A bejelentkezési jelentés használatával tekintse át a Microsoft Entra többtényezős hitelesítési eseményeit

  • Cikk

A Microsoft Entra többtényezős hitelesítési események áttekintéséhez és megértéséhez használhatja a Microsoft Entra bejelentkezési jelentését. Ez a jelentés az események hitelesítési adatait jeleníti meg, amikor a rendszer többtényezős hitelesítést kér egy felhasználótól, és hogy van-e feltételes hozzáférési szabályzat. A bejelentkezési jelentéssel kapcsolatos részletes információkért tekintse meg a bejelentkezési tevékenységjelentések áttekintését a Microsoft Entra ID-ban.

A Microsoft Entra bejelentkezési jelentésének megtekintése

Tipp.

A cikkben szereplő lépések a portáltól függően kissé eltérhetnek.

A bejelentkezési jelentés információkat nyújt a felügyelt alkalmazások használatáról és a felhasználói bejelentkezési tevékenységekről, amelyek a többtényezős hitelesítés használatára vonatkozó információkat tartalmaznak. Az MFA-adatokból betekintést nyerhet, hogy a többtényezős hitelesítés hogyan működik a szervezetben. A következő kérdésekre ad választ:

  • Felmerült a bejelentkezés során MFA?
  • Hogyan végezte el a felhasználó az MFA-hitelesítést?
  • Milyen hitelesítési módszereket használtak a bejelentkezés során?
  • Miért nem tudta a felhasználó elvégezni az MFA-hitelesítést?
  • Hány felhasználó esetében merül fel az MFA?
  • Hány felhasználó nem tudta elvégezni az MFA-hitelesítést?
  • Melyek a gyakori MFA-problémák, amelyekkel a végfelhasználók találkoznak?

A bejelentkezési tevékenység jelentésének a Microsoft Entra felügyeleti központban való megtekintéséhez hajtsa végre az alábbi lépéseket. Az adatokat a reporting API használatával is lekérdezheti.

  1. Jelentkezzen be a Microsoft Entra felügyeleti központba legalább hitelesítési szabályzatként Rendszergazda istratorként.

  2. Tallózással keresse meg az Identitás> lehetőséget, majd válassza a Felhasználók>minden felhasználó lehetőséget a bal oldali menüből.

  3. A bal oldali menüben válassza a Bejelentkezési naplók lehetőséget.

  4. Megjelenik a bejelentkezési események listája, beleértve az állapotot is. A további részletek megtekintéséhez válasszon ki egy eseményt.

    Az esemény részleteinek Feltételes hozzáférés lapján láthatja, hogy melyik szabályzat váltotta ki az MFA-kérést.

    Screenshot of example Microsoft Entra sign-ins report

Ha elérhető, megjelenik a hitelesítés, például szöveges üzenet, Microsoft Authenticator alkalmazásértesítés vagy telefonhívás.

A Hitelesítés részletei lap az alábbi információkat tartalmazza az egyes hitelesítési kísérletekhez:

  • Az alkalmazott hitelesítési szabályzatok listája (például feltételes hozzáférés, felhasználónkénti MFA, biztonsági alapértelmezések)
  • A bejelentkezéshez használt hitelesítési módszerek sorozata
  • A hitelesítési kísérlet sikeres volt-e vagy sem
  • A hitelesítési kísérlet sikeres vagy sikertelen végrehajtásának részletes ismertetése

Ez az információ lehetővé teszi a rendszergazdák számára, hogy hibaelhárítást végezzenek a felhasználó bejelentkezésének minden lépésében, és nyomon követhetik az alábbiakat:

  • Többtényezős hitelesítéssel védett bejelentkezések mennyisége
  • Az egyes hitelesítési módszerek használati és sikerességi arányai
  • Jelszó nélküli hitelesítési módszerek használata (például jelszó nélküli Telefon bejelentkezés, FIDO2 és Vállalati Windows Hello)
  • Milyen gyakran teljesítik a hitelesítési követelményeket a jogkivonat-jogcímek (ahol a rendszer nem kéri a felhasználókat, hogy adjanak meg jelszót, adjanak meg egy SMS OTP-t stb.)

A bejelentkezési jelentés megtekintése közben válassza a Hitelesítés részletei lapot:

Screenshot of the Authentication Details tab

Feljegyzés

Az OATH ellenőrzési kód a hitelesítési módszerként van naplózva mind az OATH hardveres, mind a szoftveres jogkivonatokhoz (például a Microsoft Authenticator alkalmazáshoz).

Fontos

A Hitelesítés részletei lap kezdetben hiányos vagy pontatlan adatokat jeleníthet meg, amíg a naplóadatok teljesen összesítve nem lesznek. Ismert példák:

  • A jogkivonat üzenetében a jogcímek által kielégített üzenet helytelenül jelenik meg a bejelentkezési események kezdeti naplózásakor.
  • Az elsődleges hitelesítési sor kezdetben nem lesz naplózva.

A hitelesítési részletek ablakban az alábbi adatok jelennek meg egy bejelentkezési eseményhez, amely azt mutatja, hogy az MFA-kérés teljesült vagy megtagadva volt-e:

  • Az MFA teljesítése esetén az oszlop a teljesítés módjával kapcsolatos további információkat tartalmaz.

    • elvégezve a felhőben
    • lejárt a bérlőn konfigurált szabályzatok miatt
    • regisztráció felkínálva
    • a tokenben lévő jogcím alapján teljesült
    • külső szolgáltató által biztosított jogcím alapján teljesült
    • erős hitelesítéssel teljesült
    • kihagyva, mivel a végrehajtott folyamat a Windows-közvetítő bejelentkezési folyamata volt
    • alkalmazásjelszó használata miatt kihagyva
    • a hely miatt kihagyva
    • regisztrált eszköz használata miatt kihagyva
    • megjegyzett eszköz használata miatt kihagyva
    • sikeresen teljesítve

  • Az MFA megtagadása esetén az oszlop a megtagadás okát tartalmazza.

    • hitelesítés folyamatban
    • duplikált hitelesítési kísérlet
    • túl sokszor lett hibás kód megadva
    • érvénytelen hitelesítés
    • érvénytelen mobilalkalmazásbeli ellenőrző kód
    • hibás konfiguráció
    • a telefonhívás üzenetrögzítőre kapcsolt
    • a telefonszám formátuma érvénytelen
    • szolgáltatáshiba
    • nem lehet elérni a felhasználó telefonját
    • a mobilalkalmazás-értesítés nem küldhető el az eszközre
    • a mobilalkalmazás-értesítés nem küldhető el
    • a felhasználó visszautasította a hitelesítést
    • a felhasználó nem válaszolt a mobilalkalmazás értesítésére
    • a felhasználó nem rendelkezik regisztrált ellenőrzési módszerekkel
    • a felhasználó hibás kódot adott meg
    • a felhasználó hibás PIN-kódot adott meg
    • a felhasználó sikeres hitelesítés nélkül megszakította a telefonhívást
    • a felhasználó blokkolva van
    • a felhasználó soha nem adta még meg az ellenőrzőkódot
    • a felhasználó nem található
    • az ellenőrzőkód már volt használva

PowerShell-jelentéskészítés az MFA-ra regisztrált felhasználókról

Először győződjön meg arról, hogy telepítve van a Microsoft Graph PowerShell SDK telepítése.

Azonosítsa az MFA-ra regisztrált felhasználókat az alábbi PowerShell használatával. Ez a parancskészlet kizárja a letiltott felhasználókat, mivel ezek a fiókok nem hitelesíthetők a Microsoft Entra-azonosítóval:

Get-MgUser -All | Where-Object {$_.StrongAuthenticationMethods -ne $null -and $_.BlockCredential -eq $False} | Select-Object -Property UserPrincipalName

Az alábbi PowerShell-parancsok futtatásával azonosíthatja az MFA-hoz nem regisztrált felhasználókat. Ez a parancskészlet kizárja a letiltott felhasználókat, mivel ezek a fiókok nem hitelesíthetők a Microsoft Entra-azonosítóval:

Get-MgUser -All | Where-Object {$_.StrongAuthenticationMethods.Count -eq 0 -and $_.BlockCredential -eq $False} | Select-Object -Property UserPrincipalName

Azonosítsa a regisztrált felhasználókat és kimeneti módszereket:

Get-MgUser -All | Select-Object @{N='UserPrincipalName';E={$_.UserPrincipalName}},@{N='MFA Status';E={if ($_.StrongAuthenticationRequirements.State){$_.StrongAuthenticationRequirements.State} else {"Disabled"}}},@{N='MFA Methods';E={$_.StrongAuthenticationMethods.methodtype}} | Export-Csv -Path c:\MFA_Report.csv -NoTypeInformation

További MFA-jelentések

A következő további információk és jelentések érhetők el az MFA-eseményekhez, beleértve az MFA-kiszolgálóhoz tartozókat is:

Jelentés Hely Leírás
Letiltott felhasználói előzmények Microsoft Entra ID > Security > MFA > - blokk/letiltás feloldása felhasználók számára A felhasználók letiltására vagy letiltására irányuló kérések előzményeit jeleníti meg.
Helyszíni összetevők használata Microsoft Entra ID > Security > MFA > tevékenységjelentés Az MFA-kiszolgáló általános használatáról nyújt tájékoztatást. A felhőbeli MFA-tevékenységek NPS-bővítményei és AD FS-naplói mostantól szerepelnek a bejelentkezési naplókban, és már nem jelennek meg ezen a jelentésben.
Megkerült felhasználói előzmények Microsoft Entra ID > Security > MFA > egyszeri megkerülése A felhasználó MFA-kiszolgálói kéréseinek előzményeit tartalmazza az MFA megkerülésére.
Kiszolgáló állapota Microsoft Entra ID > Security > MFA-kiszolgáló > állapota Megjeleníti a fiókjához társított MFA-kiszolgálók állapotát.

A helyszíni AD FS-adapterből vagy NPS-bővítményből származó felhőbeli MFA bejelentkezési események nem töltik ki a bejelentkezési naplók összes mezőjét a helyszíni összetevő által visszaadott korlátozott adatok miatt. Ezeket az eseményeket a resourceID adfs vagy a radius alapján azonosíthatja az esemény tulajdonságai között. Ezek közé tartoznak például az alábbiak:

  • resultSignature
  • Appid
  • deviceDetail
  • conditionalAccessStatus
  • authenticationContext
  • isInteractive
  • tokenIssuerName
  • riskDetail, riskLevelAggregated,riskLevelDuringSignIn, riskState,riskEventTypes, riskEventTypes_v2
  • authenticationProtocol
  • incomingTokenType

Azok a szervezetek, amelyek az NPS-bővítmény legújabb verzióját futtatják, vagy a Microsoft Entra Csatlakozás Health-t használják, hely IP-címmel fognak rendelkezni az eseményekben.

Következő lépések

Ez a cikk áttekintést nyújtott a bejelentkezési tevékenység jelentéséről. A jelentés tartalmairól a Microsoft Entra ID bejelentkezési tevékenységjelentéseiből tájékozódhat részletesebben.