Che cosa sono gli accessi utente interattivi in Microsoft Entra?
Il monitoraggio e l'integrità di Microsoft Entra offre diversi tipi di log di accesso che consentono di monitorare l'integrità del tenant. Gli accessi utente interattivi sono la visualizzazione predefinita nell'interfaccia di amministrazione di Microsoft Entra.
Che cos'è un accesso utente interattivo?
Gli accessi interattivi vengono eseguiti da un utente. Forniscono un fattore di autenticazione a Microsoft Entra ID. Tale fattore di autenticazione può interagire anche con un'app helper, ad esempio l'app Microsoft Authenticator. Gli utenti possono fornire password, risposte a problemi di autenticazione a più fattori, fattori biometrici o codici a matrice a Microsoft Entra ID o a un'app helper. Questo log include anche gli accessi federati dai provider di identità federati a Microsoft Entra ID.
Dettagli del log
Dimensioni del report: piccole
Esempi:
- Un utente fornisce nome utente e password nella schermata di accesso di Microsoft Entra.
- Un utente supera una richiesta di autenticazione a più fattori SMS.
- Un utente fornisce un movimento biometrico per sbloccare il PC Windows con Windows Hello for Business.
- Un utente è federato a Microsoft Entra ID con un'asserzione SAML DI AD FS.
Oltre ai campi predefiniti, viene visualizzato anche il log di accesso interattivo:
- La località di accesso
- Indica se è stato applicato l'accesso condizionale
Nota
Le voci nel log di accesso sono generate dal sistema e non possono essere modificate o eliminate.
Considerazioni speciali
Accessi non interattivi nei log di accesso interattivi
In precedenza, alcuni accessi non interattivi dai client di Microsoft Exchange sono stati inclusi nel log di accesso utente interattivo per una migliore visibilità. Questa maggiore visibilità era necessaria prima che i log di accesso utente non interattivi siano stati introdotti a novembre 2020. Tuttavia, è importante notare che alcuni accessi non interattivi, ad esempio quelli che usano chiavi FIDO2, potrebbero comunque essere contrassegnati come interattivi a causa del modo in cui il sistema è stato configurato prima dell'introduzione dei log non interattivi separati. Questi accessi potrebbero visualizzare dettagli interattivi, ad esempio il tipo di credenziale client e le informazioni del browser, anche se tecnicamente non sono accessi interattivi.
Accessi pass-through
Microsoft Entra ID emette token per l'autenticazione e l'autorizzazione. In alcune situazioni, un utente che ha eseguito l'accesso al tenant Contoso potrebbe provare ad accedere alle risorse nel tenant di Fabrikam, in cui non ha accesso. Un token di autorizzazione senza autorizzazione denominato token pass-through viene emesso per il tenant di Fabrikam. Il token pass-through non consente all'utente di accedere ad alcuna risorsa.
In precedenza, quando si esaminano i log per questa situazione, i log di accesso per il tenant principale (in questo scenario, Contoso) non mostrava un tentativo di accesso perché il token non concedeva l'accesso a una risorsa con attestazioni. Il token di accesso è stato usato solo per visualizzare il messaggio di errore appropriato.
I tentativi di accesso pass-in vengono ora visualizzati nei log di accesso del tenant home e nei log di accesso alle restrizioni del tenant pertinenti. Questo aggiornamento offre maggiore visibilità sui tentativi di accesso degli utenti e informazioni più approfondite sui criteri di restrizione del tenant.
La proprietà crossTenantAccessType
mostra ora passthrough
per distinguere gli accessi pass-through ed è disponibile nell'interfaccia di amministrazione di Microsoft Entra e In Microsoft Graph.
Accessi dell'entità servizio first-party, app-only
I log di accesso dell'entità servizio non includono attività di accesso solo app di prima parte. Questo tipo di attività si verifica quando le app proprietarie ottengono token per un processo Microsoft interno in cui non esiste alcuna direzione o contesto da un utente. Questi log vengono esclusi in modo da non pagare i log correlati ai token Microsoft interni all'interno del tenant.
È possibile identificare gli eventi di Microsoft Graph che non sono correlati all'accesso di un'entità servizio se si esegue il routing MicrosoftGraphActivityLogs
con SignInLogs
alla stessa area di lavoro Log Analytics. Questa integrazione consente di fare riferimento incrociato al token emesso per la chiamata all'API Microsoft Graph con l'attività di accesso. Il UniqueTokenIdentifier
per i log di accesso e il SignInActivityId
nei log attività di Microsoft Graph non sono presenti nei log di accesso dell'entità servizio.
Accesso condizionale
Gli accessi che mostrano Non applicato per l'accesso condizionale possono essere difficili da interpretare. Se l'accesso viene interrotto, l'accesso viene visualizzato nei log ma viene visualizzato Non applicato per l'accesso condizionale. Un altro scenario comune consiste nell'accedere a Windows Hello for Business. Questo accesso non ha l'accesso condizionale applicato perché l'utente accede al dispositivo, non alle risorse cloud protette dall'accesso condizionale.
Campo TimeGenerated
Se si integrano i log di accesso con i log di Monitoraggio di Azure e Log Analytics, è possibile notare che il campo TimeGenerated
nei log non corrisponde all'ora in cui si è verificato l'accesso. Questa discrepanza è dovuta al modo in cui i log vengono inseriti in Monitoraggio di Azure. Il campo TimeGenerated
è l'ora in cui la voce è stata ricevuta e pubblicata da Log Analytics, non l'ora in cui si è verificato l'accesso. Il campo CreatedDateTime
nei log mostra l'ora in cui si è verificato l'accesso.
Analogamente, gli eventi di accesso rischiosi visualizzano anche TimeGenerated
come ora in cui è stato rilevato l'evento rischioso, non quando si è verificato l'accesso. Per trovare l'ora di accesso effettiva, è possibile usare il CorrelationId
per trovare l'evento di accesso nei log e individuare l'ora di accesso.