Share via

針對合併的安全性資訊註冊進行疑難解答

  • 發行項

本文中的資訊旨在引導針對合併註冊體驗用戶回報的問題進行疑難解答的系統管理員。

稽核記錄

合併註冊記錄的事件位於 Microsoft Entra 稽核記錄中的驗證方法服務中。

顯示註冊事件的 Microsoft Entra 稽核記錄介面

下表列出合併註冊所產生的所有稽核事件:

活動​​ 狀態 原因 描述
用戶已註冊所有必要的安全性資訊 成功 用戶已註冊所有必要的安全性資訊。 當使用者成功完成註冊時,就會發生此事件。
用戶已註冊所有必要的安全性資訊 失敗 使用者已取消安全性信息註冊。 當使用者取消中斷模式的註冊時,就會發生此事件。
用戶註冊的安全性資訊 成功 用戶已註冊 的方法 當用戶註冊個別方法時,就會發生這個事件。 方法可以是 Authenticator 應用程式、電話、電子郵件、安全性問題、應用程式密碼、備用電話等等。
用戶已檢閱的安全性資訊 成功 使用者已成功檢閱安全性資訊。 當使用者在安全性資訊檢閱頁面上選取 [外觀良好 ] 時,就會發生此事件。
用戶已檢閱的安全性資訊 失敗 用戶無法檢閱安全性資訊。 當使用者在安全性資訊檢閱頁面上選取 [外觀良好 ],但後端發生問題時,就會發生此事件。
用戶已刪除的安全性資訊 成功 用戶已刪除 的方法 當使用者刪除個別方法時,就會發生此事件。 方法可以是 Authenticator 應用程式、電話、電子郵件、安全性問題、應用程式密碼、備用電話等等。
用戶已刪除的安全性資訊 失敗 用戶無法刪除 方法 當使用者嘗試刪除方法,但嘗試因為某些原因而失敗時,就會發生此事件。 方法可以是 Authenticator 應用程式、電話、電子郵件、安全性問題、應用程式密碼、備用電話等等。
用戶已變更預設安全性資訊 成功 用戶已變更方法的預設安全性資訊 當使用者變更預設方法時,就會發生這個事件。 方法 可以是 Authenticator 應用程式通知、來自我的驗證器應用程式或令牌的程式代碼、呼叫 +X XXXXXXXXXX、將程式代碼文字傳送至 +X XXXXXXXXX 等等。
用戶已變更預設安全性資訊 失敗 使用者無法變更方法的預設安全性資訊 當使用者嘗試變更預設方法,但嘗試因為某些原因而失敗時,就會發生此事件。 方法 可以是 Authenticator 應用程式通知、來自我的驗證器應用程式或令牌的程式代碼、呼叫 +X XXXXXXXXXX、將程式代碼文字傳送至 +X XXXXXXXXX 等等。

針對中斷模式進行疑難解答

徵兆 疑難排解步驟
我看不到我預期看到的方法。 1.檢查使用者是否有 Microsoft Entra 系統管理員角色。 如果是,請檢視 SSPR 管理原則差異。
2.判斷使用者是否因為多重要素驗證註冊強制執行或 SSPR 註冊強制執行而中斷。 請參閱「 合併註冊模式」底下的流程圖 ,以判斷應該顯示哪些方法。
3.判斷多重要素驗證或 SSPR 原則最近變更的方式。 如果最近發生變更,更新的原則可能需要一些時間才能傳播。

針對管理模式進行疑難解答

徵兆 疑難排解步驟
我沒有加入特定方法的選項。 1.判斷方法是否已啟用多重要素驗證或 SSPR。
2.如果方法已啟用,請再次儲存原則,並在再次測試前等候 1-2 小時。
3.如果啟用方法,請確定使用者尚未設定他們允許設定的該方法數目上限。

如何回復使用者

如果您是系統管理員,想要重設使用者的多重要素驗證設定,您可以使用下一節中提供的 PowerShell 腳本。 腳本會清除用戶行動應用程式和/或電話號碼的 StrongAuthenticationMethods 屬性。 如果您為使用者執行此腳本,他們需要重新註冊多重要素驗證。 建議您先測試一或兩個用戶的回復,再復原所有受影響的使用者。

下列步驟可協助您復原用戶或使用者群組。

必要條件

注意

自 2024 年 3 月 30 日起,Azure AD 和 MSOnline PowerShell 模組已被淘汰。 若要深入了解,請閱讀淘汰更新。 在此日期之後,對這些模組的支援僅限於對 Microsoft Graph PowerShell SDK 的移轉協助和安全性修正。 淘汰的模組將繼續運作至 2025 年 3 月 30 日。

我們建議移轉至 Microsoft Graph PowerShell 以與 Microsoft Entra ID (以前稱為 Azure AD) 互動。 如需了解常見的移轉問題,請參閱移轉常見問題注意:MSOnline 1.0.x 版可能會在 2024 年 6 月 30 日之後發生中斷。

  1. 安裝適當的 Azure AD PowerShell 模組。 在 PowerShell 視窗中,執行下列命令來安裝模組:

    Install-Module -Name MSOnline
Import-Module MSOnline

  2. 將受影響的用戶物件識別符清單儲存到您的計算機,作為每行一個標識碼一個標識碼的文本檔。 記下檔案的位置。

  3. 將下列文稿儲存到您的電腦,並記下腳本的位置:

    <# 
//********************************************************
//*                                                      *
//*   Copyright (C) Microsoft. All rights reserved.      *
//*                                                      *
//********************************************************
#>

param($path)

# Define Remediation Fn
function RemediateUser {

    param  
    (
        $ObjectId
    )

    $user = Get-MsolUser -ObjectId $ObjectId

    Write-Host "Checking if user is eligible for rollback: UPN: "  $user.UserPrincipalName  " ObjectId: "  $user.ObjectId -ForegroundColor Yellow

    $hasMfaRelyingParty = $false
    foreach($p in $user.StrongAuthenticationRequirements)
    {
        if ($p.RelyingParty -eq "*")
        {
            $hasMfaRelyingParty = $true
            Write-Host "User was enabled for per-user MFA." -ForegroundColor Yellow
        }
    }

    if ($user.StrongAuthenticationMethods.Count -gt 0 -and -not $hasMfaRelyingParty)
    {
        Write-Host $user.UserPrincipalName " is eligible for rollback" -ForegroundColor Yellow
        Write-Host "Rolling back user ..." -ForegroundColor Yellow
        Reset-MsolStrongAuthenticationMethodByUpn -UserPrincipalName $user.UserPrincipalName
        Write-Host "Successfully rolled back user " $user.UserPrincipalName -ForegroundColor Green
    }
    else
    {
        Write-Host $user.UserPrincipalName " is not eligible for rollback. No action required."
    }

    Write-Host ""
    Start-Sleep -Milliseconds 750
}

# Connect
Import-Module MSOnline
Connect-MsolService

foreach($line in Get-Content $path)
{
    RemediateUser -ObjectId $line
}

復原

在 PowerShell 視窗中,執行下列命令,提供腳本和使用者檔案位置。 出現提示時,輸入全域管理員認證。 文本會輸出每個使用者更新作業的結果。

<script location> -path <user file location>

下一步