使用登录报告查看 Microsoft Entra 多重身份验证事件
若要查看和了解 Microsoft Entra 多重身份验证事件,可以使用 Microsoft Entra 登录报告。 此报告显示了提示用户进行多重身份验证时事件的身份验证详细信息,以及是否正在使用任何条件访问策略。 有关登录报告的详细信息,请参阅 Microsoft Entra ID 中的登录活动报告概述。
查看 Microsoft Entra 登录报告
提示
本文中的步骤可能因开始使用的门户而略有不同。
登录报告提供有关托管应用程序的使用情况和用户登录活动的信息,其中包括有关多重身份验证使用情况的信息。 可以通过 MFA 数据了解 MFA 在组织中的使用情况。 它回答了以下问题:
- 登录时是否进行了 MFA?
- 用户如何完成 MFA?
- 登录期间使用了哪些身份验证方法?
- 用户无法完成 MFA 的原因是什么?
- 对多少用户进行了 MFA?
- 无法完成 MFA 质询的用户有多少?
- 最终用户遇到的常见 MFA 问题有哪些?
若要在 Microsoft Entra 管理中心查看登录活动报告,请完成以下步骤。 还可以使用报告 API 来查询数据。
至少以身份验证策略管理员的身份登录到 Microsoft Entra 管理中心。
浏览到“标识”> 然后从左侧菜单中选择“用户”>“所有用户”。
在左侧菜单中选择“登录日志”。
显示了登录事件的列表,包括状态。 可以选择一个事件以查看更多详细信息。
事件详细信息的“条件访问”选项卡显示触发 MFA 提示的策略。
如果可用,将显示身份验证,如短信、Microsoft Authenticator 应用通知或电话呼叫。
“身份验证详细信息”选项卡针对每次身份验证尝试提供以下信息:
- 应用于身份验证策略的列表(例如条件访问、基于用户的 MFA、安全默认值)
- 用于登录的身份验证方法序列
- 身份验证尝试是否成功
- 有关身份验证尝试成功或失败的原因的详细信息
此信息允许管理员排查用户登录中每个步骤的问题,并进行跟踪:
- 受多重身份验证保护的登录数量
- 每个身份验证方法的使用情况和成功率
- 使用无密码身份验证方法(如无密码的手机登录、FIDO2 和 Windows Hello 企业版)
- 令牌声明满足身份验证要求的频率(在这种情况下,不会以交互式提示用户输入密码、输入 SMS OTP 等)
查看登录报告,请选择“身份验证详细信息”:
注意
OATH 验证码作为 OATH 硬件和软件令牌(Microsoft Authenticator 应用)的身份验证方法被记录。
重要
“身份验证详细信息”选项卡最初显示的数据可能不完整或不准确,直到日志信息完全聚合后才会完整且准确。 已知示例包括:
- 最初记录登录事件时,会错误地显示以下消息:“满足令牌中的声明”。
- 最初不会记录“主身份验证”行。
以下详细信息显示在登录事件的“身份验证详细信息”窗口上,该事件显示 MFA 请求是得到满足还是遭到拒绝:
如果 MFA 通过,则此列会提供 MFA 如何通过的详细信息。
- 已在云中完成
- 已到期,因为在租户上配置了相关策略
- 系统提示注册
- 已通过(根据令牌中的声明)
- 已通过(根据外部提供程序提供的声明)
- 已通过(采用强身份验证)
- 已跳过,因为执行的流为 Windows 中转站登录流
- 已跳过,因为应用密码原因
- 已跳过,因为位置原因
- 已跳过,因为设备已注册
- 已跳过,因为系统已记住该设备
- 已成功完成
如果 MFA 未通过,则此列会提供未通过的原因。
- 身份验证正在进行中
- 重复进行身份验证尝试
- 输入错误代码次数过多
- 身份验证无效
- 移动应用验证码无效
- 配置错误
- 电话呼叫转到语音邮件
- 电话号码格式无效
- 服务错误
- 无法接通用户的电话
- 无法向设备发送移动应用通知
- 无法发送移动应用通知
- 用户已拒绝身份验证
- 用户未响应移动应用通知
- 用户没有注册任何验证方法
- 用户输入了不正确的代码
- 用户输入了不正确的 PIN
- 用户挂断了电话,没有成功进行身份验证
- 用户被阻止
- 用户从未输入验证代码
- 找不到用户
- 验证代码已使用过一次
针对已注册 MFA 用户的 PowerShell 报告
首先,请确保已安装 Microsoft Graph PowerShell SDK。
使用后面的 PowerShell 标识已注册 MFA 的用户。 这一组命令会排除已禁用的用户,因为这些帐户无法针对 Microsoft Entra ID 进行身份验证:
Get-MgUser -All | Where-Object {$_.StrongAuthenticationMethods -ne $null -and $_.BlockCredential -eq $False} | Select-Object -Property UserPrincipalName
通过运行以下 PowerShell 命令来识别未注册 MFA 的用户。 这一组命令会排除已禁用的用户,因为这些帐户无法针对 Microsoft Entra ID 进行身份验证:
Get-MgUser -All | Where-Object {$_.StrongAuthenticationMethods.Count -eq 0 -and $_.BlockCredential -eq $False} | Select-Object -Property UserPrincipalName
标识已注册的用户和输出方法:
Get-MgUser -All | Select-Object @{N='UserPrincipalName';E={$_.UserPrincipalName}},@{N='MFA Status';E={if ($_.StrongAuthenticationRequirements.State){$_.StrongAuthenticationRequirements.State} else {"Disabled"}}},@{N='MFA Methods';E={$_.StrongAuthenticationMethods.methodtype}} | Export-Csv -Path c:\MFA_Report.csv -NoTypeInformation
其他 MFA 报告
以下其他信息和报告可用于 MFA 事件,包括可用于 MFA 服务器的信息和报告:
| 报表 | 位置 | 说明 |
|---|---|---|
| 阻止的用户历史记录 | Microsoft Entra ID > 安全性 > MFA > 阻止/取消阻止用户 | 显示请求阻止或解除阻止用户的历史记录。 |
| 本地组件的使用情况 | Microsoft Entra ID > 安全性 > MFA > 活动报告 | 提供有关 MFA 服务器总体使用情况的信息。 云 MFA 活动的 NPS 扩展和 AD FS 日志现在包含在登录日志中,并且不再在此报告中发布。 |
| 跳过的用户历史记录 | Microsoft Entra ID > 安全性 > MFA > 免验证一次 | 提供 MFA 服务器请求历史记录,请求内容为跳过用户 MFA。 |
| 服务器状态 | Microsoft Entra ID > 安全性 > MFA > 服务器状态 | 显示与帐户关联的 MFA 服务器的状态。 |
由于本地组件返回的数据有限,来自本地 AD FS 适配器或 NPS 扩展的云 MFA 登录事件不会填充登录日志中的所有字段。 可以通过事件属性中的 resourceID adfs 或 radius 来标识这些事件。 它们包括:
- resultSignature
- appID
- deviceDetail
- conditionalAccessStatus
- authenticationContext
- isInteractive
- tokenIssuerName
- riskDetail、riskLevelAggregated、riskLevelDuringSignIn、riskState、riskEventTypes、riskEventTypes_v2
- authenticationProtocol
- incomingTokenType
运行最新版本的 NPS 扩展或使用 Microsoft Entra Connect Health 的组织将在事件中包含位置 IP 地址。
后续步骤
本文提供了登录活动报告的概述。 有关此报告所包含内容的更多详细信息,请参阅 Microsoft Entra ID 中的登录活动报告。