Użyj raportu logowania, aby przejrzeć zdarzenia usługi Azure AD Multi-Factor Authentication

Aby przejrzeć i zrozumieć zdarzenia usługi Multi-Factor Authentication Azure AD, możesz użyć raportu logowania usługi Azure Active Directory (Azure AD). Ten raport zawiera szczegóły uwierzytelniania dotyczące zdarzeń, gdy użytkownik jest monitowany o uwierzytelnianie wieloskładnikowe, a jeśli są używane jakiekolwiek zasady dostępu warunkowego. Aby uzyskać szczegółowe informacje na temat raportu logowania, zobacz omówienie raportów aktywności logowania w Azure AD.

W tym artykule pokazano, jak wyświetlić raport logowania Azure AD w Azure Portal, a następnie moduł MSOnline V1 programu PowerShell.

Wyświetlanie raportu Azure AD logowania

Raport logowania zawiera informacje o użyciu zarządzanych aplikacji i działań logowania użytkowników, które obejmują informacje o użyciu uwierzytelniania wieloskładnikowego (MFA). Dane usługi MFA dają wgląd w sposób działania usługi MFA w Twojej organizacji. Odpowiada na pytania, takie jak:

  • Czy logowanie zostało zakwestionowane przez usługę MFA?
  • Jak użytkownik ukończył uwierzytelnianie MFA?
  • Które metody uwierzytelniania były używane podczas logowania?
  • Dlaczego użytkownik nie mógł ukończyć uwierzytelniania MFA?
  • Ilu użytkowników zostało zakwestionowanych przez usługę MFA?
  • Ilu użytkowników nie mogło odpowiedzieć na wezwania usługi MFA?
  • Jakie są typowe problemy z usługą MFA, na które natykają się użytkownicy końcowi?

Aby wyświetlić raport aktywności logowania w Azure Portal, wykonaj następujące kroki. Możesz również wykonywać zapytania dotyczące danych przy użyciu interfejsu API raportowania.

  1. Zaloguj się do Azure Portal przy użyciu konta z uprawnieniami administratora globalnego.

  2. Wyszukaj i wybierz pozycję Azure Active Directory, a następnie wybierz pozycję Użytkownicy z menu po lewej stronie.

  3. W obszarze Działanie z menu po lewej stronie wybierz pozycję Logowania.

  4. Zostanie wyświetlona lista zdarzeń logowania, w tym stan. Możesz wybrać zdarzenie, aby wyświetlić więcej szczegółów.

    Karta Szczegóły uwierzytelniania lub dostęp warunkowy w szczegółach zdarzenia zawiera kod stanu lub zasady wyzwalane przez uwierzytelnianie wieloskładnikowe.

    Zrzut ekranu przedstawiający przykładowy raport logowania w usłudze Azure Active Directory w Azure Portal

Jeśli jest dostępna, zostanie wyświetlone uwierzytelnianie, takie jak wiadomość SMS, Microsoft powiadomienie aplikacji Authenticator lub połączenie telefoniczne.

Karta Szczegóły uwierzytelniania zawiera następujące informacje dla każdej próby uwierzytelnienia:

  • Lista zastosowanych zasad uwierzytelniania (takich jak dostęp warunkowy, uwierzytelnianie wieloskładnikowe dla użytkownika, ustawienia domyślne zabezpieczeń)
  • Sekwencja metod uwierzytelniania używanych do logowania
  • Niezależnie od tego, czy próba uwierzytelnienia zakończyła się pomyślnie
  • Szczegółowe informacje o tym, dlaczego próba uwierzytelniania zakończyła się powodzeniem lub niepowodzeniem

Te informacje umożliwiają administratorom rozwiązywanie problemów z każdym krokiem logowania użytkownika i śledzenie:

  • Liczba logów chronionych przez uwierzytelnianie wieloskładnikowe
  • Użycie i współczynniki powodzenia dla każdej metody uwierzytelniania
  • Użycie metod uwierzytelniania bez hasła (takich jak logowanie na telefon bez hasła, FIDO2 i Windows Hello dla firm)
  • Jak często wymagania dotyczące uwierzytelniania są spełnione przez oświadczenia tokenu (gdzie użytkownicy nie są interaktywnie monitowani o wprowadzenie hasła, wprowadź protokół OTP programu SMS itd.)

Podczas wyświetlania raportu logowania wybierz kartę Szczegóły uwierzytelniania :

Zrzut ekranu przedstawiający kartę Szczegóły uwierzytelniania

Uwaga

Kod weryfikacyjny OATH jest rejestrowany jako metoda uwierzytelniania zarówno dla sprzętu OATH, jak i tokenów oprogramowania (takich jak aplikacja Microsoft Authenticator).

Ważne

Karta Szczegóły uwierzytelniania może początkowo wyświetlać niekompletne lub niedokładne dane, dopóki informacje dziennika nie zostaną w pełni zagregowane. Znane przykłady obejmują:

  • Oświadczenie w komunikacie tokenu jest niepoprawnie wyświetlane po początkowym zarejestrowaniu zdarzeń logowania.
  • Wiersz uwierzytelniania podstawowego nie jest początkowo rejestrowany.

Poniższe szczegóły są wyświetlane w oknie Szczegóły uwierzytelniania dla zdarzenia logowania, które pokazuje, czy żądanie uwierzytelniania wieloskładnikowego zostało spełnione lub odrzucone:

  • Jeśli uwierzytelnianie MFA powiodło się, ta kolumna zawiera więcej informacji na temat sposobu przeprowadzenia uwierzytelnienia MFA.

    • ukończone w chmurze
    • wygasłe z powodu zasad skonfigurowanych w dzierżawie
    • wyświetlono monit o rejestrację
    • zrealizowane przez oświadczenie w tokenie
    • zrealizowane przez oświadczenie dostarczone przez dostawcę zewnętrznego
    • zrealizowane przez silne uwierzytelnianie
    • pominięte, ponieważ zrealizowany przepływ był przepływem logowania brokera systemu Windows
    • pominięte z powodu hasła aplikacji
    • pominięte z powodu lokalizacji
    • pominięte z powodu zarejestrowanego urządzenia
    • pominięte z powodu zapamiętanego urządzenia
    • pomyślnie ukończono
  • Jeśli uwierzytelnianie MFA nie powiodło się, ta kolumna zawiera przyczynę niepowodzenia.

    • uwierzytelnianie w toku
    • próba zduplikowanego uwierzytelnienia
    • zbyt wiele razy wprowadzono niepoprawny kod
    • nieprawidłowe uwierzytelnienie
    • nieprawidłowy kod weryfikacyjny aplikacji mobilnej
    • błąd konfiguracji
    • połączenie telefoniczne przekierowane do poczty głosowej
    • numer telefonu ma nieprawidłowy format
    • błąd usługi
    • nie można nawiązać połączenia z telefonem użytkownika
    • nie można wysłać powiadomienia aplikacji mobilnej do urządzenia
    • nie można wysłać powiadomienia aplikacji mobilnej
    • uwierzytelnienie odrzucone przez użytkownika
    • użytkownik nie odpowiedział na powiadomienie aplikacji mobilnej
    • użytkownik nie ma żadnych zarejestrowanych metod weryfikacji
    • użytkownik wprowadził nieprawidłowy kod
    • użytkownik wprowadził nieprawidłowy numer PIN
    • użytkownik rozłączył połączenie telefoniczne bez pomyślnego uwierzytelnienia
    • użytkownik jest zablokowany
    • użytkownik nigdy nie wprowadził kodu weryfikacyjnego
    • nie znaleziono użytkownika
    • kod weryfikacyjny został już raz użyty

Raportowanie programu PowerShell dla użytkowników zarejestrowanych w usłudze MFA

Najpierw upewnij się, że zainstalowano moduł MSOnline V1 programu PowerShell .

Zidentyfikuj użytkowników, którzy zarejestrowali się w usłudze MFA, przy użyciu następującego programu PowerShell. Ten zestaw poleceń wyklucza wyłączonych użytkowników, ponieważ te konta nie mogą uwierzytelniać się w Azure AD:

Get-MsolUser -All | Where-Object {$_.StrongAuthenticationMethods -ne $null -and $_.BlockCredential -eq $False} | Select-Object -Property UserPrincipalName

Zidentyfikuj użytkowników, którzy nie są zarejestrowani w usłudze MFA, uruchamiając następujące polecenia programu PowerShell. Ten zestaw poleceń wyklucza wyłączonych użytkowników, ponieważ te konta nie mogą uwierzytelniać się w Azure AD:

Get-MsolUser -All | Where-Object {$_.StrongAuthenticationMethods.Count -eq 0 -and $_.BlockCredential -eq $False} | Select-Object -Property UserPrincipalName

Identyfikowanie zarejestrowanych użytkowników i metod wyjściowych:

Get-MsolUser -All | Select-Object @{N='UserPrincipalName';E={$_.UserPrincipalName}},@{N='MFA Status';E={if ($_.StrongAuthenticationRequirements.State){$_.StrongAuthenticationRequirements.State} else {"Disabled"}}},@{N='MFA Methods';E={$_.StrongAuthenticationMethods.methodtype}} | Export-Csv -Path c:\MFA_Report.csv -NoTypeInformation

Dodatkowe raporty uwierzytelniania wieloskładnikowego

Następujące dodatkowe informacje i raporty są dostępne dla zdarzeń uwierzytelniania wieloskładnikowego, w tym dla serwera MFA:

Raport Lokalizacja Opis
Zablokowana historia użytkowników > Azure AD blokowanie/odblokowywanie użytkowników usługi MFA > zabezpieczeń > Przedstawia historię żądań blokowania lub odblokowywania użytkowników.
Użycie składników lokalnych Raport aktywności uwierzytelniania wieloskładnikowego >> zabezpieczeń > Azure AD Zawiera informacje na temat ogólnego użycia serwera MFA za pośrednictwem rozszerzenia serwera NPS, usług AD FS i serwera MFA.
Pominięto historię użytkowników > jednorazowe obejście uwierzytelniania wieloskładnikowego > zabezpieczeń > Azure AD Zawiera historię żądań serwera MFA w celu obejścia uwierzytelniania wieloskładnikowego dla użytkownika.
Stan serwera > stan serwera MFA > zabezpieczeń > Azure AD Wyświetla stan serwerów uwierzytelniania wieloskładnikowego skojarzonych z Kontem.

Zdarzenia logowania uwierzytelniania wieloskładnikowego w chmurze z lokalnej karty usług AD FS lub rozszerzenia serwera NPS nie będą miały wszystkich pól w dziennikach logowania wypełnionych z powodu ograniczonych danych zwracanych przez składnik lokalny. Te zdarzenia można zidentyfikować za pomocą atrybutu resourceID adfs lub radius we właściwościach zdarzenia. Obejmują one:

  • resultSignature
  • Identyfikator Apple ID
  • deviceDetail
  • conditionalAccessStatus
  • authenticationContext
  • isInteractive
  • tokenIssuerName
  • riskDetail, riskLevelAggregated,riskLevelDuringSignIn, riskState,riskEventTypes, riskEventTypes_v2
  • authenticationProtocol
  • incomingTokenType

Organizacje, które uruchamiają najnowszą wersję rozszerzenia serwera NPS lub używają programu Azure AD Connect Health, będą miały adres IP lokalizacji w zdarzeniach.

Następne kroki

Ten artykuł zawiera omówienie raportu aktywności logowania. Aby uzyskać bardziej szczegółowe informacje o tym, co zawiera ten raport, zobacz raporty aktywności logowania w Azure AD.