通过

Microsoft Entra 中的非交互式用户登录是什么?

  • 项目

Microsoft Entra 监视和运行状况提供了多种类型的登录日志,可帮助你监视租户的运行状况。 非交互式登录是 Microsoft Entra 管理中心中的一种用户登录日志。

什么是非交互式用户登录?

非交互式登录是代表用户完成的。 这些委托登录由客户端应用或操作系统组件代表用户执行,不需要用户提供身份验证因素。 相反,Microsoft Entra ID 会识别何时需要刷新用户的令牌,并在后台执行此操作,而不会中断用户的会话。 一般情况下,用户会察觉到这些登录在后台发生。

非交互式用户登录日志的屏幕截图。

日志详细信息

报告大小:较大
示例:

  • 客户端应用使用 OAuth 2.0 刷新令牌来获取访问令牌。
  • 客户端使用 OAuth 2.0 授权代码来获取访问令牌和刷新令牌。
  • 用户在已加入 Microsoft Entra 的电脑上对 Web 或 Windows 应用执行单一登录 (SSO),无需提供身份验证因素或与 Microsoft Entra 提示交互。
  • 用户使用 FOCI(客户端 ID 系列)在移动设备上建立会话后,可以登录到另一个 Microsoft Office 应用。

除了默认字段,非交互式登录日志还显示:

  • 资源 ID
  • 分组登录数

不能自定义此报告中显示的字段。

注意

登录日志中的条目是系统生成的,无法更改或删除。

工作原理

为了便于理解数据,非交互式登录事件进行了分组。 客户通常会在较短一段时间内代表同一用户创建许多非交互式登录。 非交互式登录的特征相同,只是尝试登录的时间有差别。 例如,客户端可能代表用户每小时获取一次访问令牌。 如果用户或客户端的状态未更改,则每个访问令牌请求的 IP 地址、资源和所有其他信息都是相同的。 唯一发生更改的状态是登录日期和时间。

聚合登录的屏幕截图,其中日志已展开以显示所有行。

如果只有时间和日期不同,Microsoft Entra 记录的多个登录的信息完全相同,则这些登录来自同一实体,并且会聚合成单个行。 如果某个行有多个相同登录(发出的日期和时间除外),则“登录数”列中的值将大于 1。 这些聚合登录的时间戳看起来也可能相同。 可将“时间聚合”筛选器设置为 1 小时、6 小时或 24 小时。 可以展开该行来查看所有不同的登录及其不同的时间戳。

当以下数据匹配时,会在非交互式用户中对登录进行聚合:

  • 应用程序
  • 用户
  • IP 地址
  • 状态
  • 资源 ID

注意

机密客户端执行的非交互式登录的 IP 地址与刷新令牌请求来自的实际源 IP 不匹配。 而是显示用于原始令牌颁发的原始 IP。