Użyj raportu logowania, aby przejrzeć zdarzenia usługi Azure AD Multi-Factor Authentication

Aby przejrzeć i zrozumieć zdarzenia Azure AD Multi-Factor Authentication, możesz użyć raportu logowania Azure Active Directory (Azure AD). Ten raport zawiera szczegóły uwierzytelniania dotyczące zdarzeń, gdy użytkownik jest monitowany o uwierzytelnianie wieloskładnikowe, a jeśli są używane jakiekolwiek zasady dostępu warunkowego. Aby uzyskać szczegółowe informacje na temat raportu logowania, zobacz omówienie raportów aktywności logowania w Azure AD.

W tym artykule pokazano, jak wyświetlić raport logowania Azure AD w Azure Portal, a następnie moduł MSOnline V1 programu PowerShell.

Wyświetlanie raportu Azure AD logowania

Raport logowania zawiera informacje o użyciu zarządzanych aplikacji i działań logowania użytkowników, które obejmują informacje o użyciu uwierzytelniania wieloskładnikowego (MFA). Dane usługi MFA dają wgląd w sposób działania usługi MFA w Twojej organizacji. Umożliwia odpowiadanie na pytania, takie jak:

  • Czy logowanie zostało zakwestionowane przez usługę MFA?
  • Jak użytkownik ukończył uwierzytelnianie MFA?
  • Które metody uwierzytelniania były używane podczas logowania?
  • Dlaczego użytkownik nie mógł ukończyć uwierzytelniania MFA?
  • Ilu użytkowników zostało zakwestionowanych przez usługę MFA?
  • Ilu użytkowników nie mogło odpowiedzieć na wezwania usługi MFA?
  • Jakie są typowe problemy z usługą MFA, na które natykają się użytkownicy końcowi?

Aby wyświetlić raport aktywności logowania w Azure Portal, wykonaj następujące kroki. Możesz również wykonywać zapytania dotyczące danych przy użyciu interfejsu API raportowania.

  1. Zaloguj się do Azure Portal przy użyciu konta z uprawnieniami administratora globalnego.

  2. Wyszukaj i wybierz pozycję Azure Active Directory, a następnie wybierz pozycję Użytkownicy z menu po lewej stronie.

  3. W obszarze Działanie z menu po lewej stronie wybierz pozycję Logowania.

  4. Zostanie wyświetlona lista zdarzeń logowania, w tym stan. Możesz wybrać zdarzenie, aby wyświetlić więcej szczegółów.

    Karta Szczegóły uwierzytelniania lub dostęp warunkowy w szczegółach zdarzenia zawiera kod stanu lub zasady wyzwalane przez uwierzytelnianie wieloskładnikowe.

    Screenshot of example Azure Active Directory sign-ins report in the Azure portal

Jeśli jest dostępna, zostanie wyświetlone uwierzytelnianie, takie jak wiadomość SMS, Microsoft Authenticator powiadomienie aplikacji lub połączenie telefoniczne.

Karta Szczegóły uwierzytelniania zawiera następujące informacje dla każdej próby uwierzytelnienia:

  • Lista zastosowanych zasad uwierzytelniania (takich jak dostęp warunkowy, uwierzytelnianie wieloskładnikowe dla użytkownika, ustawienia domyślne zabezpieczeń)
  • Sekwencja metod uwierzytelniania używanych do logowania
  • Niezależnie od tego, czy próba uwierzytelnienia zakończyła się pomyślnie
  • Szczegółowe informacje o tym, dlaczego próba uwierzytelniania zakończyła się powodzeniem lub niepowodzeniem

Te informacje umożliwiają administratorom rozwiązywanie problemów z każdym krokiem logowania użytkownika i śledzenie:

  • Liczba logów chronionych przez uwierzytelnianie wieloskładnikowe
  • Użycie i współczynniki powodzenia dla każdej metody uwierzytelniania
  • Użycie metod uwierzytelniania bez hasła (takich jak logowanie bez hasła Telefon, FIDO2 i Windows Hello dla firm)
  • Jak często wymagania dotyczące uwierzytelniania są spełnione przez oświadczenia tokenu (gdy użytkownicy nie są interaktywnie monitowani o wprowadzenie hasła, wprowadź SMS OTP itd.)

Podczas wyświetlania raportu logowania wybierz kartę Szczegóły uwierzytelniania :

Screenshot of the Authentication Details tab

Uwaga

Kod weryfikacyjny OATH jest rejestrowany jako metoda uwierzytelniania zarówno dla sprzętu OATH, jak i tokenów oprogramowania (takich jak aplikacja Microsoft Authenticator).

Ważne

Karta Szczegóły uwierzytelniania może początkowo wyświetlać niekompletne lub niedokładne dane, dopóki informacje dziennika nie zostaną w pełni zagregowane. Znane przykłady obejmują:

  • Oświadczenie w komunikacie tokenu jest niepoprawnie wyświetlane po początkowym zarejestrowaniu zdarzeń logowania.
  • Wiersz uwierzytelniania podstawowego nie jest początkowo rejestrowany.

Poniższe szczegóły są wyświetlane w oknie Szczegóły uwierzytelniania dla zdarzenia logowania, które pokazuje, czy żądanie uwierzytelniania wieloskładnikowego zostało spełnione lub odrzucone:

  • Jeśli uwierzytelnianie MFA powiodło się, ta kolumna zawiera więcej informacji na temat sposobu przeprowadzenia uwierzytelnienia MFA.

    • ukończone w chmurze
    • wygasłe z powodu zasad skonfigurowanych w dzierżawie
    • wyświetlono monit o rejestrację
    • zrealizowane przez oświadczenie w tokenie
    • zrealizowane przez oświadczenie dostarczone przez dostawcę zewnętrznego
    • zrealizowane przez silne uwierzytelnianie
    • pominięte, ponieważ zrealizowany przepływ był przepływem logowania brokera systemu Windows
    • pominięte z powodu hasła aplikacji
    • pominięte z powodu lokalizacji
    • pominięte z powodu zarejestrowanego urządzenia
    • pominięte z powodu zapamiętanego urządzenia
    • pomyślnie ukończono
  • Jeśli uwierzytelnianie MFA nie powiodło się, ta kolumna zawiera przyczynę niepowodzenia.

    • uwierzytelnianie w toku
    • próba zduplikowanego uwierzytelnienia
    • zbyt wiele razy wprowadzono niepoprawny kod
    • nieprawidłowe uwierzytelnienie
    • nieprawidłowy kod weryfikacyjny aplikacji mobilnej
    • błąd konfiguracji
    • połączenie telefoniczne przekierowane do poczty głosowej
    • numer telefonu ma nieprawidłowy format
    • błąd usługi
    • nie można nawiązać połączenia z telefonem użytkownika
    • nie można wysłać powiadomienia aplikacji mobilnej do urządzenia
    • nie można wysłać powiadomienia aplikacji mobilnej
    • uwierzytelnienie odrzucone przez użytkownika
    • użytkownik nie odpowiedział na powiadomienie aplikacji mobilnej
    • użytkownik nie ma żadnych zarejestrowanych metod weryfikacji
    • użytkownik wprowadził nieprawidłowy kod
    • użytkownik wprowadził nieprawidłowy numer PIN
    • użytkownik rozłączył połączenie telefoniczne bez pomyślnego uwierzytelnienia
    • użytkownik jest zablokowany
    • użytkownik nigdy nie wprowadził kodu weryfikacyjnego
    • nie znaleziono użytkownika
    • kod weryfikacyjny został już raz użyty

Raportowanie programu PowerShell dla użytkowników zarejestrowanych w usłudze MFA

Najpierw upewnij się, że zainstalowano moduł MSOnline V1 programu PowerShell .

Zidentyfikuj użytkowników, którzy zarejestrowali się w usłudze MFA, przy użyciu następującego programu PowerShell. Ten zestaw poleceń wyklucza wyłączonych użytkowników, ponieważ te konta nie mogą uwierzytelniać się w Azure AD:

Get-MsolUser -All | Where-Object {$_.StrongAuthenticationMethods -ne $null -and $_.BlockCredential -eq $False} | Select-Object -Property UserPrincipalName

Zidentyfikuj użytkowników, którzy nie zarejestrowali się w usłudze MFA przy użyciu następującego programu PowerShell. Ten zestaw poleceń wyklucza wyłączonych użytkowników, ponieważ te konta nie mogą uwierzytelniać się w Azure AD:

Get-MsolUser -All | Where-Object {$_.StrongAuthenticationMethods.Count -eq 0 -and $_.BlockCredential -eq $False} | Select-Object -Property UserPrincipalName

Identyfikowanie zarejestrowanych użytkowników i metod wyjściowych:

Get-MsolUser -All | Select-Object @{N='UserPrincipalName';E={$_.UserPrincipalName}},@{N='MFA Status';E={if ($_.StrongAuthenticationRequirements.State){$_.StrongAuthenticationRequirements.State} else {"Disabled"}}},@{N='MFA Methods';E={$_.StrongAuthenticationMethods.methodtype}} | Export-Csv -Path c:\MFA_Report.csv -NoTypeInformation

Dodatkowe raporty uwierzytelniania wieloskładnikowego

Następujące dodatkowe informacje i raporty są dostępne dla zdarzeń uwierzytelniania wieloskładnikowego, w tym dla serwera MFA:

Raport Lokalizacja Opis
Zablokowana historia użytkowników > Azure AD blokowanie/odblokowywanie użytkowników usługi MFA > zabezpieczeń > Przedstawia historię żądań blokowania lub odblokowywania użytkowników.
Użycie składników lokalnych > raport aktywności usługi MFA > zabezpieczeń > Azure AD Zawiera informacje na temat ogólnego użycia serwera MFA za pośrednictwem rozszerzenia serwera NPS, usług ADFS i serwera MFA.
Pominięto historię użytkowników > jednorazowe obejście usługi MFA > zabezpieczeń > Azure AD Udostępnia historię żądań serwera MFA w celu obejścia uwierzytelniania wieloskładnikowego dla użytkownika.
Stan serwera > stan serwera usługi MFA > zabezpieczeń > Azure AD Wyświetla stan serwerów uwierzytelniania wieloskładnikowego skojarzonych z kontem.

Następne kroki

Ten artykuł zawiera omówienie raportu aktywności logowania. Aby uzyskać bardziej szczegółowe informacje na temat tego raportu, zobacz Raporty aktywności logowania w Azure AD.