Microsoft Entra 方案的登录诊断

可以使用 Microsoft Entra ID 登录诊断在没有 Microsoft 支持人员参与的情况下分析登录过程中发生的情况并获取解决问题的建议。

本文将会概述使用此工具时可以识别和解决的方案类型。

如何访问登录诊断

可以通过三种方式访问登录诊断工具：从“诊断并解决问题”区域或 Microsoft Entra 登录日志访问，以及创建新的支持请求时。 有关详细信息，请参阅如何使用登录诊断。

条件性访问

条件访问策略用于在必要时应用适当的访问控制来确保组织的安全。 由于条件访问策略可用于授予或阻止对资源的访问权限，因此它们通常会在登录诊断中显示。

• 由条件访问阻止

  • 条件访问策略阻止用户登录。

• 条件访问失败

  • 条件访问策略可能过于严格。
  • 查看完整的用户、组和应用集的配置。
  • 确保你了解限制某些类型设备访问的含义。

• 条件访问中的多重身份验证 (MFA)

  • 条件访问策略触发了用户的 MFA 过程。

• B2B 因条件访问而阻止了登录：

  • 你已经设置了条件访问策略来阻止外部身份登录。

多重身份验证

可以使用登录诊断工具对多个 MFA 相关事件进行故障排除。

来自其他要求的 MFA

如果登录诊断结果显示 MFA 来自非条件访问的要求，则可能基于单用户启用了 MFA。 建议将每用户 MFA 转换为条件访问。 通过登录诊断，可详细了解 MFA 中断来源和交互结果。

MFA“验证”

当 MFA 中断登录尝试时，会发生另一种常见情况。 运行登录诊断时，诊断结果中会提供有关“验证”的信息。 当用户首次设置 MFA 且未完成设置或未提前设置其配置时，会出现此错误。

正确和错误的凭据

有时，用户只是输入了错误的凭证。 登录诊断工具可以帮助区分人为错误以及其他问题。

成功登录

在某些情况下，你想了解应该被条件访问或 MFA 中断的登录事件是否未被中断。 登录诊断工具会提供有关应中断但未中断的登录事件的详细信息。

帐户已锁定

另一种常见情况是，用户使用错误凭据尝试登录的次数过多。 如果使用错误凭证进行过多基于密码的登录尝试，则会发生这种错误。 诊断结果将为管理员提供所需的信息让其确定登录尝试的来源位置，以及这些用户登录尝试是否合法。 运行登录诊断将提供有关应用、尝试次数、所用设备、操作系统和 IP 地址的详细信息。 有关详细信息，请参阅 Microsoft Entra 智能锁定。

无效的用户名或密码

如果用户尝试使用无效用户名或密码登录，登录诊断可以帮助管理员确定问题的根源。 问题根源可能是用户输入了错误的凭据，或者客户端和/或应用程序缓存了旧密码并正在重新提交该密码。 登录诊断将提供有关应用、尝试次数、所用设备、操作系统和 IP 地址的详细信息。

企业应用

在企业应用程序中，以下两个方面可能会出现问题：

• 标识提供者 (Microsoft Entra ID) 应用程序配置
• 服务提供程序（应用程序服务，也称为 SaaS 应用程序）配置

针对这些问题进行诊断可以确定要分析问题的哪一面以求找到解决方法，并采取相应的措施

企业应用服务提供程序

如果用户尝试登录应用程序时发生错误，则登录失败，原因是登录流的服务提供程序（应用程序）端出现问题。 通常，必须通过更改配置或解决应用程序服务中的问题来解决登录诊断检测到的问题。 解决这种情况意味着需要登录到其他服务，并根据诊断指南更改某些配置。

企业应用配置

登录由于应用程序的 Microsoft Entra ID 端出现应用程序配置问题而失败。 在此情况下，解决方法需要在应用程序的“企业应用程序”页中检查并更新应用程序的配置。

其他方案

可在各种场景中使用登录诊断工具。

安全默认值

由于安全默认设置，登录事件可能会中断。 安全默认值为组织强制实施安全最佳做法。 其中一种最佳做法是要求配置并使用 MFA 来防止密码喷射、重播攻击和网络钓鱼尝试成功。

有关更多信息，请参阅什么是安全默认值？

错误代码见解

如果某个事件在登录诊断中不提供上下文分析数据，则可能会显示更新的错误代码解释和相关内容。 错误代码见解包含有关方案、如何修正问题以及要阅读的有关该问题的任何内容的详细文本。

旧式身份验证

此方案涉及因客户端尝试使用旧式（或基本）身份验证而被阻止或中断的登录事件。

作为确保安全性的最佳做法，建议阻止使用旧式身份验证登录。 旧式身份验证协议（如 POP、SMTP、IMAP 和 MAPI）无法强制执行 MFA，这使它们成为攻击者攻击组织的首选入口点。

有关详细信息，请参阅如何使用条件访问来阻止 Microsoft Entra ID 上的旧式身份验证。

B2B 因条件访问而阻止了登录

此诊断方案检测由于用户来自其他组织而被阻止或中断的登录。 例如 B2B 登录，其中条件访问策略要求将客户端的设备加入资源租户。

有关详细信息，请参阅 B2B 协作用户的条件访问。

被风险策略阻止

该场景是：当登录尝试被识别为有风险时，标识保护策略会阻止登录尝试。

有关详细信息，请参阅如何配置和启用风险策略。

传递身份验证

由于传递身份验证是本地和云身份验证技术的集成，因此很难确定问题出自哪里。 此诊断旨在使这些场景更易于诊断和解决。

如果使用的身份验证方法是直通身份验证 (PTA)，并且存在 PTA 特定错误，此诊断方案会识别用户特定的登录问题。 由于其他问题而导致的错误，即使正在使用 PTA 身份验证，仍会被正确诊断。

诊断结果显示有关失败和用户登录的上下文信息。 结果可能会显示登录失败的其他原因，以及管理员可采取来解决问题的建议操作。 有关详细信息，请参阅 Microsoft Entra Connect：排查直通身份验证问题。

无缝单一登录

无缝单一登录将 Kerberos 身份验证与云身份验证集成。 由于此方案涉及两种身份验证协议，因此在出现登录问题时，可能很难理解故障点所在。 此诊断旨在使这些场景更易于诊断和解决。

此诊断方案会检查登录失败的上下文和特定失败原因。 诊断结果可能包括有关登录尝试的上下文信息，以及管理员可以采取的建议操作。 有关详细信息，请参阅排查 Microsoft Entra 无缝单一登录问题。