Usare il report degli accessi per esaminare gli eventi di autenticazione a più fattori di Microsoft Entra
Per esaminare e comprendere gli eventi di autenticazione a più fattori di Microsoft Entra, è possibile usare il report sugli accessi di Microsoft Entra. Questo report mostra i dettagli di autenticazione per gli eventi quando un utente richiede l'autenticazione a più fattori e se sono in uso criteri di accesso condizionale. Per informazioni dettagliate sul report sugli accessi, vedere la panoramica dei report sulle attività di accesso in Microsoft Entra ID.
Visualizzare il report degli accessi a Microsoft Entra
Suggerimento
I passaggi descritti in questo articolo possono variare leggermente in base al portale da cui si inizia.
Il report degli accessi fornisce informazioni sull'utilizzo delle applicazioni gestite e delle attività di accesso utente, che includono informazioni sull'utilizzo dell'autenticazione a più fattori. I dati sull'autenticazione a più fattori forniscono informazioni approfondite sul funzionamento di questo tipo di autenticazione nell'organizzazione. Risponde a domande come:
- L'accesso è stato verificato con l'autenticazione a più fattori?
- In che modo l'utente ha completato l'autenticazione a più fattori?
- Quali metodi di autenticazione sono stati usati durante un accesso?
- Perché l'utente non è riuscito a completare l'autenticazione a più fattori?
- Quanti utenti vengono verificati tramite l'autenticazione a più fattori?
- Quanti utenti non riescono a completare la verifica tramite l'autenticazione a più fattori?
- Quali sono i problemi comuni relativi all'autenticazione a più fattori riscontrati dagli utenti finali?
Per visualizzare il report delle attività di accesso nell'interfaccia di amministrazione di Microsoft Entra, completare la procedura seguente. È anche possibile eseguire query sui dati usando l'API per la creazione di report.
Accedere all'interfaccia di amministrazione di Microsoft Entra come almeno un criterio di autenticazione Amministrazione istrator.
Passare a Identità> e quindi scegliere Utenti>Tutti gli utenti dal menu a sinistra.
Dal menu a sinistra selezionare Log di accesso.
Viene visualizzato un elenco di eventi di accesso, incluso lo stato. È possibile selezionare un evento per visualizzare altri dettagli.
La scheda Accesso condizionale dei dettagli dell'evento mostra quali criteri hanno attivato la richiesta di autenticazione a più fattori.
Se disponibile, viene visualizzata l'autenticazione, ad esempio un messaggio SMS, la notifica dell'app Microsoft Authenticator o la telefonata.
La scheda Dettagli autenticazione fornisce le informazioni seguenti per ogni tentativo di autenticazione:
- Elenco dei criteri di autenticazione applicati, ad esempio l'accesso condizionale, l'autenticazione a più fattori per utente, le impostazioni predefinite per la sicurezza
- Sequenza di metodi di autenticazione usati per l'accesso
- Indica se il tentativo di autenticazione è riuscito o meno
- Dettagli sul motivo per cui il tentativo di autenticazione ha avuto esito positivo o negativo
Queste informazioni consentono agli amministratori di risolvere i problemi di ogni passaggio nell'accesso di un utente e tenere traccia:
- Volume di accessi protetti dall'autenticazione a più fattori
- Frequenza di utilizzo e esito positivo per ogni metodo di autenticazione
- Utilizzo di metodi di autenticazione senza password (ad esempio, accesso senza password Telefono, FIDO2 e Windows Hello for Business)
- Frequenza con cui i requisiti di autenticazione vengono soddisfatti dalle attestazioni token (in cui agli utenti non viene richiesto in modo interattivo di immettere una password, immettere un SMS OTP e così via)
Durante la visualizzazione del report degli accessi, selezionare la scheda Dettagli autenticazione:
Nota
Il codice di verifica OATH viene registrato come metodo di autenticazione sia per i token hardware OATH che per i token software ( ad esempio l'app Microsoft Authenticator).
Importante
La scheda Dettagli autenticazione può inizialmente visualizzare dati incompleti o non accurati fino a quando le informazioni di log non vengono aggregate completamente. Gli esempi noti includono:
- Un'attestazione soddisfatta nel messaggio del token non viene visualizzata correttamente quando gli eventi di accesso vengono inizialmente registrati.
- La riga di autenticazione primaria non viene registrata inizialmente.
Per un evento di accesso che indica se la richiesta di autenticazione a più fattori è stata soddisfatta o negata, nella finestra Dettagli di autenticazione vengono visualizzati i dati seguenti:
Se l'autenticazione a più fattori è riuscita, questa colonna fornisce più informazioni riguardo al modo in cui è stata completata.
- Autenticazione completata nel cloud
- Autenticazione scaduta a causa dei criteri configurati nel tenant
- Registrazione richiesta
- Autenticazione riuscita tramite attestazione nel token
- Autenticazione riuscita tramite attestazione fornita dal provider esterno
- Autenticazione riuscita tramite autenticazione avanzata
- Autenticazione ignorata perché il flusso eseguito è un flusso di accesso del broker Windows
- Autenticazione ignorata a causa della password di un'app
- Autenticazione ignorata a causa della posizione
- Autenticazione ignorata a causa di un dispositivo registrato
- Autenticazione ignorata a causa di un dispositivo memorizzato
- Autenticazione completata correttamente
Se l'autenticazione a più fattori è stata negata, questa colonna fornisce informazioni sul motivo del rifiuto.
- Autenticazione in corso
- Tentativo di autenticazione duplicato
- Immissione di un codice non corretto troppe volte
- Autenticazione non valida
- Codice di verifica dell'app per dispositivi mobili non valido
- Errore di configurazione
- Chiamata telefonica reindirizzata alla segreteria
- Numero di telefono in formato non valido
- Errore del servizio
- Non è stato possibile raggiungere il telefono dell'utente
- Non è stato possibile inviare la notifica dell'app per dispositivi mobili al dispositivo
- Non è stato possibile inviare la notifica dell'app per dispositivi mobili
- L'utente ha rifiutato l'autenticazione
- l'utente non ha risposto alla notifica dell'app per dispositivi mobili
- l'utente non dispone di metodi di verifica registrati
- L'utente ha immesso un codice non corretto
- L'utente ha immesso un PIN non corretto
- L'utente ha chiuso il telefono senza completare l'autenticazione
- L'utente è bloccato
- L'utente non ha mai immesso il codice di verifica
- Utente non trovato
- Il codice di verifica è già stato usato una volta
Report di PowerShell per utenti registrati per l'autenticazione a più fattori
Assicurarsi prima di tutto di avere installato Microsoft Graph PowerShell SDK .
Identificare gli utenti che hanno eseguito la registrazione per MFA usando il codice di PowerShell seguente. Questo set di comandi esclude gli utenti disabilitati perché questi account non possono eseguire l'autenticazione con Microsoft Entra ID:
Get-MgUser -All | Where-Object {$_.StrongAuthenticationMethods -ne $null -and $_.BlockCredential -eq $False} | Select-Object -Property UserPrincipalName
Identificare gli utenti che non sono registrati per MFA eseguendo i comandi di PowerShell seguenti. Questo set di comandi esclude gli utenti disabilitati perché questi account non possono eseguire l'autenticazione con Microsoft Entra ID:
Get-MgUser -All | Where-Object {$_.StrongAuthenticationMethods.Count -eq 0 -and $_.BlockCredential -eq $False} | Select-Object -Property UserPrincipalName
Identificare gli utenti e i metodi di output registrati:
Get-MgUser -All | Select-Object @{N='UserPrincipalName';E={$_.UserPrincipalName}},@{N='MFA Status';E={if ($_.StrongAuthenticationRequirements.State){$_.StrongAuthenticationRequirements.State} else {"Disabled"}}},@{N='MFA Methods';E={$_.StrongAuthenticationMethods.methodtype}} | Export-Csv -Path c:\MFA_Report.csv -NoTypeInformation
Report MFA aggiuntivi
Le informazioni e i report aggiuntivi seguenti sono disponibili per gli eventi di Multi-Factor Authentication, inclusi quelli per il server Multi-Factor Authentication:
| Report | Titolo | Descrizione |
|---|---|---|
| Cronologia utenti bloccati | Microsoft Entra ID > Security > MFA > Block/unblock users | Consente di visualizzare la cronologia delle richieste di blocco o sblocco degli utenti. |
| Utilizzo di componenti locali | Microsoft Entra ID > Security > MFA > Activity Report | Fornisce informazioni sull'utilizzo complessivo per il server MFA. L'estensione NPS e i log DI AD FS per l'attività cloud MFA sono ora inclusi nei log di accesso e non sono più pubblicati in questo report. |
| Cronologia utenti bypass | Bypass monouso di Microsoft Entra ID > Security > MFA > | Fornisce una cronologia delle richieste del server MFA per ignorare l'autenticazione a più fattori per un utente. |
| Stato del server | Microsoft Entra ID > Security > MFA > Server status | Visualizza lo stato dei server MFA associato all'account. |
Gli eventi di accesso MFA cloud da un adattatore AD FS locale o un'estensione NPS non avranno tutti i campi nei log di accesso popolati a causa di dati limitati restituiti dal componente locale. È possibile identificare questi eventi in base all'adfs resourceID o al raggio nelle proprietà dell'evento. che includono:
- resultSignature
- appID
- deviceDetail
- conditionalAccessStatus
- authenticationContext
- isInteractive
- tokenIssuerName
- riskDetail, riskLevelAggregated,riskLevelDuringSignIn, riskState,riskEventTypes, riskEventTypes_v2
- authenticationProtocol
- incomingTokenType
Le organizzazioni che eseguono l'ultima versione dell'estensione NPS o usano Microsoft Entra Connessione Health avranno l'indirizzo IP della posizione negli eventi.
Passaggi successivi
Questo articolo fornisce una panoramica del report sulle attività di accesso. Per informazioni più dettagliate su ciò che contiene questo report, vedere report sulle attività di accesso in Microsoft Entra ID.