共用方式為

Microsoft Entra 中的互動使用者登入是什麼?

  • 發行項

Microsoft Entra 監視和健康情況提供數種類型的登入記錄,以協助您監視租用戶的健康情況。 互動使用者登入是 Microsoft Entra 系統管理中心的預設檢視。

什麼是互動使用者登入?

互動式登入是使用者執行。 他們會提供驗證因數給 Microsoft Entra ID。 該驗證因數也可以與協助程式應用程式互動,例如 Microsoft Authenticator 應用程式。 使用者可以向 Microsoft Entra ID 或協助程式應用程式提供密碼、MFA 挑戰的回應、生物特徵辨識因數或 QR 代碼。 此記錄也包含來自與 Microsoft Entra ID 同盟之身分識別提供者的同盟登入。

螢幕擷取畫面,其中顯示了互動使用者登入記錄。

記錄詳細資料

報告大小:
範例:

  • 使用者在 [Microsoft Entra 登入] 畫面中提供使用者名稱和密碼。
  • 使用者通過 SMS MFA 挑戰。
  • 使用者提供生物特徵辨識手勢,透過 Windows Hello 企業版解除鎖定其 Windows PC。
  • 使用者透過 AD FS SAML 判斷提示,與 Microsoft Entra ID 同盟。

除了預設欄位以外,互動式登入記錄也會顯示:

  • 登入位置
  • 是否已套用條件式存取

注意

登入記錄中的項目由系統產生,無法進行變更或刪除。

特殊考量

互動式登入記錄上的非互動式登入

先前,來自 Microsoft Exchange 用戶端的一些非互動式登入會包含在互動式使用者登入記錄中,以取得更佳的可見度。 在 2020 年 11 月引進非互動式使用者登入記錄之前,需要提高可見度。 不過,請務必注意,由於在引進個別的非互動式記錄之前系統的設定方式,某些非互動式登入,例如使用 FIDO2 密鑰的登入,可能仍會標示為互動式。 這些登入可能會顯示互動式詳細資料,例如用戶端認證類型和瀏覽器資訊,即使其在技術上不是互動式登入也一樣。

傳遞登入

Microsoft Entra ID 發行權杖以進行驗證和授權。 在某些情況下,登入 Contoso 租用戶的使用者可能會嘗試存取 Fabrikam 租用戶中的資源,但其沒有存取權。 未授權權杖稱為傳遞權杖,會發行給 Fabrikam 租用戶。 傳遞權杖不允許使用者存取任何資源。

先前,檢閱此情況的記錄時,主租用戶的登入記錄 (在此案例中為 Contoso) 不會顯示登入嘗試,因為權杖未授權存取含任何宣告的資源。 登入權杖僅用於顯示適當的失敗訊息。

傳遞登入嘗試現在會出現在主租用戶登入記錄和任何相關的租用戶限制登入記錄中。 此更新可讓您更清楚了解使用者的使用者登入嘗試,並更深入了解租用戶限制原則。

crossTenantAccessType 屬性現在會顯示 passthrough 以區分傳遞登入,且可在 Microsoft Entra 系統管理中心和 Microsoft Graph 中取得。

第一方應用程式專用服務主體登入

服務主體登入記錄不包含第一方應用程式專用登入活動。 在第一方應用程式取得內部 Microsoft 作業的權杖,而使用者沒有方向或內容的情況下,就會發生這種類型的活動。 我們會排除這些記錄,因此您不需要支付租用戶內與內部 Microsoft 權杖相關的記錄。

若使用 MicrosoftGraphActivityLogsSignInLogs 路由至相同的 Log Analytics 工作區,您可能會發現與服務主體登入不相關的 Microsoft Graph 事件。 透過此整合,您可以交叉參考為 Microsoft Graph API 呼叫所核發的權杖和登入活動。 服務主體登入記錄將缺少用於登入記錄的 UniqueTokenIdentifier 和 Microsoft Graph 活動記錄中的 SignInActivityId

條件式存取

顯示 [未套用 條件式存取] 的登入可能會難以解譯。 如果登入中斷,登入會出現在記錄上,但顯示 [未套用 條件式存取]。 另一個常見的案例是登入 Windows Hello 企業版。 此登入不會套用條件式存取,因為使用者正在登入裝置,而不是條件式存取所保護的雲端資源。

TimeGenerated 欄位

如果您要整合登入記錄與 Azure 監視器記錄和 Log Analytics,您可能會注意到記錄中的 [TimeGenerated] 字段不符合登入發生的時間。 此差異是因為日誌匯入至 Azure 監視器的方式所致。 [TimeGenerated] 字段是Log Analytics 接收和發佈項目的時間,而不是登入發生的時間。 記錄中的 [CreatedDateTime] 字段會顯示登入發生的時間。

同樣地,有風險的登入事件也會顯示 TimeGenerated,作為偵測到有風險事件的時間,而不是發生登入的時間。 若要尋找實際的登入時間,您可以使用 CorrelationId 在記錄中尋找登入事件,並找出登入時間。