Använda inloggningsrapporten för att granska händelser för Multifaktorautentisering i Microsoft Entra
Om du vill granska och förstå microsoft entra-multifaktorautentiseringshändelser kan du använda microsoft Entra-inloggningsrapporten. Den här rapporten visar autentiseringsinformation för händelser när en användare uppmanas till multifaktorautentisering och om några principer för villkorsstyrd åtkomst användes. Detaljerad information om inloggningsrapporten finns i översikten över inloggningsaktivitetsrapporter i Microsoft Entra-ID.
Visa microsoft Entra-inloggningsrapporten
Dricks
Stegen i den här artikeln kan variera något beroende på vilken portal du börjar från.
I inloggningsrapporten får du information om användningen av hanterade program och användarinloggningsaktiviteter, som innehåller information om användning av multifaktorautentisering. MFA-data ger dig information om hur MFA fungerar i din organisation. Den besvarar frågor som:
- Kontrollerades inloggningen med MFA?
- Hur slutförde användaren MFA?
- Vilka autentiseringsmetoder användes under en inloggning?
- Varför kunde användaren inte slutföra MFA?
- Hur många användare kontrolleras av MFA?
- Hur många användare kan inte slutföra MFA-kontrollen?
- Vilka vanliga MFA-relaterade problem råkar slutanvändarna ut för?
Slutför följande steg för att visa rapporten för inloggningsaktivitet i administrationscentret för Microsoft Entra. Du kan också köra frågor mot data med hjälp av rapporterings-API:et.
Logga in på administrationscentret för Microsoft Entra som minst administratör för autentiseringsprinciper.
Bläddra till Identitet> och välj sedan Användare>Alla användare på menyn till vänster.
På menyn till vänster väljer du Inloggningsloggar.
En lista över inloggningshändelser visas, inklusive status. Du kan välja en händelse för att visa mer information.
Fliken Villkorsstyrd åtkomst i händelseinformationen visar vilken princip som utlöste MFA-prompten.
Om det är tillgängligt visas autentiseringen, till exempel textmeddelande, Microsoft Authenticator-appavisering eller telefonsamtal.
Fliken Autentiseringsinformation innehåller följande information för varje autentiseringsförsök:
- En lista över autentiseringsprinciper som tillämpas (till exempel villkorsstyrd åtkomst, MFA per användare, standardinställningar för säkerhet)
- Sekvensen med autentiseringsmetoder som används för inloggning
- Om autentiseringsförsöket lyckades eller inte
- Information om varför autentiseringsförsöket lyckades eller misslyckades
Med den här informationen kan administratörer felsöka varje steg i en användares inloggning och spåra:
- Volym av inloggningar som skyddas av multifaktorautentisering
- Användnings- och framgångsfrekvenser för varje autentiseringsmetod
- Användning av lösenordslösa autentiseringsmetoder (till exempel Lösenordslös Telefon inloggning, FIDO2 och Windows Hello för företag)
- Hur ofta autentiseringskraven uppfylls av tokenanspråk (där användarna inte uppmanas att ange ett lösenord interaktivt, ange ett SMS OTP och så vidare)
När du visar inloggningsrapporten väljer du fliken Autentiseringsinformation :
Kommentar
OATH-verifieringskoden loggas som autentiseringsmetod för både OATH-maskinvaru- och programvarutoken (till exempel Microsoft Authenticator-appen).
Viktigt!
Fliken Autentiseringsinformation kan inledningsvis visa ofullständiga eller felaktiga data tills logginformationen är helt aggregerad. Kända exempel är:
- Ett uppfyllt anspråk i tokenmeddelandet visas felaktigt när inloggningshändelser loggas från början.
- Den primära autentiseringsraden loggas inte från början.
Följande information visas i fönstret Autentiseringsinformation för en inloggningshändelse som visar om MFA-begäran uppfylldes eller nekades:
Om MFA uppfylldes tillhandahåller den här kolumnen mer information om hur MFA uppfylldes.
- slutfört i molnet
- har upphört på grund av de principer som konfigurerats på klienten
- uppmaning om registrering
- uppfyllt av anspråk i token
- uppfyllt av anspråk som tillhandahållits av en extern provider
- uppfyllt av stark autentisering
- hoppades över eftersom flödet som utnyttjades var flödet för inloggning av asynkron Windows-meddelandekö
- hoppades över på grund av applösenord
- hoppades över på grund av plats
- hoppades över på grund av en registrerad enhet
- hoppades över på grund av en sparad enhet
- slutfördes
Om MFA nekades innehåller den här kolumnen orsaken till nekandet.
- autentisering pågår
- duplicera autentiseringsförsök
- angett felaktig kod för många gånger
- ogiltig autentisering
- ogiltig verifieringskod från mobilapp
- felaktig konfiguration
- telefonsamtalet dirigerades till röstmeddelanden
- telefonnumret har ett ogiltigt format
- tjänstfel
- det går inte att nå användarens telefon
- kunde inte skicka meddelande via mobilapp till enheten
- kunde inte skicka meddelande via mobilapp
- användaren nekade autentiseringen
- användaren svarade inte på aviseringar om mobilappar
- användaren inte har några verifieringsmetoder registrerade
- användaren har angett en felaktig kod
- användaren har angett en felaktig PIN-kod
- användaren avslutade telefonsamtalet utan att ha slutfört autentiseringen
- användaren har blockerats
- användaren angav aldrig verifieringskoden
- användaren kunde inte hittas
- verifieringskoden har redan använts en gång
PowerShell-rapportering om användare som registrerats för MFA
Kontrollera först att du har Installerat Microsoft Graph PowerShell SDK installerat.
Identifiera användare som har registrerat sig för MFA med hjälp av PowerShell som följer. Den här uppsättningen kommandon utesluter inaktiverade användare eftersom dessa konton inte kan autentisera mot Microsoft Entra-ID:
Get-MgUser -All | Where-Object {$_.StrongAuthenticationMethods -ne $null -and $_.BlockCredential -eq $False} | Select-Object -Property UserPrincipalName
Identifiera användare som inte är registrerade för MFA genom att köra följande PowerShell-kommandon. Den här uppsättningen kommandon utesluter inaktiverade användare eftersom dessa konton inte kan autentisera mot Microsoft Entra-ID:
Get-MgUser -All | Where-Object {$_.StrongAuthenticationMethods.Count -eq 0 -and $_.BlockCredential -eq $False} | Select-Object -Property UserPrincipalName
Identifiera användare och utdatametoder som registrerats:
Get-MgUser -All | Select-Object @{N='UserPrincipalName';E={$_.UserPrincipalName}},@{N='MFA Status';E={if ($_.StrongAuthenticationRequirements.State){$_.StrongAuthenticationRequirements.State} else {"Disabled"}}},@{N='MFA Methods';E={$_.StrongAuthenticationMethods.methodtype}} | Export-Csv -Path c:\MFA_Report.csv -NoTypeInformation
Ytterligare MFA-rapporter
Följande ytterligare information och rapporter är tillgängliga för MFA-händelser, inklusive de för MFA Server:
| Rapport | Plats | beskrivning |
|---|---|---|
| Blockerad användarhistorik | Microsoft Entra ID > Security > MFA > Blockera/avblockera användare | Visar historiken för begäranden om att blockera eller avblockera användare. |
| Användning för lokala komponenter | Microsoft Entra ID > Security > MFA-aktivitetsrapport > | Innehåller information om den övergripande användningen för MFA Server. NPS-tillägget och AD FS-loggar för MFA-molnaktivitet ingår nu i inloggningsloggarna och publiceras inte längre i den här rapporten. |
| Förbikopplad användarhistorik | Microsoft Entra ID > Security > MFA > Engångs bypass | Innehåller en historik över MFA Server-begäranden om att kringgå MFA för en användare. |
| Serverstatus | Microsoft Entra ID > Security > MFA > Server-status | Visar status för MFA-servrar som är associerade med ditt konto. |
Cloud MFA-inloggningshändelser från ett lokalt AD FS-kort eller NPS-tillägg har inte alla fält i inloggningsloggarna ifyllda på grund av begränsade data som returneras av den lokala komponenten. Du kan identifiera dessa händelser med hjälp av resourceID-adfs eller radie i händelseegenskaperna. De omfattar:
- resultSignature
- Appid
- deviceDetail
- conditionalAccessStatus
- authenticationContext
- isInteractive
- tokenIssuerName
- riskDetail, riskLevelAggregated,riskLevelDuringSignIn, riskState,riskEventTypes, riskEventTypes_v2
- authenticationProtocol
- incomingTokenType
Organisationer som kör den senaste versionen av NPS-tillägget eller använder Microsoft Entra Anslut Health har plats-IP-adress i händelser.
Nästa steg
Den här artikeln innehåller en översikt över inloggningsaktivitetsrapporten. Mer detaljerad information om vad den här rapporten innehåller finns i inloggningsaktivitetsrapporter i Microsoft Entra-ID.