Bejelentkezési diagnosztikák a Microsoft Entra-forgatókönyvekhez

  • Cikk

A Microsoft Entra ID bejelentkezési diagnosztikájával elemezheti, hogy mi történt egy bejelentkezési kísérlet során, és javaslatokat kaphat a problémák megoldására anélkül, hogy a Microsoft segítségét kellene igénybe vennie.

Ez a cikk áttekintést nyújt azokról a forgatókönyvekről, amelyek az eszköz használatakor azonosíthatók és feloldhatók.

A bejelentkezési diagnosztika elérése

A bejelentkezési diagnosztikai eszköz három módon érhető el: a Problémák diagnosztizálása és megoldása területről, a Microsoft Entra bejelentkezési naplóiból és egy új támogatási kérés létrehozásakor. További információ: A bejelentkezési diagnosztikák használata.

Conditional Access

A feltételes hozzáférési szabályzatok a megfelelő hozzáférési vezérlők alkalmazására szolgálnak, ha szükséges a szervezet biztonsága érdekében. Mivel a feltételes hozzáférési szabályzatok az erőforrásokhoz való hozzáférés engedélyezésére vagy letiltására használhatók, gyakran megjelennek a bejelentkezési diagnosztika során.

  • Feltételes hozzáférés letiltva

    • A feltételes hozzáférési szabályzatok megakadályozták a felhasználó bejelentkezését.

  • Sikertelen feltételes hozzáférés

    • Előfordulhat, hogy a feltételes hozzáférési szabályzatok túl szigorúak.
    • Tekintse át a konfigurációkat a felhasználók, csoportok és alkalmazások teljes készleteihez.
    • Győződjön meg arról, hogy tisztában van azzal, hogy milyen következményekkel jár bizonyos típusú eszközök hozzáférésének korlátozása.

  • Többtényezős hitelesítés (MFA) feltételes hozzáférésből

    • A feltételes hozzáférési szabályzatok aktiválták a felhasználó MFA-folyamatát.

  • A B2B feltételes hozzáférés miatt letiltotta a bejelentkezést:

    • Feltételes hozzáférési szabályzattal rendelkezik, amely letiltja a külső identitások bejelentkezését.

Többtényezős hitelesítés

Számos MFA-ra vonatkozó eseményt elháríthat a bejelentkezési diagnosztikai eszközzel.

MFA más követelményekből

Ha a bejelentkezési diagnosztikai eredmények mFA-t mutattak a feltételes hozzáféréstől eltérő követelményből, előfordulhat, hogy az MFA engedélyezve van felhasználónként. Javasoljuk , hogy felhasználónkénti MFA-t alakítson feltételes hozzáféréssé. A bejelentkezési diagnosztika részletesen ismerteti az MFA-megszakítás forrását és az interakció eredményét.

MFA "ellenőrző"

Egy másik gyakori forgatókönyv akkor fordul elő, ha az MFA megszakítja a bejelentkezési kísérleteket. A bejelentkezési diagnosztikának futtatásakor a diagnosztikai eredményekben a "korrektúra" információi is meg lesznek adva. Ez a hiba akkor jelenik meg, ha a felhasználók először állítják be az MFA-t, és nem fejezik be a beállítást, vagy a konfigurációjuk nem lett előre beállítva.

Screenshot of the diagnostic results for MFA proofup.

Helytelen hitelesítő adatok > javítása

A felhasználók néha csak rossz hitelesítő adatokat adnak meg. A bejelentkezési diagnosztikai eszköz segíthet megkülönböztetni az emberi hibákat és más problémákat.

Sikeres bejelentkezés

Bizonyos esetekben tudnia kell, hogy a bejelentkezési eseményeket nem a feltételes hozzáférés vagy az MFA szakítja-e meg, de ezeknek meg kell lenniük. A bejelentkezési diagnosztikai eszköz részletes információkat nyújt a bejelentkezési eseményekről, amelyeket meg kell szakítani, de nem.

Zárolt fiók

Egy másik gyakori forgatókönyv az, amikor egy felhasználó túl sokszor próbál meg helytelen hitelesítő adatokkal bejelentkezni. Ez a hiba akkor fordul elő, ha túl sok jelszóalapú bejelentkezési kísérlet történt helytelen hitelesítő adatokkal. A diagnosztikai eredmények információt nyújtanak a rendszergazdának annak megállapításához, hogy honnan érkeznek a kísérletek, és hogy ezek valódi felhasználói bejelentkezési kísérletek-e vagy sem. A bejelentkezési diagnosztika futtatása részletesen ismerteti az alkalmazásokat, a kísérletek számát, a használt eszközt, az operációs rendszert és az IP-címet. További információ: Microsoft Entra Smart Lockout.

Érvénytelen felhasználónév vagy jelszó

Ha egy felhasználó érvénytelen felhasználónévvel vagy jelszóval próbált bejelentkezni, a bejelentkezési diagnosztika segít a rendszergazdának meghatározni a probléma forrását. A forrás lehet olyan felhasználó, aki helytelen hitelesítő adatokat ad meg, vagy egy ügyfél és/vagy alkalmazás(ok), amely gyorsítótárazott egy régi jelszót, és amelyet újra el kell küldenie. A bejelentkezési diagnosztika részletesen ismerteti az alkalmazásokat, a kísérletek számát, a használt eszközt, az operációs rendszert és az IP-címet.

Vállalati alkalmazások

A vállalati alkalmazásokban két pontban fordulhatnak elő problémák:

  • Az identitásszolgáltató (Microsoft Entra ID) alkalmazáskonfigurációja
  • A szolgáltató (alkalmazásszolgáltatás, más néven SaaS-alkalmazás) konfigurációja

Az ilyen problémák diagnosztikái a probléma melyik oldalát hatják meg, és mit kell tenni

Vállalati alkalmazások szolgáltatója

Ha a hiba akkor történt, amikor egy felhasználó megpróbált bejelentkezni egy alkalmazásba, a bejelentkezés a bejelentkezési folyamat szolgáltatói (alkalmazás) oldalán fellépő probléma miatt meghiúsult. A bejelentkezési diagnózis által észlelt problémákat általában a konfiguráció módosításával vagy az alkalmazásszolgáltatás problémáinak javításával kell megoldani. A megoldás azt jelenti, hogy be kell jelentkeznie a másik szolgáltatásba, és módosítania kell a konfigurációt a diagnosztikai útmutató alapján.

Vállalati alkalmazások konfigurálása

A bejelentkezés meghiúsulhat az alkalmazás Microsoft Entra ID-oldalán jelentkező alkalmazáskonfigurációs probléma miatt. Ilyen esetekben a megoldáshoz át kell tekinteni és frissíteni kell az alkalmazás konfigurációját az alkalmazás Vállalati alkalmazások lapján.

Egyéb forgatókönyvek

A bejelentkezési diagnosztika is használható különböző helyzetekben.

Security defaults

A bejelentkezési események a biztonsági alapértelmezett beállítások miatt megszakadhatnak. A biztonsági alapértékek az ajánlott eljárásokat érvényesítik a szervezet számára. Az egyik ajánlott eljárás az MFA konfigurálásának megkövetelése és használata a jelszópermetek, a visszajátszási támadások és az adathalász kísérletek sikerességének megakadályozására.

További információ: Mik a biztonsági alapértékek?

Hibakódelemzések

Ha egy esemény nem rendelkezik környezetfüggő elemzéssel a bejelentkezési diagnosztikában, a hibakód frissített magyarázata és releváns tartalma jelenhet meg. A hibakód-megállapítások részletes szöveget tartalmaznak a forgatókönyvről, a probléma elhárításának módjáról és a probléma kapcsán elolvasandó tartalmakról.

Legacy authentication

Ez a forgatókönyv egy olyan bejelentkezési eseményt tartalmaz, amely le lett tiltva vagy megszakadt, mert az ügyfél régi (vagy alapszintű) hitelesítést próbált használni.

Ajánlott a régi hitelesítési bejelentkezés megakadályozása a biztonság szempontjából ajánlott eljárásként. Az örökölt hitelesítési protokollok, például a POP, az SMTP, az IMAP és a MAPI nem tudják kikényszeríteni az MFA-t, ezért előnyben részesített belépési pontok a támadók számára a szervezet megtámadásához.

További információ: Hogyan tilthatja le a Microsoft Entra ID-hez való örökölt hitelesítést feltételes hozzáféréssel.

A B2B feltételes hozzáférés miatt letiltotta a bejelentkezést

Ez a diagnosztikai forgatókönyv blokkolt vagy megszakított bejelentkezést észlel, mert a felhasználó egy másik szervezettől származik. Például egy B2B-bejelentkezés, amelyben a feltételes hozzáférési szabályzat megköveteli, hogy az ügyfél eszköze csatlakozik az erőforrás-bérlőhöz.

További információ: Feltételes hozzáférés a B2B együttműködési felhasználók számára.

Kockázati szabályzat letiltva

Ebben a forgatókönyvben az Identity Protection Szabályzata letiltja a bejelentkezési kísérletet, mert a bejelentkezési kísérlet kockázatosnak minősül.

További információ: Kockázati szabályzatok konfigurálása és engedélyezése.

Hitelesítés átadása

Mivel a továbbításos hitelesítés a helyszíni és a felhőbeli hitelesítési technológiák integrációja, nehéz lehet megállapítani, hogy hol van a probléma. Ez a diagnosztikának az a célja, hogy megkönnyítse ezeket a forgatókönyveket a diagnosztizálásban és a megoldásban.

Ez a diagnosztikai forgatókönyv azonosítja a felhasználóspecifikus bejelentkezési problémákat, ha a használt hitelesítési módszer hitelesítésen (PTA) keresztül megy keresztül, és PTA-specifikus hiba történik. Az egyéb problémák miatti hibák – még akkor is, ha PTA-hitelesítést használnak – továbbra is megfelelően lesznek diagnosztizálva.

A diagnosztikai eredmények környezeti információkat mutatnak a hibáról és a felhasználó bejelentkezéséről. Az eredmények más okokat is jelezhetnek, amelyek miatt a bejelentkezés sikertelen volt, és a rendszergazda által javasolt műveletek a probléma megoldásához. További információ: Microsoft Entra Csatlakozás: Az átmenő hitelesítés hibaelhárítása.

Közvetlen egyszeri bejelentkezés

A közvetlen egyszeri bejelentkezés integrálja a Kerberos-hitelesítést a felhőhitelesítéssel. Mivel ez a forgatókönyv két hitelesítési protokollt tartalmaz, nehéz lehet megérteni, hogy hol található hibapont a bejelentkezési problémák esetén. Ez a diagnosztikának az a célja, hogy megkönnyítse ezeket a forgatókönyveket a diagnosztizálásban és a megoldásban.

Ez a diagnosztikai forgatókönyv a bejelentkezési hiba kontextusát és a hiba konkrét okát vizsgálja. A diagnosztikai eredmények tartalmazhatnak környezeti információkat a bejelentkezési kísérletről, valamint a rendszergazda által javasolt műveleteket. További információ: A Microsoft Entra közvetlen egyszeri bejelentkezésének hibaelhárítása.