什么是 Microsoft Entra 登录日志?

  • 项目

Microsoft Entra 将所有登录记录到 Azure 租户中,其中包括内部应用程序和资源。 IT 管理员需要了解登录日志中的值的含义,以便可以正确解释日志值。

查看登录错误和模式可以获得有关用户如何访问应用程序和服务的有用见解。 Microsoft Entra ID 提供的登录日志是信息量十足的一种活动日志,可对其进行分析。 本文介绍如何访问和利用登录日志。

登录日志的预览视图包括交互式和非交互式用户登录,以及服务主体和托管标识登录。你仍然可以查看经典登录日志,其中仅包括交互式登录。

还可以使用另外两种活动日志来帮助监视租户的运行状况:

  • 审核 - 有关应用于租户的更改(如用户和组管理)或应用于租户资源的更新的信息。

许可证和角色要求

所需的角色和许可因报表而异。 需要单独的权限才能访问 Microsoft Graph 中的监视和运行状况数据。 我们建议使用具有最低访问权限的角色,以符合零信任指南。

日志/报表 角色 许可证
审核 报告读取者
安全读取者
安全管理员
全局读取者
 在所有版本的 Microsoft Entra ID
登录 报告读取者
安全读取者
安全管理员
全局读取者
 在所有版本的 Microsoft Entra ID
自定义安全属性审核日志* 属性日志管理员
属性日志读取器		 在所有版本的 Microsoft Entra ID
使用情况和见解 报告读取者
安全读取者
安全管理员		 Microsoft Entra ID P1 或 P2
Microsoft Graph 活动日志 安全管理员
访问相应日志目标中数据的权限		 Microsoft Entra ID P1 或 P2

*查看审核日志中的自定义安全属性或为自定义安全属性创建诊断设置需要“属性日志”角色之一。 你还需要适当的角色才能查看标准审核日志。

登录日志有哪些作用?

可以使用登录日志回答如下问题:

  • 本周有多少用户登录特定应用程序?
  • 过去 24 小时内发生了多少次失败的登录尝试?
  • 用户是否从特定浏览器或操作系统登录?
  • 托管标识和服务主体访问了我的哪些 Azure 资源?

还可以通过标识以下详细信息来描述与登录请求关联的活动:

  • 用户 - 执行登录的身份(用户)。
  • 方式 – 用于登录的客户端(应用程序)。
  • 对象 – 身份访问的目标(资源)。

登录日志的类型有哪些?

登录日志预览中有四种类型的日志:

  • 交互式用户登录
  • 非交互式用户登录
  • 服务主体登录
  • 托管标识登录

经典登录日志仅包含交互式用户登录。

注意

登录日志中的条目是系统生成的,无法更改或删除。

交互式用户登录

交互式登录用户执行。 它们为 Microsoft Entra ID 提供身份验证因素。 该身份验证因素还可以与帮助程序应用(例如 Microsoft Authenticator 应用)交互。 用户可以向 Microsoft Entra ID 或助手应用提供密码、MFA 质询响应、生物识别因素或 QR 码。 此日志还包括与 Microsoft Entra ID 联合的标识提供者提供的联合登录。

交互式用户登录日志的屏幕截图。

报告大小:较小
示例:

  • 用户在 Microsoft Entra 登录屏幕中提供用户名和密码。
  • 用户通过 SMS MFA 质询。
  • 用户提供生物识别手势以通过 Windows Hello 企业版来解锁其 Windows 电脑。
  • 用户使用 AD FS SAML 断言与 Microsoft Entra ID 联合。

除了默认字段,交互式登录日志还显示:

  • 登录位置
  • 是否已应用条件访问

特殊注意事项

交互式登录日志上的非交互式登录

以前,Microsoft Exchange 客户端的某些非交互式登录包含在交互式用户登录日志中,以提高可见性。 在 2020 年 11 月引入非交互式用户登录日志之前,必须提高可见性。 但是,请务必注意,由于在引入单独的非交互式日志之前设置系统的方式,某些非交互式登录(例如使用 FIDO2 密钥的登录)仍可能标记为交互式登录。 这些登录可能会显示交互式详细信息,例如客户端凭证类型和浏览器信息,即使其在技术上是非交互式登录。

直通登录

Microsoft Entra ID 颁发用于身份验证和授权的令牌。 在某些情况下,登录到 Contoso 租户的用户可能会尝试访问 Fabrikam 租户中的资源,但他们没有访问权限。 将无授权令牌(称为直通令牌)颁发给 Fabrikam 租户。 直通令牌不允许用户访问任何资源。

以前,在查看这种情况的日志时,主租户的登录日志(在此场景中为 Contoso)不会显示登录尝试,因为令牌未授予对具有任何声明的资源的访问权限。 登录令牌仅用于显示相应的失败消息。

直通登录尝试现在显示在主租户登录日志以及任何相关的租户限制登录日志中。 在这项更新后,你可更深入地了解用户的登录尝试,还可更深入地了解租户限制策略。

crossTenantAccessType 属性现在显示用于区分直通登录的 passthrough,该属性在 Microsoft Entra 管理中心和 Microsoft Graph 中可用。

第一方仅限应用的服务主体登录

服务主体登录日志不包括第一方仅限应用的登录活动。 在没有用户的指示或上下文的情况下,当第一方应用获取内部 Microsoft 作业的令牌时,会发生此类活动。 我们会排除这些日志,因此你无需为租户中的内部 Microsoft 令牌相关的日志付费。

如果要将包含 SignInLogsMicrosoftGraphActivityLogs 路由到同一 Log Analytics 工作区,则可能识别与服务主体登录不相关的 Microsoft Graph 事件。 通过此集成,可以使用登录活动交叉引用为 Microsoft Graph API 调用颁发的令牌。 服务主体登录日志中缺少登录日志的 UniqueTokenIdentifier 和 Microsoft Graph 活动日志中的 SignInActivityId

非交互式用户登录

非交互式登录是代表用户完成的。 这些委托登录由客户端应用或操作系统组件代表用户执行,不需要用户提供身份验证因素。 相反,Microsoft Entra ID 会识别何时需要刷新用户的令牌,并在后台执行此操作,而不会中断用户的会话。 一般情况下,用户会察觉到这些登录在后台发生。

非交互式用户登录日志的屏幕截图。

报告大小:较大
示例:

  • 客户端应用使用 OAuth 2.0 刷新令牌来获取访问令牌。
  • 客户端使用 OAuth 2.0 授权代码来获取访问令牌和刷新令牌。
  • 用户在已加入 Microsoft Entra 的电脑上对 Web 或 Windows 应用执行单一登录 (SSO),无需提供身份验证因素或与 Microsoft Entra 提示交互。
  • 用户使用 FOCI(客户端 ID 系列)在移动设备上建立会话后,可以登录到另一个 Microsoft Office 应用。

除了默认字段,非交互式登录日志还显示:

  • 资源 ID
  • 分组登录数

不能自定义此报告中显示的字段。

为了便于理解数据,非交互式登录事件进行了分组。 客户通常会在较短一段时间内代表同一用户创建许多非交互式登录。 非交互式登录的特征相同,只是尝试登录的时间有差别。 例如,客户端可能代表用户每小时获取一次访问令牌。 如果用户或客户端的状态未更改,则每个访问令牌请求的 IP 地址、资源和所有其他信息都是相同的。 唯一发生更改的状态是登录日期和时间。

聚合登录的屏幕截图,其中日志已展开以显示所有行。

如果只有时间和日期不同,Microsoft Entra 记录的多个登录的信息完全相同,则这些登录来自同一实体,并且会聚合成单个行。 如果某个行有多个相同登录(发出的日期和时间除外),则“登录数”列中的值将大于 1。 这些聚合登录的时间戳看起来也可能相同。 可将“时间聚合”筛选器设置为 1 小时、6 小时或 24 小时。 可以展开该行来查看所有不同的登录及其不同的时间戳。

当以下数据匹配时,会在非交互式用户中对登录进行聚合:

  • 应用程序
  • 用户
  • IP 地址
  • 状态
  • 资源 ID

注意

机密客户端执行的非交互式登录的 IP 地址与刷新令牌请求来自的实际源 IP 不匹配。 而是显示用于原始令牌颁发的原始 IP。

服务主体登录

与交互式和非交互式用户登录不同,服务主体登录不是涉及用户的登录, 而是由任何非用户帐户(例如应用或服务主体)执行的登录(托管标识登录除外,此类登录仅包含在托管标识登录日志中)。 在此类登录中,应用或服务提供自己的凭据(例如证书或应用机密)对资源进行身份验证或访问。

服务主体登录日志的屏幕截图。

报告大小:较大
示例:

  • 服务主体使用证书对 Microsoft Graph 进行身份验证和访问。
  • 应用程序使用客户端机密在 OAuth 客户端凭据流中进行身份验证。

不能自定义此报告中显示的字段。

为了便于理解服务主体登录日志中的数据,服务主体登录事件进行了分组。 相同条件下同一实体的登录将聚合到单个行中。 可以展开该行来查看所有不同的登录及其不同的时间戳。 当以下数据匹配时,会在服务主体报告中对登录进行聚合:

  • 服务主体名称或 ID
  • 状态
  • IP 地址
  • 资源名称或 ID

托管标识登录

Azure 资源托管标识登录是资源执行的登录,这些资源的机密由 Azure 管理,以便简化凭据管理。 具有托管凭据的 VM 使用 Microsoft Entra ID 获取访问令牌。

托管标识登录日志的屏幕截图。

报告大小:较小
示例:

不能自定义此报告中显示的字段。

为了便于理解数据(Azure 资源托管标识登录日志),非交互式登录事件进行了分组。 同一实体的登录将聚合到单个行中。 可以展开该行来查看所有不同的登录及其不同的时间戳。 当所有以下数据匹配时,会在托管标识报告中对登录进行聚合:

  • 托管标识名称或 ID
  • 状态
  • 资源名称或 ID

在列表视图中选择一个项可显示已分组到某个节点下的所有登录。 选择某个分组项可查看此登录的所有详细信息。

其他服务使用的登录数据

Azure 中的多个服务使用登录数据来监视风险登录、提供应用程序使用情况的见解,等等。

Microsoft Entra 使用情况和见解

若要查看特定于应用程序的登录数据,请浏览到“Microsoft Entra ID”>“监视和运行状况”>“使用情况和见解”。 这些报告更详细地展示了 Microsoft Entra 应用程序活动和 AD FS 应用程序活动的登录信息。 有关详细信息,请参阅 Microsoft Entra 使用情况和见解

使用情况和见解报表的屏幕截图。

“使用情况和见解”中有多个报表。 其中一些报表处于预览状态。

  • Microsoft Entra 应用程序活动(预览版)
  • AD FS 应用程序活动
  • 身份验证方法活动
  • 服务主体登录活动
  • 应用程序凭据活动

Microsoft 365 活动日志

可以从 Microsoft 365 管理中心查看 Microsoft 365 活动日志。 Microsoft 365 活动和 Microsoft Entra 活动日志共享大量的目录资源。 只有 Microsoft 365 管理中心提供 Microsoft 365 活动日志的完整视图。

你可以使用 Office 365 管理 API 以编程方式访问 Microsoft 365 活动日志。