Wat is de diagnostische aanmeldingsdiagnose in Microsoft Entra ID?

Het bepalen van de reden voor een mislukte aanmelding kan snel een uitdagende taak worden. U moet analyseren wat er is gebeurd tijdens de aanmeldingspoging en de beschikbare aanbevelingen onderzoeken om het probleem op te lossen. In het ideale instantie wilt u het probleem oplossen zonder dat er andere personen betrokken zijn, zoals Microsoft-ondersteuning. Als u zich in een dergelijke situatie bevindt, kunt u de diagnostische aanmeldingsdiagnose in Microsoft Entra ID gebruiken, een hulpprogramma waarmee u aanmeldingen in Microsoft Entra ID kunt onderzoeken.

In dit artikel vindt u een overzicht van wat de diagnostische aanmelding is en hoe u deze kunt gebruiken om aanmeldingsproblemen op te lossen.

Voorwaarden

De diagnostische aanmeldingsgegevens gebruiken:

• U moet zijn ondertekend als ten minste een globale lezer.
• Voor sommige aanmeldingslogboekgegevens zijn mogelijk andere rollen vereist, zoals Beheerder voor voorwaardelijke toegang.
• Gemarkeerde aanmeldingsgebeurtenissen kunnen ook worden gecontroleerd vanuit de diagnostische aanmeldingsfunctie.
  • Gemarkeerde aanmeldingsgebeurtenissen worden vastgelegd nadat een gebruiker een vlag heeft ingeschakeld tijdens de aanmeldingservaring.
  • Zie gemarkeerde aanmeldingen voor meer informatie.

Hoe werkt het?

In Microsoft Entra ID worden aanmeldingspogingen beheerd door:

• Wie een aanmeldingspoging heeft uitgevoerd.
• Hoe een aanmeldingspoging is uitgevoerd.

U kunt bijvoorbeeld beleidsregels voor voorwaardelijke toegang configureren waarmee beheerders alle aspecten van de tenant kunnen configureren wanneer ze zich aanmelden vanuit het bedrijfsnetwerk. Maar dezelfde gebruiker kan worden geblokkeerd wanneer ze zich aanmelden bij hetzelfde account vanuit een niet-vertrouwd netwerk.

Vanwege de grotere flexibiliteit van het systeem om te reageren op een aanmeldingspoging, kan het zijn dat u in scenario's terechtkomt waarin u problemen met aanmeldingen moet oplossen. Met het diagnostisch hulpprogramma voor aanmelden kunnen aanmeldingsproblemen worden vastgesteld door:

• Gegevens analyseren van aanmeldingsgebeurtenissen en gemarkeerde aanmeldingen.
• Informatie weergeven over wat er is gebeurd.
• Aanbevelingen geven om problemen op te lossen.

Toegang krijgen tot de diagnostische aanmeldingsfunctie

Er zijn drie manieren om toegang te krijgen tot de diagnostische aanmeldingsdiagnose in Microsoft Entra ID. Selecteer een tabblad voor meer informatie over elke methode.

Fooi

Stappen in dit artikel kunnen enigszins variëren op basis van de portal waaruit u begint.

Van Problemen vaststellen en oplossen

U kunt de diagnostische aanmelding starten vanuit het gedeelte Problemen vaststellen en oplossen van Microsoft Entra-id. Vanuit Problemen vaststellen en oplossen kunt u alle gemarkeerde aanmeldingsgebeurtenissen bekijken of zoeken naar een specifieke aanmeldingsgebeurtenis. U kunt dit proces ook starten vanuit het gebied Voorwaardelijke toegang vaststellen en Problemen oplossen.

1. Meld u als globale lezer aan bij het Microsoft Entra-beheercentrum.

2. Blader naar Diagnose en los problemen boven aan de linkernavigatiebalk op.

   

   • U kunt ook toegang krijgen tot Problemen vaststellen en oplossen vanuit voorwaardelijke toegang, gebruikers, groepen, identiteitsbeveiliging en meervoudige verificatie.

3. Selecteer de koppeling Problemen oplossen op de tegel Diagnostische aanmelding.

   

4. Selecteer het tabblad Alle aanmeldingsgebeurtenissen om een zoekopdracht te starten.

   • In sommige gevallen wordt in het systeem automatisch gezocht naar gemarkeerde aanmeldingsgebeurtenissen. Als er niets wordt gevonden, wordt u omgeleid naar het tabblad Alle aanmeldingsgebeurtenissen .

5. Voer zoveel mogelijk details in de zoekvelden in.

   • Gebruiker: Geef de naam of het e-mailadres op van wie de aanmeldingspoging heeft gedaan.
   • Toepassing: Geef de weergavenaam of toepassings-id van de toepassing op.
   • correlationId of requestId: deze details vindt u in het foutenrapport of de aanmeldingslogboekgegevens.
   • Datum en tijd: geef een datum en tijd op om aanmeldingsgebeurtenissen te vinden die binnen 48 uur zijn opgetreden.

6. Selecteer de knop Volgende .

7. Verken de resultaten en neem indien nodig actie.

Vanuit de aanmeldingslogboeken

U kunt de diagnostische aanmelding starten vanuit een specifieke aanmeldingsgebeurtenis in de aanmeldingslogboeken. Wanneer u het proces start vanuit een specifieke aanmeldingsgebeurtenis, wordt de diagnostische gegevens meteen gestart. U wordt niet gevraagd eerst details in te voeren.

1. Blader naar aanmeldingslogboeken voor identiteitsbewaking>en status>en selecteer een aanmeldingsgebeurtenis.

   • U kunt uw lijst filteren om specifieke aanmeldingsgebeurtenissen gemakkelijker te vinden.

2. Selecteer in het venster Activiteitsgegevens dat wordt geopend de koppeling Diagnostische aanmelding starten.

   

3. Verken de resultaten en neem indien nodig actie.

Vanuit een ondersteuningsaanvraag

Als u bezig bent met het maken van een ondersteuningsaanvraag en de opties die u hebt geselecteerd, zijn gerelateerd aan aanmeldingsactiviteiten, wordt u gevraagd om de diagnostische aanmeldingsdiagnose uit te voeren tijdens het ondersteuningsaanvraagproces.

1. Blader naar Problemen vaststellen en oplossen.

2. Selecteer indien nodig de juiste velden. Bijvoorbeeld:

   • Servicetype: Aanmelding bij Microsoft Entra en meervoudige verificatie
   • Probleemtype: Meervoudige verificatie
   • Probleemsubtype: Kan zich niet aanmelden bij een toepassing vanwege MFA

3. Verken de resultaten en neem indien nodig actie.

De diagnostische resultaten gebruiken

Nadat de aanmeldingsdiagnose de zoekopdracht heeft voltooid, worden een paar dingen weergegeven op het scherm.

Het verificatieoverzicht bevat alle gebeurtenissen die overeenkomen met de details die u hebt opgegeven. Selecteer de optie Kolommen weergeven in de rechterbovenhoek van het overzicht om de kolommen te wijzigen die worden weergegeven.

In de diagnostische resultaten wordt beschreven wat er is gebeurd tijdens de aanmeldingsgebeurtenissen.

• Scenario's kunnen MFA-vereisten bevatten van een beleid voor voorwaardelijke toegang, aanmeldingsgebeurtenissen waarop mogelijk beleid voor voorwaardelijke toegang moet worden toegepast of een groot aantal mislukte aanmeldingspogingen in de afgelopen 48 uur.

• Verwante inhoud en koppelingen naar hulpprogramma's voor probleemoplossing kunnen worden opgegeven.

• Lees de resultaten door om alle acties te identificeren die u kunt uitvoeren.

• Omdat het niet altijd mogelijk is om problemen op te lossen zonder meer hulp, kan een aanbevolen stap zijn om een ondersteuningsticket te openen.

  

Algemene scenario's

Bekijk de tips in de volgende sectie voor enkele veelvoorkomende scenario's waarin de diagnostische aanmelding nuttige informatie over probleemoplossing kan bieden.

Voorwaardelijke toegang

Beleidsregels voor voorwaardelijke toegang worden gebruikt om de juiste besturingselementen voor toegang toe te passen wanneer dat nodig is om uw organisatie veilig te houden. Omdat beleidsregels voor voorwaardelijke toegang kunnen worden gebruikt om toegang tot resources te verlenen of te blokkeren, worden ze vaak weergegeven in de diagnostische aanmeldingsfunctie.

• Geblokkeerd door voorwaardelijke toegang: uw beleid voor voorwaardelijke toegang heeft voorkomen dat de gebruiker zich aanmeldt.

• Mislukte voorwaardelijke toegang: het is mogelijk dat uw beleid voor voorwaardelijke toegang te strikt is. Controleer uw configuraties voor volledige sets gebruikers, groepen en apps. Zorg ervoor dat u begrijpt wat de gevolgen zijn van het beperken van de toegang vanaf bepaalde typen apparaten.

• Meervoudige verificatie (MFA) van voorwaardelijke toegang: uw beleid voor voorwaardelijke toegang heeft het MFA-proces voor de gebruiker geactiveerd.

• B2B heeft aanmelding geblokkeerd vanwege voorwaardelijke toegang: u hebt een beleid voor voorwaardelijke toegang om te voorkomen dat externe identiteiten zich aanmelden.

Meervoudige verificatie

Er zijn verschillende MFA-gerelateerde gebeurtenissen (MultiFactor Authentication) die u kunt oplossen met behulp van het diagnostische hulpprogramma voor aanmelding.

• MFA van andere vereisten: Als in de resultaten MFA wordt weergegeven op basis van een andere vereiste dan voorwaardelijke toegang, is MFA mogelijk per gebruiker ingeschakeld. U wordt aangeraden MFA per gebruiker te converteren naar voorwaardelijke toegang. De diagnostische aanmelding biedt details over de bron van de MFA-onderbreking en het resultaat van de interactie.

• MFA 'proofup': MFA heeft de aanmeldingspoging onderbroken, dus informatie over 'proofup' wordt verstrekt in de diagnostische resultaten. Deze fout wordt weergegeven wanneer gebruikers MFA voor het eerst instellen en de installatie niet voltooien of hun configuratie niet van tevoren is ingesteld.

  

• Juiste en onjuiste referenties: Soms voeren gebruikers alleen de verkeerde referenties in. Het diagnostische hulpprogramma voor aanmelding kan helpen onderscheid te maken tussen menselijke fouten en andere problemen.

• Geslaagde aanmelding: in sommige gevallen wilt u weten of aanmeldingsgebeurtenissen niet worden onderbroken door voorwaardelijke toegang of MFA, maar dat moet wel het geval zijn. Het diagnostische hulpprogramma voor aanmelding biedt details over aanmeldingsgebeurtenissen die moeten worden onderbroken, maar niet.

• Account vergrendeld: een gebruiker heeft te vaak geprobeerd zich aan te melden met onjuiste referenties. De diagnostische resultaten helpen bepalen waar de pogingen vandaan komen en of ze legitieme aanmeldingspogingen van gebruikers zijn of niet. Details over de apps, het aantal pogingen, het gebruikte apparaat, het besturingssysteem en het IP-adres worden opgegeven. Zie Microsoft Entra Smart Lockout voor meer informatie.

• Ongeldige gebruikersnaam of wachtwoord: wanneer een gebruiker zich probeert aan te melden met een ongeldige gebruikersnaam of wachtwoord, bevat de diagnostische aanmeldingsgegevens over de apps, het aantal pogingen, het gebruikte apparaat, het besturingssysteem en het IP-adres. Deze informatie helpt te bepalen of de gebruiker onjuiste referenties heeft ingevoerd of of de toepassing een oud wachtwoord in de cache heeft opgeslagen en opnieuw verzendt.

Bedrijfs-apps

In bedrijfstoepassingen kunnen problemen optreden met de configuratie van de id-provider (Microsoft Entra ID) of de serviceprovider (toepassingsservice, ook wel Bekend als SaaS-toepassingsconfiguratie)

• Serviceprovider voor bedrijfs-apps: als de aanmelding is mislukt vanwege een probleem met de serviceprovider (toepassingszijde) van de aanmeldingsstroom, wordt het probleem opgelost door problemen in de toepassingsservice op te lossen. U moet zich aanmelden bij de andere service en een configuratie wijzigen volgens de diagnostische richtlijnen.

• Configuratie van bedrijfs-apps: als de aanmelding is mislukt vanwege een configuratieprobleem aan de zijde van de Microsoft Entra-id van de toepassing, moet u de configuratie van de toepassing in bedrijfstoepassingen controleren en bijwerken.

Standaardinstellingen voor beveiliging

Aanmeldingsgebeurtenissen kunnen worden onderbroken vanwege de standaardinstellingen voor beveiliging. Standaardinstellingen voor beveiliging dwingen best practice-beveiliging af voor uw organisatie. Een best practice is om te vereisen dat MFA wordt geconfigureerd en gebruikt om wachtwoordsprays, herhalingsaanvallen en phishingpogingen te voorkomen.

Zie Wat zijn de standaardinstellingen voor beveiliging? voor meer informatie.

Inzichten in foutcodes

Wanneer een gebeurtenis geen contextuele analyse heeft in de diagnostische aanmelding, kan er een bijgewerkte uitleg van foutcodes en relevante inhoud worden weergegeven. De inzichten in foutcodes bevatten gedetailleerde tekst over het scenario, het oplossen van het probleem en eventuele inhoud die met betrekking tot het probleem moet worden gelezen.

Verouderde verificatie

Dit scenario omvat een aanmeldingsgebeurtenis die is geblokkeerd of onderbroken omdat de client verouderde verificatie (of basisverificatie) probeerde te gebruiken.

Het voorkomen van verouderde aanmelding bij verificatie wordt aanbevolen als aanbevolen procedure voor beveiliging. Verouderde verificatieprotocollen zoals POP, SMTP, IMAP en MAPI kunnen MFA niet afdwingen, waardoor ze voorkeursinvoerpunten hebben voor kwaadwillende personen om uw organisatie aan te vallen.

Zie Verouderde verificatie voor Microsoft Entra-id blokkeren met voorwaardelijke toegang voor meer informatie.

B2B geblokkeerde aanmelding vanwege voorwaardelijke toegang

In dit diagnostische scenario wordt een geblokkeerde of onderbroken aanmelding gedetecteerd omdat de gebruiker afkomstig is van een andere organisatie. Bijvoorbeeld een B2B-aanmelding, waarbij een beleid voor voorwaardelijke toegang vereist dat het apparaat van de client is gekoppeld aan de resourcetenant.

Zie Voorwaardelijke toegang voor B2B-samenwerkingsgebruikers voor meer informatie.

Geblokkeerd door risicobeleid

In dit scenario wordt een aanmeldingspoging op basis van risico's geblokkeerd door beleid voor voorwaardelijke toegang, omdat de aanmeldingspoging is geïdentificeerd als riskant.

Zie Risicobeleid configureren en inschakelen voor meer informatie.

Pass through-verificatie

Omdat pass through-verificatie een integratie is van on-premises en cloudverificatietechnologieën, kan het lastig zijn om te bepalen waar het probleem zich bevindt. Deze diagnose is bedoeld om deze scenario's gemakkelijker te diagnosticeren en op te lossen.

In dit diagnostische scenario worden gebruikersspecifieke aanmeldingsproblemen geïdentificeerd wanneer de gebruikte verificatiemethode wordt doorgegeven via verificatie (PTA) en er is een specifieke PTA-fout. Fouten als gevolg van andere problemen, zelfs wanneer PTA-verificatie wordt gebruikt, worden nog steeds correct agnoseerd.

De diagnostische resultaten bevatten contextuele informatie over de fout en de gebruiker die zich aanmeldt. De resultaten kunnen andere redenen hebben waarom de aanmelding is mislukt en aanbevolen acties die de beheerder kan ondernemen om het probleem op te lossen. Zie Microsoft Entra Connect voor meer informatie: Problemen met passthrough-verificatie oplossen.

Naadloze eenmalige aanmelding

Naadloze eenmalige aanmelding integreert Kerberos-verificatie met cloudverificatie. Omdat dit scenario twee verificatieprotocollen omvat, kan het lastig zijn om te begrijpen waar een storingspunt zich bevindt wanneer aanmeldingsproblemen optreden. Deze diagnose is bedoeld om deze scenario's gemakkelijker te diagnosticeren en op te lossen.

In dit diagnostische scenario wordt de context van de aanmeldingsfout en specifieke foutoorzaak onderzocht. De diagnostische resultaten kunnen contextuele informatie bevatten over de aanmeldingspoging en voorgestelde acties die de beheerder kan uitvoeren. Zie Problemen met naadloze eenmalige aanmelding van Microsoft Entra oplossen voor meer informatie.

Verwante inhoud

• Diagnostische aanmeldingsgegevens voor Microsoft Entra-scenario's
• Meer informatie over gemarkeerde aanmeldingen
• Aanmeldingsfouten oplossen