Utilizar o relatório de início de sessão para rever eventos de autenticação multifator do Microsoft Entra
Para revisar e entender os eventos de autenticação multifator do Microsoft Entra, você pode usar o relatório de entradas do Microsoft Entra. Este relatório mostra detalhes de autenticação para eventos quando um usuário é solicitado para autenticação multifator e se alguma política de Acesso Condicional estava em uso. Para obter informações detalhadas sobre o relatório de entradas, consulte a visão geral dos relatórios de atividade de entrada no Microsoft Entra ID.
Exibir o relatório de entradas do Microsoft Entra
Gorjeta
As etapas neste artigo podem variar ligeiramente com base no portal a partir do qual você começou.
O relatório de entradas fornece informações sobre o uso de aplicativos gerenciados e atividades de entrada do usuário, que incluem informações sobre o uso da autenticação multifator. Os dados de MFA disponibilizam-lhe informações sobre como esta está a funcionar na sua organização. Ele responde a perguntas como:
- O início de sessão foi submetido à MFA?
- Como é que o utilizador concluiu a MFA?
- Que métodos de autenticação foram utilizados durante um início de sessão?
- Por que motivo é que o utilizador não conseguiu concluir a MFA?
- Quantos utilizadores são submetidos à MFA?
- Quantos utilizadores não conseguem concluir a submissão da MFA?
- Quais são os problemas mais comuns da MFA com que os utilizadores finais se deparam?
Para exibir o relatório de atividade de entrada no centro de administração do Microsoft Entra, conclua as etapas a seguir. Você também pode consultar dados usando a API de relatório.
Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Política de Autenticação.
Navegue até Identidade> e escolha Usuários>Todos os usuários no menu do lado esquerdo.
No menu do lado esquerdo, selecione Logs de login.
É apresentada uma lista de eventos de início de sessão, incluindo o estado. Você pode selecionar um evento para ver mais detalhes.
A guia Acesso Condicional dos detalhes do evento mostra qual política acionou o prompt de MFA.
Se disponível, a autenticação é mostrada, como mensagem de texto, notificação do aplicativo Microsoft Authenticator ou chamada telefônica.
A guia Detalhes de Autenticação fornece as seguintes informações, para cada tentativa de autenticação:
- Uma lista de políticas de autenticação aplicadas (como Acesso Condicional, MFA por usuário, Padrões de Segurança)
- A sequência de métodos de autenticação usados para entrar
- Se a tentativa de autenticação foi bem-sucedida ou não
- Detalhes sobre por que a tentativa de autenticação foi bem-sucedida ou falhou
Essas informações permitem que os administradores solucionem problemas em cada etapa do login de um usuário e rastreiem:
- Volume de entradas protegidas por autenticação multifator
- Taxas de uso e sucesso para cada método de autenticação
- Uso de métodos de autenticação sem senha (como Login por Telefone sem Senha, FIDO2 e Windows Hello for Business)
- Com que frequência os requisitos de autenticação são atendidos pelas declarações de token (onde os usuários não são solicitados interativamente a inserir uma senha, inserir uma OTP SMS e assim por diante)
Ao visualizar o relatório de entradas, selecione a guia Detalhes de autenticação :
Nota
O código de verificação OATH é registrado como o método de autenticação para tokens de hardware e software OATH (como o aplicativo Microsoft Authenticator).
Importante
A guia Detalhes de autenticação pode inicialmente mostrar dados incompletos ou imprecisos, até que as informações de log sejam totalmente agregadas. Exemplos conhecidos incluem:
- Uma declaração satisfeita por na mensagem de token é exibida incorretamente quando os eventos de entrada são inicialmente registrados.
- A linha Autenticação primária não é inicialmente registrada.
Os seguintes detalhes são mostrados na janela Detalhes de Autenticação para um evento de entrada que mostra se a solicitação de MFA foi satisfeita ou negada:
Se a MFA for cumprida, esta coluna disponibiliza mais informações sobre como foi cumprida.
- concluída na cloud
- expirou devido a políticas configuradas no inquilino
- registo concluído
- cumprida por reclamação no token
- cumprida por reclamação fornecida por fornecedor externo
- cumprida por autenticação forte
- ignorada porque o fluxo executado foi o fluxo de início de sessão de mediador do Windows
- ignorada devido a palavra-passe de aplicação
- ignorada devido a localização
- ignorada devido a dispositivo registado
- ignorada devido a dispositivo memorizado
- concluída com êxito
Se for recusada, a coluna mostrará o motivo da recusa.
- autenticação em curso
- tentativa de autenticação duplicada
- código errado introduzido demasiadas vezes
- autenticação inválida
- código de verificação de aplicação móvel inválido
- configuração incorreta
- a chamada telefónica foi para o correio de voz
- o formato do número de telefone é inválido
- erro de serviço
- Não é possível alcançar o telefone do usuário
- não é possível enviar a notificação de aplicação móvel para o dispositivo
- não é possível enviar a notificação de aplicação móvel
- o utilizador recusou a autenticação
- O usuário não respondeu à notificação do aplicativo móvel
- o utilizador não tem quaisquer métodos de verificação registados
- o utilizador introduziu um código incorreto
- o utilizador introduziu um PIN incorreto
- o utilizador desligou a chamada telefónica sem que a autenticação fosse bem sucedida
- o utilizador está bloqueado
- o utilizador nunca introduziu o código de verificação
- o utilizador não foi encontrado
- o código de verificação já foi utilizado uma vez
Relatórios do PowerShell sobre usuários registrados para MFA
Primeiro, certifique-se de ter o SDK do Microsoft Graph PowerShell instalado.
Identifique os usuários que se registraram para MFA usando o PowerShell a seguir. Este conjunto de comandos exclui utilizadores com deficiência, uma vez que estas contas não podem autenticar-se no Microsoft Entra ID:
Get-MgUser -All | Where-Object {$_.StrongAuthenticationMethods -ne $null -and $_.BlockCredential -eq $False} | Select-Object -Property UserPrincipalName
Identifique os usuários que não estão registrados para MFA executando os seguintes comandos do PowerShell. Este conjunto de comandos exclui utilizadores com deficiência, uma vez que estas contas não podem autenticar-se no Microsoft Entra ID:
Get-MgUser -All | Where-Object {$_.StrongAuthenticationMethods.Count -eq 0 -and $_.BlockCredential -eq $False} | Select-Object -Property UserPrincipalName
Identificar usuários e métodos de saída registrados:
Get-MgUser -All | Select-Object @{N='UserPrincipalName';E={$_.UserPrincipalName}},@{N='MFA Status';E={if ($_.StrongAuthenticationRequirements.State){$_.StrongAuthenticationRequirements.State} else {"Disabled"}}},@{N='MFA Methods';E={$_.StrongAuthenticationMethods.methodtype}} | Export-Csv -Path c:\MFA_Report.csv -NoTypeInformation
Relatórios adicionais de AMF
As seguintes informações e relatórios adicionais estão disponíveis para eventos de MFA, incluindo aqueles para o MFA Server:
| Relatório | Localização | Description |
|---|---|---|
| Histórico do usuário bloqueado | Microsoft Entra ID > Security > MFA > Bloquear/desbloquear usuários | Mostra o histórico de solicitações para bloquear ou desbloquear usuários. |
| Uso para componentes locais | Relatório de atividades do Microsoft Entra ID > Security > MFA > | Fornece informações sobre o uso geral do MFA Server. A extensão NPS e os logs do AD FS para atividade de MFA na nuvem agora estão incluídos nos logs de entrada e não são mais publicados neste relatório. |
| Histórico de usuários ignorado | Microsoft Entra ID > Security > MFA > One-time bypass | Fornece um histórico de solicitações do MFA Server para ignorar MFA para um usuário. |
| Estado do servidor | Status do Microsoft Entra ID > Security > MFA > Server | Exibe o status dos Servidores MFA associados à sua conta. |
Os eventos de entrada do Cloud MFA de um adaptador AD FS local ou extensão NPS não terão todos os campos nos logs de entrada preenchidos devido aos dados limitados retornados pelo componente local. Você pode identificar esses eventos pelo resourceID adfs ou radius nas propriedades do evento. Estas incluem:
- resultSignature
- appID
- deviceDetail
- conditionalAccessStatus
- authenticationContext
- isInteractive
- tokenIssuerName
- riskDetail, riskLevelAggregated,riskLevelDuringSignIn, riskState,riskEventTypes, riskEventTypes_v2
- authenticationProtocol [en]
- incomingTokenType
As organizações que executam a versão mais recente da extensão NPS ou usam o Microsoft Entra Connect Health terão o endereço IP de localização em eventos.
Próximos passos
Este artigo forneceu uma visão geral do relatório de atividades de entrada. Para obter informações mais detalhadas sobre o que este relatório contém, consulte Relatórios de atividade de entrada no Microsoft Entra ID.