Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Pokud chcete zkontrolovat a porozumět událostem vícefaktorového ověřování Microsoft Entra, můžete použít protokoly přihlašování Microsoft Entra. Tato sestava zobrazuje podrobnosti ověřování pro události, kdy je uživatel vyzván k vícefaktorovému ověření, a také, zda byly v použití nějaké zásady podmíněného přístupu. Podrobné informace o protokolech přihlašování najdete v přehledu sestav aktivit přihlašování v Microsoft Entra ID.
Poznámka k interpretaci multifaktorové autentizace
Když se uživatel poprvé přihlásí k Microsoft Entra interaktivně, může použít jakoukoli podporovanou metodu ověřování (včetně silného ověřování), i když to není nezbytně nutné. Pokud se uživatel rozhodne ověřit bez hesla nebo jinou silnou metodou ověřování, uživatel obdrží deklaraci vícefaktorového ověřování. Aby se snížila latence a nepotřebné přesměrování mezi našimi aplikacemi a ověřovací službou, poskytovatelé prostředků obvykle kontrolují všechny existující deklarace identity, které už uživatel ověřuje, místo aby pokaždé požadovali novou sadu deklarací identity. V důsledku toho se můžou určité přihlášení zobrazovat jako "jednofaktorové" bez ohledu na to, že aplikace požaduje vícefaktorové ověřování, protože byla přijata předchozí deklarace vícefaktorového ověřování uživatele. Pro dané konkrétní ověřování nebyl vznesen ani zaznamenán žádný požadavek na vícefaktorové ověřování. Aby bylo možné přesně porozumět kontextu ověřování, je důležité vždy zkontrolovat podrobnosti vícefaktorového ověřování i metodu kořenového ověřování přidruženou k jednotlivým událostem. Nespoléhejte pouze na authenticationRequirement pole, protože nepřihlíží k dříve splněným požadavkům vícefaktorového ověřování, pokud není výslovně vyžadováno použití silného ověřování.
Zobrazení protokolů přihlašování Microsoft Entra
Protokoly přihlašování poskytují informace o používání spravovaných aplikací a aktivit přihlašování uživatelů, které zahrnují informace o využití vícefaktorového ověřování. Data MFA poskytují přehled o tom, jak vícefaktorové ověřování ve vaší organizaci funguje. Odpovídá na otázky, jako jsou:
- Bylo přihlášení ověřeno prostřednictvím vícefaktorového ověřování?
- Jak uživatel dokončil vícefaktorové ověřování?
- Které metody ověřování se použily při přihlašování?
- Proč uživatel nemohl dokončit vícefaktorové ověřování?
- Kolik uživatelů je vyzváno k MFA?
- Kolik uživatelů nemůže dokončit výzvu vícefaktorového ověřování?
- Jaké jsou běžné problémy s vícefaktorovými ověřováními u koncových uživatelů?
Pokud chcete zobrazit sestavu aktivit přihlašování v Centru pro správu Microsoft Entra, proveďte následující kroky. Data můžete dotazovat také pomocí rozhraní API pro generování sestav .
Přihlaste se do Centra pro správu Microsoft Entra jako alespoň správce zásad ověřování.
V nabídce na levé straně přejděte na Entra ID>Uživatelé.
V nabídce na levé straně vyberte Protokoly přihlášení.
Zobrazí se seznam událostí přihlášení, včetně stavu. Pokud chcete zobrazit další podrobnosti, můžete vybrat událost.
Karta Podmíněný přístup v podrobnostech události ukazuje, které zásady aktivovaly výzvu vícefaktorového ověřování.
Pokud je k dispozici, zobrazí se ověřování, například textová zpráva, oznámení aplikace Microsoft Authenticator nebo telefonní hovor.
Karta Podrobnosti o ověřování obsahuje následující informace pro každý pokus o ověření:
- Seznam použitých zásad ověřování (například podmíněný přístup, vícefaktorové ověřování pro jednotlivé uživatele, výchozí nastavení zabezpečení) se zobrazí v podrobném zobrazení jednotlivých přihlášení v části Podmíněný přístup.
- Posloupnost metod ověřování používaných k přihlášení
- Zda byl pokus o ověření úspěšný nebo ne
- Podrobnosti o tom, proč pokus o ověření proběhl úspěšně nebo selhal
Tyto informace umožňují správcům řešit potíže s jednotlivými kroky přihlášení uživatele a sledovat:
- Objem přihlášení chráněných vícefaktorovým ověřováním
- Míra využití a úspěšnosti pro každou metodu ověřování
- Použití metod ověřování bez hesla (například přihlášení k telefonu bez hesla, FIDO2 a Windows Hello pro firmy)
- Jak často jsou požadavky na ověřování splněné deklaracemi identity tokenů (kde uživatelé nejsou interaktivně vyzváni k zadání hesla, zadání hesla SMS atd.)
Při prohlížení protokolů přihlašování vyberte kartu Podrobnosti ověřování :
Poznámka
Ověřovací kód OATH se protokoluje jako metoda ověřování pro hardwarové i softwarové tokeny OATH (jako je aplikace Microsoft Authenticator).
Důležitý
Karta Podrobnosti o ověřování může zpočátku zobrazovat neúplná nebo nepřesná data, dokud nebudou informace protokolu plně agregované. Mezi známé příklady patří:
- Při počátečním zaznamenání událostí přihlášení se nesprávně zobrazuje zpráva "splněno prostřednictvím tvrzení v tokenu".
- Řádek primárního ověřování není zpočátku protokolován.
Následující podrobnosti se zobrazí v okně Podrobnosti ověřování pro událost přihlášení, která ukazuje, jestli byl požadavek MFA splněný nebo odepřený:
Pokud bylo vícefaktorové ověřování splněné, tento sloupec poskytuje další informace o tom, jak bylo vícefaktorové ověřování splněno.
- dokončeno v cloudu
- Platnost vypršela kvůli zásadám nakonfigurovaným na nájemci.
- výzva k registraci
- splněno nárokem v tokenu
- splněno potvrzením poskytnutým externím poskytovatelem
- spokojen(a) silným ověřováním
- Přeskočeno, když byl procvičován tok přihlášení prostřednictvím zprostředkovatele Windows
- vynecháno kvůli heslu aplikace
- přeskočeno kvůli poloze
- přeskočeno kvůli registrovanému zařízení
- vynecháno díky zapamatovanému zařízení
- úspěšně dokončeno
Pokud bylo vícefaktorové ověřování (MFA) odepřeno, poskytne tento sloupec důvod, proč bylo odepřeno.
- Ověřování probíhá
- duplicitní pokus o ověření
- zadání nesprávného kódu příliš mnohokrát
- Neplatné ověřování
- Neplatný ověřovací kód mobilní aplikace
- špatná konfigurace
- telefonní hovor byl přesměrován do hlasové schránky
- telefonní číslo má neplatný formát
- Chyba služby
- Nejde se spojit s telefonem uživatele
- Nejde odeslat oznámení mobilní aplikace do zařízení
- Nejde odeslat oznámení mobilní aplikace
- uživatel odmítl ověřování.
- uživatel nereagoval na oznámení mobilní aplikace
- uživatel nemá zaregistrované žádné metody ověření.
- uživatel zadal nesprávný kód.
- uživatel zadal nesprávný PIN kód
- uživatel zavěsil telefonní hovor, aniž by se úspěšně ověřil.
- uživatel je zablokovaný.
- uživatel nikdy nezadá ověřovací kód
- uživatel nebyl nalezen.
- ověřovací kód již použit jednou
Vytváření reportů v PowerShellu o uživatelích zaregistrovaných pro vícefaktorové ověřování
Nejprve se ujistěte, že máte nainstalovanou Microsoft Graph PowerShell SDK.
Pomocí následujícího PowerShellu identifikujte uživatele, kteří se zaregistrovali pro vícefaktorové ověřování. Tato sada příkazů vylučuje zakázané uživatele, protože tyto účty se nemůžou ověřit pomocí ID Microsoft Entra:
Get-MgUser -All | Where-Object {$_.StrongAuthenticationMethods -ne $null -and $_.BlockCredential -eq $False} | Select-Object -Property UserPrincipalName
Spuštěním následujících příkazů PowerShellu identifikujte uživatele, kteří nejsou zaregistrovaní pro vícefaktorové ověřování. Tato sada příkazů vylučuje zakázané uživatele, protože tyto účty se nemůžou ověřit pomocí ID Microsoft Entra:
Get-MgUser -All | Where-Object {$_.StrongAuthenticationMethods.Count -eq 0 -and $_.BlockCredential -eq $False} | Select-Object -Property UserPrincipalName
Identifikace registrovaných uživatelů a výstupních metod:
Get-MgUser -All | Select-Object @{N='UserPrincipalName';E={$_.UserPrincipalName}},@{N='MFA Status';E={if ($_.StrongAuthenticationRequirements.State){$_.StrongAuthenticationRequirements.State} else {"Disabled"}}},@{N='MFA Methods';E={$_.StrongAuthenticationMethods.methodtype}} | Export-Csv -Path c:\MFA_Report.csv -NoTypeInformation
Další zprávy o MFA
Rozšíření NPS a adaptér AD FS pro aktivitu MFA v cloudu jsou teď součástí protokolů přihlašování a ne do konkrétní sestavy aktivit.
Cloudové události přihlášení MFA z místního adaptéru služby AD FS nebo rozšíření NPS nebudou obsahovat všechna pole v protokolech přihlašování kvůli omezeným datům vráceným místní komponentou. Tyto události můžete identifikovat pomocí adfs resourceID nebo poloměru ve vlastnostech události. Patří mezi ně:
- výsledný podpis
- Identifikátor aplikace (appID)
- Detaily zařízení
- stavPodmíněnéhoPřístupu
- ověřovací kontext
- je interaktivní
- název vydavatele tokenu
- podrobnostiRizika, agregovanáÚroveňRizika, úroveňRizikaBěhemPřihlášení, stavRizika, typyRizikovýchUdálostí, typyRizikovýchUdálostí_v2
- autentizační protokol
- PříchozíTypTokenu
Organizace, které používají nejnovější verzi rozšíření NPS nebo používají Microsoft Entra Connect Health, budou mít v událostech IP adresu umístění.
Další kroky
Tento článek poskytl přehled zprávy o aktivitách přihlašování. Podrobnější informace o tom, co tato sestava obsahuje, najdete v sestavách aktivit přihlašování v Microsoft Entra ID.