Diagnostyka logowania dla scenariuszy firmy Microsoft Entra

Możesz użyć diagnostyki logowania dla firmy Microsoft Entra ID, aby przeanalizować, co się stało podczas próby logowania i uzyskać zalecenia dotyczące rozwiązywania problemów bez konieczności zaangażowania się w pomoc techniczną firmy Microsoft.

Ten artykuł zawiera omówienie typów scenariuszy, które można zidentyfikować i rozwiązać podczas korzystania z tego narzędzia.

Jak uzyskać dostęp do diagnostyki logowania

Istnieją trzy sposoby uzyskiwania dostępu do narzędzia diagnostyki logowania: z obszaru Diagnozowanie i rozwiązywanie problemów, dzienniki logowania firmy Microsoft Entra oraz podczas tworzenia nowego wniosku o pomoc techniczną. Aby uzyskać więcej informacji, zobacz Jak używać diagnostyki logowania.

Dostęp warunkowy

Zasady dostępu warunkowego są używane do stosowania odpowiednich mechanizmów kontroli dostępu w razie potrzeby w celu zapewnienia bezpieczeństwa organizacji. Ponieważ zasady dostępu warunkowego mogą służyć do udzielania lub blokowania dostępu do zasobów, często są one wyświetlane w diagnostyce logowania.

• Zablokowane przez dostęp warunkowy

  • Zasady dostępu warunkowego uniemożliwiły użytkownikowi zalogowanie się.

• Nieudany dostęp warunkowy

  • Możliwe, że zasady dostępu warunkowego są zbyt rygorystyczne.
  • Przejrzyj konfiguracje kompletnych zestawów użytkowników, grup i aplikacji.
  • Upewnij się, że rozumiesz implikacje ograniczania dostępu z niektórych typów urządzeń.

• Uwierzytelnianie wieloskładnikowe (MFA) z dostępu warunkowego

  • Zasady dostępu warunkowego wyzwoliły proces uwierzytelniania wieloskładnikowego dla użytkownika.

• Logowanie B2B zablokowane z powodu dostępu warunkowego:

  • Istnieją zasady dostępu warunkowego umożliwiające blokowanie logowania się tożsamości zewnętrznych.

Uwierzytelnianie wieloskładnikowe

Istnieje kilka zdarzeń związanych z uwierzytelnianiem wieloskładnikowym, które można rozwiązać za pomocą narzędzia diagnostycznego logowania.

Uwierzytelnianie wieloskładnikowe z innych wymagań

Jeśli wyniki diagnostyki logowania wykazały uwierzytelnianie wieloskładnikowe z wymagania innego niż dostęp warunkowy, może być włączone uwierzytelnianie wieloskładnikowe dla poszczególnych użytkowników. Zalecamy przekonwertowanie uwierzytelniania wieloskładnikowego dla użytkownika na dostęp warunkowy. Diagnostyka logowania zawiera szczegółowe informacje dotyczące źródła przerwania uwierzytelniania wieloskładnikowego i wyniku interakcji.

Uwierzytelnianie wieloskładnikowe "proofup"

Inny typowy scenariusz występuje, gdy uwierzytelnianie wieloskładnikowe przerywa próby logowania. Po uruchomieniu diagnostyki logowania informacje o "weryfikacji" są udostępniane w wynikach diagnostycznych. Ten błąd pojawia się, gdy użytkownicy konfigurują uwierzytelnianie wieloskładnikowe po raz pierwszy i nie dokończą konfiguracji lub ich konfiguracja nie została skonfigurowana przed upływem czasu.

Poprawne i nieprawidłowe poświadczenia

Czasami użytkownicy po prostu wprowadzają nieprawidłowe poświadczenia. Narzędzie diagnostyczne logowania może pomóc w odróżnieniu od błędu ludzkiego i innych problemów.

Pomyślne logowanie

W niektórych przypadkach chcesz wiedzieć, czy zdarzenia logowania nie są przerywane przez dostęp warunkowy lub uwierzytelnianie wieloskładnikowe, ale powinny być. Narzędzie diagnostyczne logowania zawiera szczegółowe informacje o zdarzeniach logowania, które powinny zostać przerwane, ale nie.

Zablokowane konto

Innym typowym scenariuszem jest to, że użytkownik próbuje zalogować się przy użyciu nieprawidłowych poświadczeń zbyt wiele razy. Ten błąd występuje, gdy wystąpiło zbyt wiele prób logowania opartych na hasłach z nieprawidłowymi poświadczeniami. Wyniki diagnostyki zawierają informacje dla administratora, aby określić, skąd pochodzą próby i czy są to uzasadnione próby logowania użytkownika, czy też nie. Uruchomienie diagnostyki logowania zawiera szczegółowe informacje na temat aplikacji, liczby prób, używanego urządzenia, systemu operacyjnego i adresu IP. Aby uzyskać więcej informacji, zobacz Microsoft Entra Smart Lockout.

Nieprawidłowa nazwa użytkownika lub hasło

Jeśli użytkownik próbował zalogować się przy użyciu nieprawidłowej nazwy użytkownika lub hasła, diagnostyka logowania pomaga administratorowi określić źródło problemu. Źródłem może być użytkownik wprowadzający nieprawidłowe poświadczenia lub klient i/lub aplikacje, które są buforowane stare hasło i przesyła je ponownie. Diagnostyka logowania zawiera szczegółowe informacje na temat aplikacji, liczby prób, używanego urządzenia, systemu operacyjnego i adresu IP.

Aplikacje dla przedsiębiorstw

W aplikacjach dla przedsiębiorstw istnieją dwa punkty, w których mogą wystąpić problemy:

• Konfiguracja aplikacji dostawcy tożsamości (Microsoft Entra ID)
• Konfiguracja dostawcy usług (usługi aplikacji, znanej również jako aplikacja SaaS)

Diagnostyka tych problemów dotyczy tego, która strona problemu powinna być sprawdzana pod kątem rozwiązania i co należy zrobić

Dostawca usług aplikacji dla przedsiębiorstw

Jeśli wystąpił błąd, gdy użytkownik próbował zalogować się do aplikacji, logowanie nie powiodło się z powodu problemu z dostawcą usług (aplikacją) przepływu logowania. Problemy wykryte przez diagnostykę logowania muszą być zwykle rozwiązywane przez zmianę konfiguracji lub rozwiązywanie problemów w usłudze aplikacji. Rozwiązanie dla tego scenariusza oznacza, że musisz zalogować się do drugiej usługi i zmienić konfigurację zgodnie ze wskazówkami diagnostycznymi.

Konfiguracja aplikacji dla przedsiębiorstw

Logowanie może zakończyć się niepowodzeniem z powodu problemu z konfiguracją aplikacji po stronie identyfikatora Entra firmy Microsoft aplikacji. W takich sytuacjach rozwiązanie wymaga przejrzenia i zaktualizowania konfiguracji aplikacji na stronie Aplikacje dla przedsiębiorstw dla aplikacji.

Inne scenariusze

Diagnostyka logowania może być również używana w różnych scenariuszach.

Wartości domyślne zabezpieczeń

Zdarzenia logowania można przerwać z powodu ustawień domyślnych zabezpieczeń. Wartości domyślne zabezpieczeń wymuszają zabezpieczenia najlepszych rozwiązań dla organizacji. Najlepszym rozwiązaniem jest wymaganie skonfigurowania uwierzytelniania wieloskładnikowego i użycia go w celu zapobiegania sprayom haseł, atakom powtarzanym i próbom wyłudzania informacji.

Aby uzyskać więcej informacji, zobacz Co to są wartości domyślne zabezpieczeń?.

Szczegółowe informacje o kodzie błędu

Jeśli zdarzenie nie ma analizy kontekstowej w diagnostyce logowania, może zostać wyświetlone zaktualizowane wyjaśnienie kodu błędu i odpowiednia zawartość. Szczegółowe informacje o kodzie błędu zawierają szczegółowy tekst na temat scenariusza, sposobu korygowania problemu oraz dowolnej zawartości do odczytania problemu.

Starsze uwierzytelnianie

Ten scenariusz obejmuje zdarzenie logowania, które zostało zablokowane lub przerwane, ponieważ klient próbował użyć uwierzytelniania starszego (lub podstawowego).

Zapobieganie starszemu logowaniu uwierzytelniania jest zalecane jako najlepsze rozwiązanie w zakresie zabezpieczeń. Starsze protokoły uwierzytelniania, takie jak POP, SMTP, IMAP i MAPI, nie mogą wymuszać uwierzytelniania wieloskładnikowego, co sprawia, że preferowane punkty wejścia dla przeciwników do ataku na organizację.

Aby uzyskać więcej informacji, zobacz Jak zablokować starsze uwierzytelnianie do identyfikatora Entra firmy Microsoft przy użyciu dostępu warunkowego.

Logowanie B2B zablokowane z powodu dostępu warunkowego

W tym scenariuszu diagnostycznym wykryto zablokowane lub przerwane logowanie ze względu na to, że użytkownik pochodzi z innej organizacji. Na przykład logowanie B2B, w którym zasady dostępu warunkowego wymagają dołączenia urządzenia klienta do dzierżawy zasobów.

Aby uzyskać więcej informacji, zobacz Dostęp warunkowy dla użytkowników współpracy B2B.

Zablokowane przez zasady ryzyka

W tym scenariuszu zasady ochrony tożsamości blokują próbę logowania z powodu próby logowania, która została zidentyfikowana jako ryzykowna.

Aby uzyskać więcej informacji, zobacz Jak skonfigurować i włączyć zasady ryzyka.

Przekazywanie uwierzytelniania

Ponieważ uwierzytelnianie przekazywane jest integracją technologii uwierzytelniania lokalnego i chmurowego, trudno jest określić, gdzie leży problem. Ta diagnostyka ma ułatwić diagnozowanie i rozwiązywanie tych scenariuszy.

Ten scenariusz diagnostyczny identyfikuje problemy z logowaniem specyficzne dla użytkownika, gdy używana metoda uwierzytelniania jest przekazywana przez uwierzytelnianie (PTA) i występuje błąd specyficzny dla pta. Błędy spowodowane innymi problemami nawet wtedy, gdy jest używane uwierzytelnianie PTA, nadal będą prawidłowo diagnozowane.

Wyniki diagnostyki pokazują kontekstowe informacje o niepowodzeniu i logowaniu użytkownika. Wyniki mogą pokazać inne przyczyny niepowodzenia logowania i zalecane działania, które administrator może wykonać, aby rozwiązać ten problem. Aby uzyskać więcej informacji, zobacz Microsoft Entra Połączenie: Troubleshoot Pass-through Authentication (Rozwiązywanie problemów z uwierzytelnianiem z przekazywaniem).

Bezproblemowe logowanie jednokrotne

Bezproblemowe logowanie jednokrotne integruje uwierzytelnianie Kerberos z uwierzytelnianiem w chmurze. Ponieważ ten scenariusz obejmuje dwa protokoły uwierzytelniania, trudno jest zrozumieć, gdzie występuje punkt awarii podczas problemów z logowaniem. Ta diagnostyka ma ułatwić diagnozowanie i rozwiązywanie tych scenariuszy.

Ten scenariusz diagnostyczny analizuje kontekst niepowodzenia logowania i określoną przyczynę niepowodzenia. Wyniki diagnostyki mogą zawierać kontekstowe informacje dotyczące próby logowania i sugerowane akcje, które może wykonać administrator. Aby uzyskać więcej informacji, zobacz Rozwiązywanie problemów z bezproblemowym logowaniem jednokrotnym firmy Microsoft.