什么是 Microsoft Entra ID 中带标记的登录?
作为 IT 管理员,当用户登录失败时,你需要尽快解决此问题,以解除对用户的阻止操作。 由于登录日志中有大量可用数据,因此找到正确的信息可能是一项挑战。
本文概述了一项功能,该功能通过降低查找相关问题的难度,显著缩短了解决用户登录问题所需的时间。
什么是标记的登录?
Microsoft Entra 登录事件对于了解用户登录和租户中的身份验证配置是否正常至关重要。 但是,Microsoft Entra ID 每天要处理超过 80 亿次身份验证,这可能会导致登录事件过多,以至于管理员很难找到重要的登录事件。 换句话说,登录事件过多可能会使需要帮助的用户发出的信号在大量事件中无法得到关注。
已标记的登录是一项功能,旨在提高需要帮助的用户登录的信号噪声比。 该功能旨在帮助用户提高对需要帮助的登录错误的认知。 管理员和技术支持工作人员还可以从更高效地查找正确的事件中受益。 带标记的登录事件所包含的信息与其他登录事件所包含的信息相同,区别只在于它们还传达了一个信息:有用户标记了该事件,提示管理员审阅。
带标记的登录让用户能够在登录页上发生错误时启用标记,然后重现该错误。 然后,错误事件将在 Microsoft Entra 登录日志中显示为“已标记为待审阅”。
总之,可以将带标记的登录用于以下用途:
让用户能够指出需要租户管理员帮助解决的登录错误。
简化用户需要解决的登录错误的查找过程。
让支持人员能够主动找到用户需要帮助的问题,而无需最终用户执行除标记事件之外的任何操作。
工作原理
使用带标记的登录,你能够在使用浏览器登录并收到身份验证错误时启用标记。 当用户看到登录错误时,可以选择启用标记。 在接下来的 20 分钟内,该用户在同一浏览器和客户端设备或计算机上的任何登录事件都将在登录报告中显示为“已标记为待审阅: 是”。 20 分钟后,标记会自动关闭。
用户:如何标记错误
- 用户在登录期间收到错误。
- 用户选择错误页中的“查看详细信息”。
- 在“故障排除详细信息”中,选择“启用标记”。 文本将更改为“禁用标记”。 现已启用标记。
- 关闭浏览器窗口。
- 打开新的浏览器窗口(在同一浏览器应用程序中),尝试之前失败的登录。
- 重现之前看到的登录错误。
启用标记后,必须使用同一浏览器应用程序和客户端,否则不会标记事件。
管理员:在报告中查找带标记的事件
- 至少以全局读者身份登录到 Microsoft Entra 管理中心。
- 浏览到“标识”>“监视和运行状况”>“登录日志”。
- 打开“添加筛选器”菜单,然后选择“已标记以供评审”。 会显示用户标记的所有事件。
- 可根据需要应用更多筛选器,以优化事件视图。
- 选择事件以查看具体情况。
管理员或开发人员:使用 MS Graph 查找带标记的事件
可以使用登录报告 API,通过筛选的查询查找带标记的登录。
显示所有已标记的登录:https://graph.microsoft.com/beta/auditLogs/signIns?&$filter=flaggedforReview eq true
按 UPN(例如 user@contoso.com)标记了特定用户的登录查询:https://graph.microsoft.com/beta/auditLogs/signIns?&$filter=flaggedforReview eq true and userPrincipalname eq 'user@contoso.com'
标记了特定用户的此日期以后的登录查询:https://graph.microsoft.com/beta/auditLogs/signIns?&$filter=flaggedforReview eq true and createdDateTime ge 2021-10-01 and userPrincipalname eq 'user@contoso.com'
有关如何使用登录图形 API 的详细信息,请参阅 signIn 资源类型。
谁可以创建已标记的登录?
通过网页登录 Microsoft Entra ID 的任何用户都可以使用标志登录来获得审阅。 成员和来宾用户都可以标记供审阅的登录错误。
谁可以审阅带标记的登录?
审阅带标记的登录事件需要具有在 Azure 门户中读取登录事件的权限。 有关详细信息,请参阅如何访问活动日志。
标记登录失败不需要额外的权限。
要点
虽然带标记的登录和有风险的登录的名称相似,但它们具有不同的功能 :
- 带标记的登录是用户请求帮助解决的登录错误事件。
- 风险登录是一项标识保护功能。 有关详细信息,请参阅什么是标识保护。