSignInActivities",
     "id": "A1bC2dE3fH4iJ5kL6mN7oP8qR9sT0u",
     "appId": "00001111-aaaa-2222-bbbb-3333cccc4444",    
     "delegatedClientSignInActivity": {
          "lastSignInDateTime": "2021-01-01T00:00:00Z",
          "lastSignInRequestId": "2d245633-0f48-4b0e-8c04-546c2bcd61f5"
     },
     "delegatedResourceSignInActivity": {
          "lastSignInDateTime": "2021-02-01T00:00:00Z",
          "lastSignInRequestId": "d2b4c623-f930-42b5-9519-7851ca604b16"
     },
     "applicationAuthenticationClientSignInActivity": {
          "lastSignInDateTime": "2021-03-01T00:00:00Z",
          "lastSignInRequestId": "b71f24ec-f212-4306-b2ae-c229e15805ea"
     },
     "applicationAuthenticationResourceSignInActivity": {
          "lastSignInDateTime": "2021-04-01T00:00:00Z",
          "lastSignInRequestId": "53e6981f-2272-4deb-972c-c8272aca986d"
     },
     "lastSignInActivity": {
          "lastSignInDateTime": "2021-04-01T00:00:00Z",
          "lastSignInRequestId": "cd9733e8-d75a-468f-a63d-6e82bd48c05e"
     }
}

有关详细信息,请参阅在 Microsoft Graph 中列出服务主体登录活动

应用程序凭据活动(预览)

应用程序凭据活动(预览)报表提供每个应用程序凭据的上次凭据活动日期。 报表提供凭据类型(证书或客户端密码)、上次使用日期和到期日期。 借助此报表,可以在一个位置查看所有应用程序的到期日期。

要查看应用程序凭据活动的详细信息,可选择“查看更多详细信息”链接。 这些详细信息包括应用程序对象、服务主体和资源 ID。 还可以查看凭据源是应用程序还是服务主体。

应用凭据活动报表的屏幕截图。

选择“查看更多详细信息”链接后,可以查看应用程序对象 ID 和资源 ID,以及报表中显示的详细信息。

应用凭据活动详细信息的屏幕截图。

使用 Microsoft Graph 的应用程序凭据活动

可以在 /beta 终结点上使用 Microsoft Graph 查看和管理应用程序凭据活动。 可以通过实体 idkeyIdappId 获取应用程序凭据登录活动。

要开始使用,请按照这些说明在 Graph 资源管理器中使用 Microsoft Graph 处理 appCredentialSignInActivity

  1. 登录到图形资源管理器

  2. 从下拉列表中选择 GET 作为 HTTP 方法。

  3. 将 API 版本设置为“beta 版本”。

  4. 添加以下查询以检索建议,然后选择“运行查询”按钮。

    GET https://graph.microsoft.com/beta/reports/appCredentialSignInActivities/{id}
    

示例响应:

{
 "@odata.type": "#microsoft.graph.appCredentialSignInActivity",
 "id": "A1bC2dE3fH4iJ5kL6mN7oP8qR9sT0u",
 "keyId": "aaaaaaaa-0b0b-1c1c-2d2d-333333333333",
 "keyType": "certificate",
 "keyUsage": "sign",
 "appId": "11112222-bbbb-3333-cccc-4444dddd5555",
 "appObjectId": "aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb",
 "servicePrincipalObjectId": "aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb",
 "resourceId": "a0a0a0a0-bbbb-cccc-dddd-e1e1e1e1e1e1",
 "credentialOrigin": "application",
 "expirationDate": "2021-04-01T21:36:48-8:00",
 "signInActivity": {
     "lastSignInDateTime": "2021-04-01T00:00:00-8:00",
     "lastSignInRequestId": "b0a282a3-68ec-4ec8-aef0-290ed4350271"
 }
}   

有关详细信息,请参阅 Microsoft Graph 中的应用程序凭据活动