Microsoft Entra 中的交互式用户登录是什么？

Microsoft Entra 监视和运行状况提供了多种类型的登录日志，可帮助你监视租户的运行状况。 交互式用户登录是 Microsoft Entra 管理中心的默认视图。

什么是交互式用户登录？

交互式登录由用户执行。 它们为 Microsoft Entra ID 提供身份验证因素。 该身份验证因素还可以与帮助程序应用（例如 Microsoft Authenticator 应用）交互。 用户可以向 Microsoft Entra ID 或助手应用提供密码、MFA 质询响应、生物识别因素或 QR 码。 此日志还包括与 Microsoft Entra ID 联合的标识提供者提供的联合登录。

日志详细信息

报告大小：较小
示例：

• 用户在 Microsoft Entra 登录屏幕中提供用户名和密码。
• 用户通过 SMS MFA 质询。
• 用户提供生物识别手势以通过 Windows Hello 企业版来解锁其 Windows 电脑。
• 用户使用 AD FS SAML 断言与 Microsoft Entra ID 联合。

除了默认字段，交互式登录日志还显示：

• 登录位置
• 是否已应用条件访问

特殊注意事项

交互式登录日志上的非交互式登录

以前，Microsoft Exchange 客户端的某些非交互式登录包含在交互式用户登录日志中，以提高可见性。 在 2020 年 11 月引入非交互式用户登录日志之前，必须提高可见性。 但是，请务必注意，由于在引入单独的非交互式日志之前设置系统的方式，某些非交互式登录（例如使用 FIDO2 密钥的登录）仍可能标记为交互式登录。 这些登录可能会显示交互式详细信息，例如客户端凭据类型和浏览器信息，即使其在技术上是非交互式登录。

直通登录

Microsoft Entra ID 颁发用于身份验证和授权的令牌。 在某些情况下，登录到 Contoso 租户的用户可能会尝试访问 Fabrikam 租户中的资源，但他们没有访问权限。 将无授权令牌（称为直通令牌）颁发给 Fabrikam 租户。 直通令牌不允许用户访问任何资源。

以前，在查看这种情况的日志时，主租户的登录日志（在此场景中为 Contoso）不会显示登录尝试，因为令牌未授予对具有任何声明的资源的访问权限。 登录令牌仅用于显示相应的失败消息。

直通登录尝试现在显示在主租户登录日志以及任何相关的租户限制登录日志中。 在这项更新后，你可更深入地了解用户的登录尝试，还可更深入地了解租户限制策略。

crossTenantAccessType 属性现在显示用于区分直通登录的 passthrough，该属性在 Microsoft Entra 管理中心和 Microsoft Graph 中可用。

第一方仅限应用的服务主体登录

服务主体登录日志不包括第一方仅限应用的登录活动。 在没有用户的指示或上下文的情况下，当第一方应用获取内部 Microsoft 作业的令牌时，会发生此类活动。 我们会排除这些日志，因此你无需为租户中的内部 Microsoft 令牌相关的日志付费。

如果要将包含 SignInLogs 的 MicrosoftGraphActivityLogs 路由到同一 Log Analytics 工作区，则可能识别与服务主体登录不相关的 Microsoft Graph 事件。 通过此集成，可以使用登录活动交叉引用为 Microsoft Graph API 调用颁发的令牌。 服务主体登录日志中缺少登录日志的 UniqueTokenIdentifier 和 Microsoft Graph 活动日志中的 SignInActivityId。