Microsoft标识平台客户端凭据流审核

Question

当调用者是某种类型的守护进程时，我们使用Azure AD中的客户端凭据流来验证API。我们的安全策略规定，当访问尝试失败时，我们需要进行审计。在大多数情况下，除了get令牌请求失败之外，我们还能够满足大多数安全部门的需求。这可能是由于许多原因造成的，例如无效的客户端id、机密或证书。我们用来请求令牌的端点是https://login.microsoftonline.com/{tenant}/oauth2/v2.0/token。

我尝试了几个示例，演示向访问令牌请求传递无效参数。然后，我检查了Azure AD租户的审计日志&登录监视部分，希望看到某种类型的授权拒绝消息。令我惊讶的是什么都没有。

我尝试过在Microsoft文档和Google上搜索客户端凭据流审核，但是在审计失败的访问令牌请求方面我没有找到任何东西。

当访问令牌请求不返回承载令牌时，我们可以查看门户中的某个地方吗？

Answer 1

我找到了答案。如果将来有人需要这一点，Azure将在“服务原则登录”部分中记录成功和失败访问令牌请求。单击此处获取日志记录位置的屏幕上限。

Answer 2

AFAIK，Azure AD不将访问令牌请求放在日志中。在代码中调用端点时，可以添加访问令牌请求的内容。

审计日志：审计日志活动报告允许您访问租户执行的每个任务的历史记录。审计日志的示例包括对Azure AD中的任何资源所做的更改，例如添加或删除用户、应用程序、组、角色和策略。

登录日志：通过登录活动报告，您可以确定谁执行了审计日志中报告的任务。