Co to jest diagnostyka logowania w identyfikatorze Entra firmy Microsoft?

Określenie przyczyny nieudanego logowania może szybko stać się trudnym zadaniem. Musisz przeanalizować, co się stało podczas próby logowania, i zbadać dostępne zalecenia, aby rozwiązać ten problem. W idealnym przypadku chcesz rozwiązać ten problem bez angażowania innych osób, takich jak pomoc techniczna firmy Microsoft. Jeśli jesteś w takiej sytuacji, możesz użyć diagnostyki logowania w usłudze Microsoft Entra ID, narzędzia, które pomaga zbadać logowania w identyfikatorze Entra firmy Microsoft.

Ten artykuł zawiera omówienie diagnostyki logowania i sposobu jej użycia do rozwiązywania problemów z błędami związanymi z logowaniem.

Warunki wstępne

Aby użyć diagnostyki logowania:

• Musisz być podpisany jako co najmniej czytelnik globalny.
• Niektóre informacje dziennika logowania mogą wymagać innych ról, takich jak administrator dostępu warunkowego.
• Zdarzenia logowania oflagowanego można również przejrzeć w diagnostyce logowania.
  • Zdarzenia logowania oflagowanego są przechwytywane po włączeniu flagowania użytkownika podczas logowania.
  • Aby uzyskać więcej informacji, zobacz oflagowane logowania.

Jak to działa?

W usłudze Microsoft Entra ID próby logowania są kontrolowane przez:

• Kto wykonał próbę logowania.
• Jak wykonano próbę logowania.

Można na przykład skonfigurować zasady dostępu warunkowego, które umożliwiają administratorom skonfigurowanie wszystkich aspektów dzierżawy podczas logowania się z sieci firmowej. Jednak ten sam użytkownik może zostać zablokowany po zalogowaniu się do tego samego konta z niezaufanej sieci.

Ze względu na większą elastyczność systemu w odpowiedzi na próbę logowania może się okazać, że w scenariuszach, w których należy rozwiązywać problemy z logowaniem. Narzędzie diagnostyczne logowania umożliwia diagnozowanie problemów z logowaniem przez:

• Analizowanie danych ze zdarzeń logowania i oflagowanych logów.
• Wyświetlanie informacji o tym, co się stało.
• Dostarczanie zaleceń w celu rozwiązania problemów.

Jak uzyskać dostęp do diagnostyki logowania

Istnieją trzy sposoby uzyskiwania dostępu do diagnostyki logowania w usłudze Microsoft Entra ID. Wybierz kartę, aby dowiedzieć się więcej o każdej metodzie.

Napiwek

Kroki opisane w tym artykule mogą się nieznacznie różnić w zależności od portalu, od którego zaczynasz.

Z diagnozowania i rozwiązywania problemów

Diagnostykę logowania można uruchomić w obszarze Diagnozowanie i rozwiązywanie problemów w identyfikatorze Entra firmy Microsoft. W obszarze Diagnozowanie i rozwiązywanie problemów możesz przejrzeć wszystkie oflagowane zdarzenia logowania lub wyszukać określone zdarzenie logowania. Ten proces można również uruchomić w obszarze Diagnozowanie i rozwiązywanie problemów z dostępem warunkowym.

1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako co najmniej czytelnik globalny.

2. Przejdź do sekcji Diagnozowanie i rozwiązywanie problemów w górnej części nawigacji po lewej stronie.

   

   • Możesz również uzyskać dostęp do pozycji Diagnozowanie i rozwiązywanie problemów z dostępem warunkowym, użytkownikami, grupami, ochroną tożsamości i uwierzytelnianiem wieloskładnikowego.

3. Wybierz link Rozwiązywanie problemów na kafelku Diagnostyka logowania.

   

4. Wybierz kartę Wszystkie zdarzenia logowania, aby rozpocząć wyszukiwanie.

   • W niektórych przypadkach system automatycznie wyszukuje oflagowane zdarzenia logowania. Jeśli nic nie zostanie znalezione, nastąpi przekierowanie do karty Wszystkie zdarzenia logowania.

5. Wprowadź jak najwięcej szczegółów w polach wyszukiwania.

   • Użytkownik: podaj nazwę lub adres e-mail osoby, która podjęła próbę logowania.
   • Aplikacja: podaj nazwę wyświetlaną aplikacji lub identyfikator aplikacji.
   • correlationId lub requestId: te szczegóły można znaleźć w raporcie o błędach lub szczegółach dziennika logowania.
   • Data i godzina: podaj datę i godzinę znalezienia zdarzeń logowania, które wystąpiły w ciągu 48 godzin.

6. Wybierz przycisk Dalej.

7. Zapoznaj się z wynikami i podejmij odpowiednie działania.

Z dzienników logowania

Diagnostykę logowania można uruchomić z określonego zdarzenia logowania w dziennikach logowania. Po rozpoczęciu procesu od określonego zdarzenia logowania diagnostyka rozpoczyna się od razu. Najpierw nie zostanie wyświetlony monit o wprowadzenie szczegółów.

1. Przejdź do dzienników logowania monitorowania tożsamości>i kondycji> i wybierz zdarzenie logowania.

   • Listę można filtrować, aby ułatwić znajdowanie określonych zdarzeń logowania.

2. W wyświetlonym oknie Szczegóły działania wybierz link Uruchom diagnostykę logowania.

   

3. Zapoznaj się z wynikami i podejmij odpowiednie działania.

Od wniosku o pomoc techniczną

Jeśli jesteś w trakcie tworzenia wniosku o pomoc techniczną, a wybrane opcje są powiązane z działaniem logowania, podczas procesu żądania pomocy technicznej zostanie wyświetlony monit o uruchomienie diagnostyki logowania.

1. Przejdź do strony Diagnozowanie i rozwiązywanie problemów.

2. W razie potrzeby wybierz odpowiednie pola. Na przykład:

   • Typ usługi: Microsoft Entra Sign-in i multifactor authentication
   • Typ problemu: uwierzytelnianie wieloskładnikowe
   • Podtyp problemu: Nie można zalogować się do aplikacji z powodu uwierzytelniania wieloskładnikowego

3. Zapoznaj się z wynikami i podejmij odpowiednie działania.

Jak używać wyników diagnostycznych

Po zakończeniu wyszukiwania diagnostyki logowania na ekranie zostanie wyświetlonych kilka elementów.

Podsumowanie uwierzytelniania zawiera listę wszystkich zdarzeń, które pasują do podanych szczegółów. Wybierz opcję Wyświetl kolumny w prawym górnym rogu podsumowania, aby zmienić wyświetlane kolumny.

Wyniki diagnostyki opisują, co wydarzyło się podczas zdarzeń logowania.

• Scenariusze mogą obejmować wymagania uwierzytelniania wieloskładnikowego z zasad dostępu warunkowego, zdarzenia logowania, które mogą wymagać zastosowania zasad dostępu warunkowego lub duża liczba nieudanych prób logowania w ciągu ostatnich 48 godzin.

• Dostępna może być powiązana zawartość i linki do narzędzi do rozwiązywania problemów.

• Zapoznaj się z wynikami, aby zidentyfikować wszelkie akcje, które można wykonać.

• Ponieważ nie zawsze można rozwiązać problemy bez większej pomocy, zalecanym krokiem może być otwarcie biletu pomocy technicznej.

  

Typowe scenariusze

Zapoznaj się z poradami w poniższej sekcji, aby zapoznać się z typowymi scenariuszami, w których diagnostyka logowania może dostarczyć przydatnych informacji dotyczących rozwiązywania problemów.

Dostęp warunkowy

Zasady dostępu warunkowego są używane do stosowania odpowiednich mechanizmów kontroli dostępu w razie potrzeby w celu zapewnienia bezpieczeństwa organizacji. Ponieważ zasady dostępu warunkowego mogą służyć do udzielania lub blokowania dostępu do zasobów, często są one wyświetlane w diagnostyce logowania.

• Zablokowany przez dostęp warunkowy: Zasady dostępu warunkowego uniemożliwiły użytkownikowi zalogowanie się.

• Nieudany dostęp warunkowy: możliwe, że zasady dostępu warunkowego są zbyt rygorystyczne. Przejrzyj konfiguracje kompletnych zestawów użytkowników, grup i aplikacji. Upewnij się, że rozumiesz implikacje ograniczania dostępu z niektórych typów urządzeń.

• Uwierzytelnianie wieloskładnikowe (MFA) z dostępu warunkowego: Zasady dostępu warunkowego wyzwoliły proces uwierzytelniania wieloskładnikowego dla użytkownika.

• Logowanie B2B zablokowane z powodu dostępu warunkowego: masz zasady dostępu warunkowego, aby zablokować logowanie tożsamości zewnętrznych.

Uwierzytelnianie wieloskładnikowe

Istnieje kilka zdarzeń związanych z uwierzytelnianiem wieloskładnikowym (MFA), które można rozwiązać za pomocą narzędzia diagnostycznego logowania.

• Uwierzytelnianie wieloskładnikowe z innych wymagań: jeśli wyniki pokazały uwierzytelnianie wieloskładnikowe z wymagania innego niż dostęp warunkowy, może być włączone uwierzytelnianie wieloskładnikowe dla poszczególnych użytkowników. Zalecamy przekonwertowanie uwierzytelniania wieloskładnikowego dla użytkownika na dostęp warunkowy. Diagnostyka logowania zawiera szczegółowe informacje dotyczące źródła przerwania uwierzytelniania wieloskładnikowego i wyniku interakcji.

• Uwierzytelnianie wieloskładnikowe "proofup": uwierzytelnianie wieloskładnikowe przerwało próbę logowania, więc informacje o "weryfikacji" są udostępniane w wynikach diagnostycznych. Ten błąd pojawia się, gdy użytkownicy konfigurują uwierzytelnianie wieloskładnikowe po raz pierwszy i nie dokończą konfiguracji lub ich konfiguracja nie została skonfigurowana przed upływem czasu.

  

• Poprawne i nieprawidłowe poświadczenia: czasami użytkownicy po prostu wprowadzają nieprawidłowe poświadczenia. Narzędzie diagnostyczne logowania może pomóc w odróżnieniu od błędu ludzkiego i innych problemów.

• Pomyślne logowanie: w niektórych przypadkach chcesz wiedzieć, czy zdarzenia logowania nie są przerywane przez dostęp warunkowy lub uwierzytelnianie wieloskładnikowe, ale powinny być. Narzędzie diagnostyczne logowania zawiera szczegółowe informacje o zdarzeniach logowania, które powinny zostać przerwane, ale nie.

• Zablokowane konto: użytkownik próbował zalogować się przy użyciu nieprawidłowych poświadczeń zbyt wiele razy. Wyniki diagnostyczne pomagają określić, skąd pochodzą próby i czy są to uzasadnione próby logowania użytkownika, czy nie. Szczegółowe informacje na temat aplikacji, liczby prób, używanego urządzenia, systemu operacyjnego i adresu IP są udostępniane. Aby uzyskać więcej informacji, zobacz Microsoft Entra Smart Lockout.

• Nieprawidłowa nazwa użytkownika lub hasło: gdy użytkownik próbuje zalogować się przy użyciu nieprawidłowej nazwy użytkownika lub hasła, diagnostyka logowania zawiera szczegółowe informacje dotyczące aplikacji, liczby prób, używanego urządzenia, systemu operacyjnego i adresu IP. Te informacje pomagają określić, czy użytkownik wprowadził nieprawidłowe poświadczenia lub czy aplikacja buforuje stare hasło i przesyła je ponownie.

Aplikacje dla przedsiębiorstw

W aplikacjach dla przedsiębiorstw mogą wystąpić problemy z konfiguracją aplikacji dostawcy tożsamości (Microsoft Entra ID) lub dostawcą usług (usługą aplikacji, znaną również jako aplikacja SaaS)

• Dostawca usługi aplikacji dla przedsiębiorstw: jeśli logowanie nie powiodło się z powodu problemu z dostawcą usług (aplikacją) przepływu logowania, problem został rozwiązany przez rozwiązanie problemów w usłudze aplikacji. Musisz zalogować się do drugiej usługi i zmienić konfigurację zgodnie ze wskazówkami diagnostycznymi.

• Konfiguracja aplikacji dla przedsiębiorstw: jeśli logowanie nie powiodło się z powodu problemu z konfiguracją po stronie identyfikatora entra firmy Microsoft aplikacji, należy przejrzeć i zaktualizować konfigurację aplikacji w aplikacjach dla przedsiębiorstw.

Wartości domyślne zabezpieczeń

Zdarzenia logowania można przerwać z powodu ustawień domyślnych zabezpieczeń. Wartości domyślne zabezpieczeń wymuszają zabezpieczenia najlepszych rozwiązań dla organizacji. Najlepszym rozwiązaniem jest wymaganie skonfigurowania uwierzytelniania wieloskładnikowego i użycia go w celu zapobiegania sprayom haseł, atakom powtarzanym i próbom wyłudzania informacji.

Aby uzyskać więcej informacji, zobacz Co to są wartości domyślne zabezpieczeń?.

Szczegółowe informacje o kodzie błędu

Jeśli zdarzenie nie ma analizy kontekstowej w diagnostyce logowania, może zostać wyświetlone zaktualizowane wyjaśnienie kodu błędu i odpowiednia zawartość. Szczegółowe informacje o kodzie błędu zawierają szczegółowy tekst na temat scenariusza, sposobu korygowania problemu oraz dowolnej zawartości do odczytania problemu.

Starsze uwierzytelnianie

Ten scenariusz obejmuje zdarzenie logowania, które zostało zablokowane lub przerwane, ponieważ klient próbował użyć uwierzytelniania starszego (lub podstawowego).

Zapobieganie starszemu logowaniu uwierzytelniania jest zalecane jako najlepsze rozwiązanie w zakresie zabezpieczeń. Starsze protokoły uwierzytelniania, takie jak POP, SMTP, IMAP i MAPI, nie mogą wymuszać uwierzytelniania wieloskładnikowego, co sprawia, że preferowane punkty wejścia dla przeciwników do ataku na organizację.

Aby uzyskać więcej informacji, zobacz Jak zablokować starsze uwierzytelnianie do identyfikatora Entra firmy Microsoft przy użyciu dostępu warunkowego.

Logowanie B2B zablokowane z powodu dostępu warunkowego

W tym scenariuszu diagnostycznym wykryto zablokowane lub przerwane logowanie ze względu na to, że użytkownik pochodzi z innej organizacji. Na przykład logowanie B2B, w którym zasady dostępu warunkowego wymagają dołączenia urządzenia klienta do dzierżawy zasobów.

Aby uzyskać więcej informacji, zobacz Dostęp warunkowy dla użytkowników współpracy B2B.

Zablokowane przez zasady ryzyka

W tym scenariuszu zasady dostępu warunkowego oparte na ryzyku blokują próbę logowania, ponieważ próba logowania została zidentyfikowana jako ryzykowna.

Aby uzyskać więcej informacji, zobacz Jak skonfigurować i włączyć zasady ryzyka.

Przekazywanie uwierzytelniania

Ponieważ uwierzytelnianie przekazywane jest integracją technologii uwierzytelniania lokalnego i chmurowego, trudno jest określić, gdzie leży problem. Ta diagnostyka ma ułatwić diagnozowanie i rozwiązywanie tych scenariuszy.

Ten scenariusz diagnostyczny identyfikuje problemy z logowaniem specyficzne dla użytkownika, gdy używana metoda uwierzytelniania jest przekazywana przez uwierzytelnianie (PTA) i występuje błąd specyficzny dla pta. Błędy spowodowane innymi problemami nawet wtedy, gdy jest używane uwierzytelnianie PTA, nadal będą prawidłowo diagnozowane.

Wyniki diagnostyki pokazują kontekstowe informacje o niepowodzeniu i logowaniu użytkownika. Wyniki mogą pokazać inne przyczyny niepowodzenia logowania i zalecane działania, które administrator może wykonać, aby rozwiązać ten problem. Aby uzyskać więcej informacji, zobacz Microsoft Entra Connect: Rozwiązywanie problemów z uwierzytelnianiem przekazywanym.

Bezproblemowe logowanie jednokrotne

Bezproblemowe logowanie jednokrotne integruje uwierzytelnianie Kerberos z uwierzytelnianiem w chmurze. Ponieważ ten scenariusz obejmuje dwa protokoły uwierzytelniania, trudno jest zrozumieć, gdzie występuje punkt awarii podczas problemów z logowaniem. Ta diagnostyka ma ułatwić diagnozowanie i rozwiązywanie tych scenariuszy.

Ten scenariusz diagnostyczny analizuje kontekst niepowodzenia logowania i określoną przyczynę niepowodzenia. Wyniki diagnostyki mogą zawierać kontekstowe informacje dotyczące próby logowania i sugerowane akcje, które może wykonać administrator. Aby uzyskać więcej informacji, zobacz Rozwiązywanie problemów z bezproblemowym logowaniem jednokrotnym firmy Microsoft.

Powiązana zawartość

• Diagnostyka logowania dla scenariuszy firmy Microsoft Entra
• Dowiedz się więcej o oflagowanych logowaniach
• Rozwiązywanie problemów z błędami logowania