如何排查 Microsoft Entra 登录错误

在 Microsoft Entra 登录日志中，可找到有关管理组织中应用程序访问权限问题的答案，其中包括：

• 什么是用户的登录模式？
• 多少用户超过一周都有登录行为？
• 这些登录的状态怎样？

此外，登录日志还可帮助解决组织内用户登录失败的问题。 本指南介绍如何在登录报告中查找登录失败，并用它来了解失败的根本原因。 本文还介绍了一些常见的登录错误。

先决条件

需要：

• 具有 P1 或 P2 许可证的 Microsoft Entra 租户。
• 具有该租户报告读取者、安全信息读取者或安全管理员角色的用户。
• 此外，任何用户都可以从 https://mysignins.microsoft.com 访问自己的登录活动。

收集登录详细信息

提示

本文中的步骤可能因开始使用的门户而略有不同。

1. 至少以报告读取者身份登录到 Microsoft Entra 管理中心。

2. 浏览到“标识”>“监视和运行状况”>“登录日志”。

3. 使用筛选器缩小结果范围

   • 若要解决特定用户的问题，请按用户名搜索。
   • 若要解决特定应用的问题，请按应用程序搜索。
   • 可选择“状态”菜单中的“失败”，仅显示失败的登录。

4. 选择要调查的失败登录以打开详细信息窗口。

5. 浏览每个选项卡上的详细信息。可能需要保存一些详细信息，以便进一步进行故障排除。 这些详细信息在列表后的屏幕截图中会突出显示。

   • 相关 ID
   • 登录错误代码
   • 失败原因
   • 用户名、用户 ID 和登录标识符

   

排查登录错误

收集登录详细信息后，应浏览结果并排查问题。

失败原因和其他详细信息

“失败原因”和“其他详细信息”可能会提供解决问题的详细信息和后续步骤。 “失败原因”是对错误的描述。 “其他详细信息”提供更多详细信息，通常告知你如何解决此问题。

以下是一些常见的失败原因和详细信息：

• 失败原因“在强身份验证请求期间，身份验证失败”没有提供太多故障排除，但“其他详细信息”字段显示用户未完成 MFA 提示。 让用户再次登录并完成 MFA 提示。
• 失败原因“联合身份验证服务无法颁发 OAuth 主刷新令牌”提供了一个很好的起点，但其他详细信息简要说明了身份验证在此场景中的工作原理，并告知确保启用设备同步。
• 一个常见错误原因是“由于用户名或密码无效，验证凭据时出错”。 用户输入的内容不正确，需要重试。

登录错误代码

如果需要更具体的研究，可以使用登录错误代码进行进一步研究。

• 在错误代码查找工具中输入错误代码以获取错误代码描述和修正信息。
• 在登录错误代码参考中搜索错误代码。

以下错误代码与登录事件相关联，但此列表并不详尽：

• 50058：用户已通过身份验证，但尚未登录。

  • 当用户未完成登录过程时，尝试登录会显示此错误代码。
  • 由于用户未完全登录，因此“用户”字段可能会显示对象 ID 或全局唯一标识符 (GUID)，而不是用户名。
  • 在某些情况下，用户 ID 显示为“00000000-0000-0000”。

• 90025：内部 Microsoft Entra 服务达到其用户登录的重试次数限制。

  • 此错误通常发生在用户未注意到的情况下，并且通常会自动解决。
  • 如果错误仍然存在，请让用户再次登录。

• 500121：用户未完成 MFA 提示。

  • 如果用户尚未完成 MFA 设置，则经常会出现此错误。
  • 指示用户完成设置过程以登录。

如果所有其他方法都失败，或者采取建议的操作步骤后仍然存在问题，请打开支持请求。 有关详细信息，请参阅如何获取对 Microsoft Entra ID 的支持。

后续步骤

• 登录错误代码参考
• 登录报告概述
• 如何使用登录诊断