Rozwiązywanie problemów z rejestracją połączonych informacji zabezpieczających
Informacje zawarte w tym artykule mają na celu poprowadzenie administratorów, którzy będą rozwiązywać problemy zgłaszane przez użytkowników połączonego środowiska rejestracji.
Dzienniki inspekcji
Zdarzenia rejestrowane do rejestracji połączonej znajdują się w usłudze Metody uwierzytelniania w dziennikach inspekcji firmy Microsoft Entra.
W poniższej tabeli wymieniono wszystkie zdarzenia inspekcji wygenerowane przez rejestrację połączoną:
| Działanie | Stan | Przyczyna | opis |
|---|---|---|---|
| Użytkownik zarejestrował wszystkie wymagane informacje zabezpieczające | Powodzenie | Użytkownik zarejestrował wszystkie wymagane informacje zabezpieczające. | To zdarzenie występuje, gdy użytkownik pomyślnie ukończył rejestrację. |
| Użytkownik zarejestrował wszystkie wymagane informacje zabezpieczające | Błąd | Użytkownik anulował rejestrację informacji zabezpieczających. | To zdarzenie występuje, gdy użytkownik anuluje rejestrację z trybu przerwania. |
| Informacje zabezpieczające zarejestrowane przez użytkownika | Powodzenie | Metoda zarejestrowana przez użytkownika. | To zdarzenie występuje, gdy użytkownik rejestruje pojedynczą metodę. Metoda może być aplikacja Authenticator, Telefon, poczta e-mail, pytania zabezpieczające, hasło aplikacji, alternatywny telefon itd. |
| Użytkownik przeglądał informacje zabezpieczające | Powodzenie | Użytkownik pomyślnie przejrzeł informacje zabezpieczające. | To zdarzenie występuje, gdy użytkownik wybierze pozycję Wygląda dobrze na stronie przeglądu informacji zabezpieczających. |
| Użytkownik przeglądał informacje zabezpieczające | Błąd | Użytkownik nie może przejrzeć informacji zabezpieczających. | To zdarzenie występuje, gdy użytkownik wybierze pozycję Wygląda dobrze na stronie przeglądu informacji zabezpieczających, ale coś kończy się niepowodzeniem w zapleczu. |
| Informacje zabezpieczające usunięte przez użytkownika | Powodzenie | Metoda usunięta przez użytkownika. | To zdarzenie występuje, gdy użytkownik usunie pojedynczą metodę. Metoda może być aplikacja Authenticator, Telefon, poczta e-mail, pytania zabezpieczające, hasło aplikacji, alternatywny telefon itd. |
| Informacje zabezpieczające usunięte przez użytkownika | Błąd | Użytkownik nie może usunąć metody. | To zdarzenie występuje, gdy użytkownik próbuje usunąć metodę, ale próba nie powiedzie się z jakiegoś powodu. Metoda może być aplikacja Authenticator, Telefon, poczta e-mail, pytania zabezpieczające, hasło aplikacji, alternatywny telefon itd. |
| Użytkownik zmienił domyślne informacje zabezpieczające | Powodzenie | Użytkownik zmienił domyślne informacje zabezpieczające dla metody . | To zdarzenie występuje, gdy użytkownik zmieni domyślną metodę. Metoda może być powiadomieniem aplikacji Authenticator, kodem z mojej aplikacji authenticator lub tokenu, wywołanie +X XXXXXXXXXX, tekst kodu do +X XXXXXXXXX itd. |
| Użytkownik zmienił domyślne informacje zabezpieczające | Błąd | Użytkownik nie może zmienić domyślnych informacji zabezpieczających dla metody . | To zdarzenie występuje, gdy użytkownik próbuje zmienić metodę domyślną, ale próba zakończy się niepowodzeniem z jakiegoś powodu. Metoda może być powiadomieniem aplikacji Authenticator, kodem z mojej aplikacji authenticator lub tokenu, wywołanie +X XXXXXXXXXX, tekst kodu do +X XXXXXXXXX itd. |
Rozwiązywanie problemów z trybem przerwania
| Objaw | Kroki rozwiązywania problemów |
|---|---|
| Nie widzę metod, które spodziewałem się zobaczyć. | 1. Sprawdź, czy użytkownik ma rolę administratora firmy Microsoft Entra. Jeśli tak, wyświetl różnice zasad administratora samoobsługowego resetowania hasła. 2. Ustal, czy użytkownik jest przerywany z powodu wymuszania rejestracji uwierzytelniania wieloskładnikowego lub wymuszania rejestracji samoobsługowego resetowania hasła. Zobacz schemat blokowy w obszarze "Tryby rejestracji połączonej", aby określić, które metody powinny być wyświetlane. 3. Określ, jak ostatnio zmieniono zasady uwierzytelniania wieloskładnikowego lub samoobsługowego resetowania hasła. Jeśli zmiana została ostatnio zmieniona, propagacja zaktualizowanych zasad może zająć trochę czasu. |
Rozwiązywanie problemów z trybem zarządzania
| Objaw | Kroki rozwiązywania problemów |
|---|---|
| Nie mam opcji dodania określonej metody. | 1. Określ, czy metoda jest włączona na potrzeby uwierzytelniania wieloskładnikowego, czy samoobsługowego resetowania hasła. 2. Jeśli metoda jest włączona, zapisz zasady ponownie i zaczekaj 1–2 godziny przed ponownym testowaniem. 3. Jeśli metoda jest włączona, upewnij się, że użytkownik nie skonfigurował jeszcze maksymalnej liczby tej metody, którą mogą skonfigurować. |
Jak wycofać użytkowników
Jeśli jako administrator chcesz zresetować ustawienia uwierzytelniania wieloskładnikowego użytkownika, możesz użyć skryptu programu PowerShell podanego w następnej sekcji. Skrypt wyczyści właściwość StrongAuthenticationMethods dla aplikacji mobilnej użytkownika i/lub numeru telefonu. Jeśli uruchomisz ten skrypt dla użytkowników, będzie on musiał ponownie zarejestrować się w celu uwierzytelniania wieloskładnikowego, jeśli tego potrzebują. Zalecamy przetestowanie wycofywania przy użyciu jednego lub dwóch użytkowników przed wycofaniem wszystkich użytkowników, których dotyczy problem.
Poniższe kroki ułatwią wycofanie użytkownika lub grupy użytkowników.
Wymagania wstępne
Uwaga
Moduły usług Azure AD i MSOnline programu PowerShell są przestarzałe od 30 marca 2024 r. Aby dowiedzieć się więcej, przeczytaj aktualizację o wycofaniu. Po tej dacie obsługa tych modułów jest ograniczona do pomocy dotyczącej migracji do zestawu MICROSOFT Graph PowerShell SDK i poprawek zabezpieczeń. Przestarzałe moduły będą nadal działać do 30 marca 2025 r.
Zalecamy migrację do programu Microsoft Graph PowerShell w celu interakcji z identyfikatorem Entra firmy Microsoft (dawniej Azure AD). W przypadku typowych pytań dotyczących migracji zapoznaj się z często zadawanymi pytaniami dotyczącymi migracji. Uwaga: wersje 1.0.x usługi MSOnline mogą wystąpić zakłócenia po 30 czerwca 2024 r.
Zainstaluj odpowiednie moduły programu PowerShell usługi Azure AD. W oknie programu PowerShell uruchom następujące polecenia, aby zainstalować moduły:
Install-Module -Name MSOnline Import-Module MSOnlineZapisz listę identyfikatorów obiektów użytkownika, których dotyczy problem, na komputerze jako plik tekstowy z jednym identyfikatorem na wiersz. Zanotuj lokalizację pliku.
Zapisz następujący skrypt na komputerze i zanotuj lokalizację skryptu:
<# //******************************************************** //* * //* Copyright (C) Microsoft. All rights reserved. * //* * //******************************************************** #> param($path) # Define Remediation Fn function RemediateUser { param ( $ObjectId ) $user = Get-MsolUser -ObjectId $ObjectId Write-Host "Checking if user is eligible for rollback: UPN: " $user.UserPrincipalName " ObjectId: " $user.ObjectId -ForegroundColor Yellow $hasMfaRelyingParty = $false foreach($p in $user.StrongAuthenticationRequirements) { if ($p.RelyingParty -eq "*") { $hasMfaRelyingParty = $true Write-Host "User was enabled for per-user MFA." -ForegroundColor Yellow } } if ($user.StrongAuthenticationMethods.Count -gt 0 -and -not $hasMfaRelyingParty) { Write-Host $user.UserPrincipalName " is eligible for rollback" -ForegroundColor Yellow Write-Host "Rolling back user ..." -ForegroundColor Yellow Reset-MsolStrongAuthenticationMethodByUpn -UserPrincipalName $user.UserPrincipalName Write-Host "Successfully rolled back user " $user.UserPrincipalName -ForegroundColor Green } else { Write-Host $user.UserPrincipalName " is not eligible for rollback. No action required." } Write-Host "" Start-Sleep -Milliseconds 750 } # Connect Import-Module MSOnline Connect-MsolService foreach($line in Get-Content $path) { RemediateUser -ObjectId $line }
Wycofywanie
W oknie programu PowerShell uruchom następujące polecenie, podając lokalizacje skryptu i pliku użytkownika. Po wyświetleniu monitu wprowadź poświadczenia administratora globalnego. Skrypt wyświetli wynik każdej operacji aktualizacji użytkownika.
<script location> -path <user file location>