Uwaga
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Aby przejrzeć i zrozumieć zdarzenia uwierzytelniania wieloskładnikowego firmy Microsoft, możesz użyć dzienników logowania firmy Microsoft Entra. Ten raport przedstawia szczegóły uwierzytelniania zdarzeń, gdy użytkownik jest monitowany o uwierzytelnianie wieloskładnikowe i czy są używane jakiekolwiek zasady dostępu warunkowego. Aby uzyskać szczegółowe informacje na temat dzienników logowania, zobacz omówienie raportów aktywności logowania w usłudze Microsoft Entra ID.
Uwaga dotycząca interpretowania uwierzytelniania wieloskładnikowego
Gdy użytkownik loguje się interaktywnie do firmy Microsoft Entra po raz pierwszy, może użyć dowolnej obsługiwanej metody uwierzytelniania (w tym silnego uwierzytelniania), nawet jeśli nie jest to ściśle wymagane. Jeśli użytkownik zdecyduje się uwierzytelnić za pośrednictwem metody bez hasła lub innej silnej metody uwierzytelniania, użytkownik otrzyma oświadczenie uwierzytelniania wieloskładnikowego. Aby zmniejszyć opóźnienia i niepotrzebne przekierowania między aplikacjami a usługą uwierzytelniania, dostawcy zasobów zazwyczaj przeglądają wszelkie istniejące oświadczenia już podane użytkownikowi uwierzytelniające zamiast żądać nowego zestawu oświadczeń za każdym razem. W związku z tym istnieje możliwość, że niektóre logowania mogą być wyświetlane jako "pojedynczy czynnik", mimo że wymaganie uwierzytelniania wieloskładnikowego w aplikacji zostało zaakceptowane, ponieważ poprzednie oświadczenie uwierzytelniania wieloskładnikowego użytkownika zostało zaakceptowane. Nie zażądano ani nie zarejestrowano wymogu uwierzytelniania wieloskładnikowego dla tego konkretnego uwierzytelnienia. Aby dokładnie zrozumieć kontekst uwierzytelniania, ważne jest, aby zawsze sprawdzać zarówno szczegóły uwierzytelniania wieloskładnikowego, jak i główną metodę uwierzytelniania skojarzoną z każdym zdarzeniem. Nie należy polegać wyłącznie na polu authenticationRequirement, ponieważ nie uwzględnia ono wcześniej spełnionych wymagań dotyczących uwierzytelniania wieloskładnikowego ze względu na brak jawnego wymogu użycia silnego uwierzytelniania.
Wyświetlanie dzienników logowania w usłudze Microsoft Entra
Dzienniki logowania zawierają informacje o użyciu zarządzanych aplikacji i działań logowania użytkowników, które zawierają informacje o użyciu uwierzytelniania wieloskładnikowego. Dane MFA dostarczają wglądu w to, jak uwierzytelnianie wieloskładnikowe działa w Twojej organizacji. Odpowiada na pytania, takie jak:
- Czy logowanie zostało zakwestionowane za pomocą uwierzytelniania wieloskładnikowego?
- Jak użytkownik ukończył uwierzytelnianie wieloskładnikowe?
- Które metody uwierzytelniania były używane podczas logowania?
- Dlaczego użytkownikowi nie udało się ukończyć uwierzytelniania wieloskładnikowego?
- Ilu użytkowników jest proszonych o uwierzytelnianie wieloskładnikowe?
- Ilu użytkowników nie może ukończyć wyzwania MFA?
- Jakie są typowe problemy z uwierzytelnianiem wieloskładnikowym, na które napotykają użytkownicy końcowi?
Aby wyświetlić raport aktywności logowania w centrum administracyjnym Microsoft Entra, wykonaj następujące kroki. Możesz również wykonywać zapytania dotyczące danych przy użyciu interfejsu API raportowania .
Zaloguj się do centrum administracyjnego Microsoft Entra jako co najmniej Administrator Zasad Uwierzytelniania.
Przejdź do Entra ID> z menu po lewej stronie.
Z menu po lewej stronie wybierz pozycję Dzienniki logowania.
Wyświetlana jest lista zdarzeń logowania, w tym status. Możesz wybrać zdarzenie, aby wyświetlić więcej szczegółów.
Zakładka Dostęp warunkowy w szczegółach zdarzenia pokazuje, która polityka wyzwoliła monit MFA.
Jeśli jest dostępna, zostanie wyświetlone uwierzytelnianie, takie jak wiadomość SMS, powiadomienie aplikacji Microsoft Authenticator lub rozmowa telefoniczna.
Karta Szczegóły uwierzytelniania zawiera następujące informacje dla każdej próby uwierzytelnienia:
- Lista zastosowanych zasad uwierzytelniania (takich jak dostęp warunkowy, uwierzytelnianie wieloskładnikowe dla użytkownika, ustawienia domyślne zabezpieczeń)
- Sekwencja metod uwierzytelniania używanych do logowania
- Czy próba uwierzytelnienia zakończyła się pomyślnie
- Szczegółowe informacje o tym, dlaczego próba uwierzytelnienia zakończyła się powodzeniem lub niepowodzeniem
Te informacje umożliwiają administratorom rozwiązywanie problemów z każdym krokiem logowania użytkownika i śledzenie:
- Liczba zalogowań zabezpieczonych uwierzytelnianiem wieloskładnikowym
- Użycie i współczynniki powodzenia dla każdej metody uwierzytelniania
- Użycie metod uwierzytelniania bez hasła (takich jak logowanie za pomocą telefonu bez hasła, FIDO2 i Windows Hello dla firm)
- Jak często wymagania dotyczące uwierzytelniania są spełniane przez żądania tokenu (gdzie użytkownicy nie muszą interaktywnie wprowadzać hasła, wprowadzać OTP z SMS-a itd.)
Podczas przeglądania dzienników logowania wybierz kartę Szczegóły dotyczące uwierzytelniania:
Notatka
kod weryfikacyjny OATH jest rejestrowany jako metoda uwierzytelniania zarówno dla sprzętu OATH, jak i tokenów oprogramowania (takich jak aplikacja Microsoft Authenticator).
Ważny
Karta Szczegóły uwierzytelniania może początkowo wyświetlać niekompletne lub niedokładne dane, dopóki informacje dziennika nie zostaną w pełni zagregowane. Znane przykłady obejmują:
- Oświadczenie spełnione przez komunikat o tokenie jest niepoprawnie wyświetlane podczas początkowego rejestrowania zdarzeń logowania.
- Wiersz Podstawowe uwierzytelnianie nie jest rejestrowany początkowo.
Następujące szczegóły są wyświetlane w oknie Szczegóły uwierzytelniania dla zdarzenia logowania, które pokazuje, czy żądanie uwierzytelniania wieloskładnikowego zostało zaakceptowane lub odrzucone:
Jeśli uwierzytelnianie wieloskładnikowe zostało spełnione, ta kolumna zawiera więcej informacji na temat sposobu spełnienia uwierzytelniania wieloskładnikowego.
- ukończone w chmurze
- wygasł wskutek zasad, które zostały skonfigurowane przez dzierżawcę
- monit o rejestrację
- spełnione przez oświadczenie w tokenie
- zrealizowane na podstawie roszczenia dostarczonego przez zewnętrznego dostawcę
- spełnia się dzięki silnemu uwierzytelnianiu
- Pominięto, ponieważ przećwiczono przepływ logowania brokerskiego systemu Windows.
- pominięto z powodu hasła aplikacji
- pominięte ze względu na lokalizację
- pominięto z powodu zarejestrowanego urządzenia
- pominięto, ponieważ urządzenie zostało zapamiętane
- pomyślnie ukończono
Jeśli uwierzytelnianie wieloskładnikowe zostało odrzucone, ta kolumna poda przyczynę odmowy.
- uwierzytelnianie w toku
- próba zduplikowania uwierzytelniania
- wprowadzono niepoprawny kod zbyt wiele razy
- nieprawidłowe uwierzytelnianie
- nieprawidłowy kod weryfikacyjny aplikacji mobilnej
- Nieprawidłowa konfiguracja
- rozmowa telefoniczna przeszła na pocztę głosową
- numer telefonu ma nieprawidłowy format
- błąd usługi
- nie można nawiązać połączenia z telefonem użytkownika
- nie można wysłać powiadomienia aplikacji mobilnej na urządzenie
- nie można wysłać powiadomienia aplikacji mobilnej
- użytkownik odrzucił uwierzytelnianie
- użytkownik nie odpowiedział na powiadomienie aplikacji mobilnej
- użytkownik nie ma żadnych zarejestrowanych metod weryfikacji
- użytkownik wprowadził niepoprawny kod
- użytkownik wprowadził niepoprawny numer PIN
- użytkownik zawiesił połączenie telefoniczne bez pomyślnego uwierzytelnienia
- użytkownik jest zablokowany
- użytkownik nigdy nie wprowadził kodu weryfikacyjnego
- nie znaleziono użytkownika
- kod weryfikacyjny używany już raz
Raportowanie programu PowerShell dla użytkowników zarejestrowanych w usłudze MFA
Najpierw upewnij się, że masz zainstalowany Zainstaluj zestaw SDK programu PowerShell programu Microsoft Graph.
Zidentyfikuj użytkowników zarejestrowanych w usłudze MFA używając poniższego skryptu PowerShell. Ten zestaw poleceń wyklucza wyłączonych użytkowników, ponieważ te konta nie mogą uwierzytelniać się w usłudze Microsoft Entra ID:
Get-MgUser -All | Where-Object {$_.StrongAuthenticationMethods -ne $null -and $_.BlockCredential -eq $False} | Select-Object -Property UserPrincipalName
Zidentyfikuj użytkowników, którzy nie są zarejestrowani w usłudze MFA, uruchamiając następujące polecenia programu PowerShell. Ten zestaw poleceń wyklucza wyłączonych użytkowników, ponieważ te konta nie mogą uwierzytelniać się w usłudze Microsoft Entra ID:
Get-MgUser -All | Where-Object {$_.StrongAuthenticationMethods.Count -eq 0 -and $_.BlockCredential -eq $False} | Select-Object -Property UserPrincipalName
Identyfikowanie zarejestrowanych użytkowników i metod wyjściowych:
Get-MgUser -All | Select-Object @{N='UserPrincipalName';E={$_.UserPrincipalName}},@{N='MFA Status';E={if ($_.StrongAuthenticationRequirements.State){$_.StrongAuthenticationRequirements.State} else {"Disabled"}}},@{N='MFA Methods';E={$_.StrongAuthenticationMethods.methodtype}} | Export-Csv -Path c:\MFA_Report.csv -NoTypeInformation
Dodatkowe raporty MFA
Rozszerzenie serwera NPS i adapter AD FS dla aktywności uwierzytelniania wieloskładnikowego w chmurze są teraz uwzględniane w dziennikach logowania, a nie w określonym raporcie aktywności.
Zdarzenia logowania MFA w chmurze z lokalnego adaptera AD FS lub rozszerzenia NPS nie będą miały wszystkich pól wypełnionych w dziennikach logowania z powodu ograniczonego zestawu danych zwracanych przez komponent lokalny. Te zdarzenia można zidentyfikować za pomocą identyfikatora resourceID adfs lub radius we właściwościach zdarzenia. Obejmują one:
- sygnatura wyniku
- identyfikator aplikacji
- szczegóły urządzenia
- status Dostępu Warunkowego
- kontekst uwierzytelniania
- jestInteraktywny
- nazwaWydawcyTokenu
- szczegółyRyzyka, poziomRyzykaZagregowany, poziomRyzykaPodczasLogowania, stanRyzyka, rodzajeZdarzeńRyzyka, rodzajeZdarzeńRyzyka_v2
- protokół uwierzytelniania
- typPrzychodzącegoTokena
Organizacje, które uruchamiają najnowszą wersję rozszerzenia NPS lub używają programu Microsoft Entra Connect Health, będą miały adres IP lokalizacji w wystąpieniach.
Następne kroki
Ten artykuł zawiera omówienie raportu aktywności logowania. Aby uzyskać bardziej szczegółowe informacje o tym, co zawiera ten raport, zobacz raport dotyczący aktywności logowania w usłudze Microsoft Entra ID.