Usare i log di accesso per esaminare gli eventi di autenticazione a più fattori di Microsoft Entra

Per esaminare e comprendere gli eventi di autenticazione a più fattori di Microsoft Entra, è possibile usare i log di accesso di Microsoft Entra. Questo report mostra i dettagli di autenticazione per gli eventi quando un utente richiede l'autenticazione a più fattori e se sono in uso criteri di accesso condizionale. Per informazioni dettagliate sui log di accesso, vedere la panoramica dei report sulle attività di accesso in Microsoft Entra ID.

Osservazione sull'interpretazione dell'autenticazione a più fattori

Quando un utente accede in modo interattivo a Microsoft Entra per la prima volta, può usare qualsiasi metodo di autenticazione supportato (inclusa l'autenticazione avanzata), anche se non è strettamente richiesto. Se un utente sceglie di eseguire l'autenticazione tramite passwordless o un altro metodo di autenticazione avanzata, l'utente riceve un'attestazione MFA. Per ridurre la latenza e i reindirizzamenti non necessari tra le applicazioni e il servizio di autenticazione, i provider di risorse in genere esaminano tutte le attestazioni esistenti già fornite a un utente che esegue l'autenticazione anziché richiedere un nuovo set di attestazioni ogni volta. Di conseguenza, è possibile che determinati accessi vengano visualizzati come "fattore singolo" nonostante abbiano un requisito di autenticazione a più fattori per l'applicazione perché l'attestazione MFA precedente dell'utente è stata accettata. Non è stato richiesto o registrato alcun requisito di autenticazione a più fattori per l'autenticazione specifica. Per una comprensione accurata del contesto di autenticazione, è importante controllare sempre i dettagli dell'autenticazione a più fattori e il metodo di autenticazione radice associato a ogni evento. Non basarti solamente sul campo authenticationRequirement perché non tiene conto delle dichiarazioni MFA soddisfatte in precedenza a causa dell'uso di autenticazione forte non richiesta esplicitamente.

Visualizzare i log di accesso di Microsoft Entra

I log di accesso forniscono informazioni sull'utilizzo delle applicazioni gestite e delle attività di accesso utente, che includono informazioni sull'utilizzo dell'autenticazione a più fattori. I dati di MFA forniscono informazioni dettagliate sul funzionamento dell'autenticazione a più fattori nell'organizzazione. Risponde a domande come:

• L'accesso è stato sfidato con L'autenticazione a più fattori?
• In che modo l'utente ha completato l'autenticazione a più fattori?
• Quali metodi di autenticazione sono stati usati durante un accesso?
• Perché l'utente non è riuscito a completare l'autenticazione a più fattori?
• Quanti utenti vengono sfidati per l'autenticazione a più fattori?
• Quanti utenti non sono in grado di completare la richiesta di autenticazione a più fattori?
• Quali sono i problemi comuni relativi all'autenticazione a più fattori che gli utenti finali incontrano?

Per visualizzare il report delle attività di accesso nell'interfaccia di amministrazione di Microsoft Entra , completare i passaggi seguenti. È anche possibile eseguire query sui dati usando l'API per la creazione di report .

1. Accedere all'interfaccia di amministrazione di Microsoft Entra come almeno un amministratore dei criteri di autenticazione.

2. Accedere a Entra ID>Utenti dal menu sul lato sinistro.

3. Dal menu a sinistra selezionare Log di accesso.

4. Viene visualizzato un elenco di eventi di accesso, incluso lo stato. È possibile selezionare un evento per visualizzare altri dettagli.

   La scheda Accesso condizionale dei dettagli dell'evento mostra quali criteri hanno attivato la richiesta di autenticazione a più fattori.

   

Se disponibile, viene visualizzata l'autenticazione, ad esempio SMS, notifica dell'app Microsoft Authenticator o telefonata.

La scheda Dettagli autenticazione fornisce le informazioni seguenti per ogni tentativo di autenticazione:

• Elenco dei criteri di autenticazione applicati, ad esempio l'accesso condizionale, l'autenticazione a più fattori per utente, le impostazioni predefinite per la sicurezza
• Sequenza di metodi di autenticazione usati per l'accesso
• Indica se il tentativo di autenticazione è riuscito o meno
• Dettagli sul motivo per cui il tentativo di autenticazione ha avuto esito positivo o negativo

Queste informazioni consentono agli amministratori di risolvere i problemi di ogni passaggio nell'accesso di un utente e tenere traccia:

• Volume di accessi protetti dall'autenticazione a più fattori
• Frequenza di utilizzo e esito positivo per ogni metodo di autenticazione
• Utilizzo di metodi di autenticazione senza password (ad esempio Accesso tramite telefono senza password, FIDO2 e Windows Hello for Business)
• Frequenza con cui i requisiti di autenticazione vengono soddisfatti dalle attestazioni token (in cui agli utenti non viene richiesto in modo interattivo di immettere una password, immettere un SMS OTP e così via)

Durante la visualizzazione dei log di accesso, selezionare la scheda Dettagli autenticazione :

Nota

Il codice di verifica OATH viene registrato come metodo di autenticazione sia per i token hardware OATH che per i token software ( ad esempio l'app Microsoft Authenticator).

Importante

La scheda Dettagli autenticazione può inizialmente visualizzare dati incompleti o non accurati fino a quando le informazioni di log non vengono aggregate completamente. Gli esempi noti includono:

• Un'affermazione soddisfatta nel messaggio del token viene visualizzata in modo errato quando gli eventi di accesso sono inizialmente registrati.
• La riga di autenticazione primaria non viene registrata inizialmente.

I dettagli seguenti vengono visualizzati nella finestra Dettagli autenticazione per un evento di accesso che mostra se la richiesta MFA è stata soddisfatta o negata:

• Se l'autenticazione a più fattori è stata soddisfatta, questa colonna fornisce altre informazioni su come è stata soddisfatta l'autenticazione a più fattori.

  • completato nel cloud
  • è scaduto a causa delle politiche configurate nel tenant
  • registrazione richiesta
  • soddisfatto dalla dichiarazione del token
  • soddisfatto dalla richiesta fornita dal fornitore esterno
  • soddisfatto dall'autenticazione avanzata
  • ignorato poiché il flusso eseguito era il flusso di accesso del broker di Windows
  • ignorato a causa della password dell'app
  • saltato a causa della posizione
  • ignorato a causa del dispositivo registrato
  • saltato a causa del dispositivo memorizzato
  • Completato con successo

• Se l'autenticazione a più fattori è stata negata, questa colonna fornirà il motivo della negazione.

  • autenticazione in corso
  • tentativo di autenticazione duplicato
  • Codice non corretto immesso troppe volte
  • autenticazione non valida
  • codice di verifica dell'app per dispositivi mobili non valido
  • Errata configurazione
  • La telefonata è andata alla segreteria telefonica.
  • il numero di telefono ha un formato non valido
  • errore del servizio
  • impossibile raggiungere il telefono dell'utente
  • non è possibile inviare la notifica dell'app per dispositivi mobili al dispositivo
  • non è possibile inviare la notifica dell'app per dispositivi mobili
  • l'utente ha rifiutato l'autenticazione
  • l'utente non ha risposto alla notifica dell'app per dispositivi mobili
  • l'utente non dispone di metodi di verifica registrati
  • codice non corretto immesso dall'utente
  • PIN non corretto immesso dall'utente
  • l'utente ha bloccato la telefonata senza aver completato l'autenticazione
  • l'utente è bloccato
  • l'utente non ha mai immesso il codice di verifica
  • utente non trovato
  • codice di verifica già usato una volta

Creazione di report di PowerShell sugli utenti registrati per MFA

Assicurarsi prima di tutto di avere installato Microsoft Graph PowerShell SDK .

Identificare gli utenti che si sono registrati per l'autenticazione a più fattori usando il PowerShell seguente. Questo set di comandi esclude gli utenti disabilitati perché questi account non possono eseguire l'autenticazione con Microsoft Entra ID:

Get-MgUser -All | Where-Object {$_.StrongAuthenticationMethods -ne $null -and $_.BlockCredential -eq $False} | Select-Object -Property UserPrincipalName

Identificare gli utenti che non sono registrati per MFA eseguendo i comandi di PowerShell seguenti. Questo set di comandi esclude gli utenti disabilitati perché questi account non possono eseguire l'autenticazione con Microsoft Entra ID:

Get-MgUser -All | Where-Object {$_.StrongAuthenticationMethods.Count -eq 0 -and $_.BlockCredential -eq $False} | Select-Object -Property UserPrincipalName

Identificare gli utenti e i metodi di output registrati:

Get-MgUser -All | Select-Object @{N='UserPrincipalName';E={$_.UserPrincipalName}},@{N='MFA Status';E={if ($_.StrongAuthenticationRequirements.State){$_.StrongAuthenticationRequirements.State} else {"Disabled"}}},@{N='MFA Methods';E={$_.StrongAuthenticationMethods.methodtype}} | Export-Csv -Path c:\MFA_Report.csv -NoTypeInformation

Report aggiuntivi sull'autenticazione multi-fattore

L'estensione NPS e l'adapter AD FS per l'attività cloud MFA sono ora inclusi nei log di accesso e non in un report attività specifico.

Gli eventi di accesso al cloud con MFA provenienti da un adattatore AD FS on-premises o un'estensione NPS non avranno tutti i campi popolati nei log di accesso a causa dei dati limitati restituiti dal componente locale. È possibile identificare questi eventi mediante il resourceID adfs o radius nelle proprietà dell'evento. Includono:

• FirmaRisultato
• ID dell'app
• dettaglio del dispositivo
• statoAccessoCondizionale
• contesto di autenticazione
• èInterattivo
• tokenIssuerName
• dettaglioRischio, livelloRischioAggregato, livelloRischioDuranteAccesso, statoRischio, tipiEventoRischio, tipiEventoRischio_v2
• protocollo di autenticazione
• incomingTokenType

Le organizzazioni che eseguono la versione più recente dell'estensione NPS o usano Microsoft Entra Connect Health avranno l'indirizzo IP della posizione negli eventi.

Passaggi successivi

L'articolo forniva una panoramica del rapporto sulle attività di accesso. Per informazioni più dettagliate su ciò che contiene questo report, vedere report sulle attività di accesso in Microsoft Entra ID.