Microsoft Entra ID 中的登入診斷是什麼?
判斷登入失敗的原因可能很快就會成為一項挑戰。 您需要分析登入嘗試期間發生的情況,並研究可用的建議來解決問題。 在理想的情況下,您會想要解決問題,而不涉及其他專案,例如 Microsoft 支援服務。 如果您處於這樣的情況,您可以在 Microsoft Entra ID 中使用登入診斷,此工具可協助您調查 Microsoft Entra ID 中的登入。
本文概述登入診斷的內容,以及如何將其用來疑難排解登入相關的錯誤。
必要條件
若要使用登入診斷:
- 您必須至少以 [全域讀取者] 的身分登入。
- 某些登入記錄資訊可能需要具備其他角色,例如「條件式存取系統管理員」。
- 也可以從登入診斷檢閱已標幟的登入事件。
- 在使用者於登入體驗期間啟用標幟功能之後,就會擷取已標幟的登入事件。
- 如需詳細資訊,請參閱已標幟的登入。
如何運作?
在 Microsoft Entra ID 中,登入嘗試的控制方式如下:
- 誰執行登入嘗試。
- 如何執行登入嘗試。
例如,您可以設定條件式存取原則,讓系統管理員在從其公司網路登入時,設定租用戶的所有層面。 但是,當相同使用者從不受信任網路登入相同的帳戶時,可能會遭到系統封鎖。
由於該系統在回應登入嘗試上有更大的彈性,因此您最後可能要對登入進行疑難排解。登入診斷工具可透過下列方式診斷登入問題:
- 分析來自登入事件和已標幟登入的資料。
- 顯示發生情況的相關資訊。
- 提供解決問題的建議。
如何存取登入診斷
有三種方法可在 Microsoft Entra ID 中存取登入診斷。 選取索引標籤來了解每種方法。
提示
本文中的步驟可能會依據您開始的入口網站而稍有不同。
您可以從 Microsoft Entra ID 的 [診斷並解決問題] 區域啟動登入診斷。 從 [診斷並解決問題],您可以檢閱任何已標幟的登入事件,或搜尋特定登入事件。 您也可以從 [條件式存取診斷和解決問題] 區域開始此程序。
至少以全域讀者的身分登入 Microsoft Entra 系統管理中心。
瀏覽至左側導覽頂端的 [診斷並解決問題]。
- 您也可以從條件式存取、使用者、群組、身分識別保護和多重要素驗證存取 [診斷並解決問題]。
選取 [登入診斷] 圖格上的 [疑難排解] 連結。
選取 [所有登入事件] 索引標籤以開始搜尋。
- 在某些情況下,系統會自動開始尋找已標幟的登入事件。 如果找不到任何項目,系統會將您重新導向至 [所有登入事件] 索引標籤。
在搜尋欄位中輸入盡可能多的詳細資料。
- 使用者:提供進行登入嘗試的人員名稱或電子郵件地址。
- 應用程式:提供應用程式顯示名稱或應用程式識別碼。
- correlationId 或 requestId:您可以在錯誤報告或登入記錄詳細資料中找到這些詳細資料。
- 日期和時間:提供日期和時間,以尋找在 48 小時內發生的登入事件。
選取下一步按鈕。
探索結果並視需要採取動作。
如何使用診斷結果
登入診斷完成其搜尋之後,畫面上會出現一些事項。
[驗證摘要] 會列出所有符合您所提供詳細資料的事件。 選取摘要右上角的 [檢視資料行] 選項,以變更出現的資料行。
[診斷結果] 描述登入事件期間所發生的情況。
案例可能包括條件式存取原則的 MFA 需求、可能需要套用條件式存取原則的登入事件,或過去 48 小時內大量失敗的登入嘗試。
可能會提供疑難排解工具的相關內容和連結。
檢閱結果,以找出您可採取的任何動作。
由於有時候仍是需要額外協助才能解決問題,因此建議的步驟可能是開啟支援票證。
常見案例
請檢閱下一節中的提示,瞭解登入診斷可提供實用疑難排解資訊的一些常見案例。
條件式存取
您可以視需要使用條件式存取原則來套用正確的存取控制,讓您的組織保持安全。 由於條件式存取原則可用來授與或封鎖對資源的存取,因此通常會顯示在登入診斷中。
受到條件式存取原則封鎖:您的條件式存取原則禁止使用者登入。
條件式存取原則失敗:條件式存取原則可能過於嚴格。 檢閱您的設定,以取得完整的使用者、群組和應用程式集合。 請務必了解限制特定類型裝置存取的含意。
條件式存取的多重要素驗證 (MFA:您的條件式存取原則觸發了使用者的 MFA 程式。
因為條件式存取而封鎖的 B2B 登入:您已設有條件式存取原則會封鎖外部身分識別的登入。
多重要素驗證
有數個 MFA 相關事件可使用登入診斷工具進行疑難排解。
來自其他要求的MFA:如果登入診斷結果顯示有 MFA 來自條件式存取以外的需求,表示您可能已就個別使用者啟用了 MFA。 建議將個別使用者 MFA 轉換為條件式存取。 登入診斷會提供關於 MFA 中斷的來源和互動結果的詳細資料。
MFA 「校訂」:MFA 中斷登入嘗試,因此診斷結果中會提供「校訂」的相關信息。 若使用者在第一次設定 MFA 時未完成設定,或未事先完成其設定時,就會出現此錯誤。
正確和不正確的認證:有時候使用者只會輸入錯誤的認證。 登入診斷工具有助於區分人為錯誤與其他問題。
成功登入:在某些情況下,您想要知道登入事件是否應由條件式存取或 MFA 中斷,但未 被中斷。 登入診斷工具會就應中斷、但未中斷的登入事件提供詳細資料。
帳號鎖定:但使用者嘗試以不正確的認證登入太多次。 診斷結果可為系統管理員提供資訊,供其判斷嘗試的來源,以及這些嘗試是否為合法的使用者登入。 登入診斷可提供關於應用程式、嘗試次數、使用的裝置、作業系統和 IP 位址的詳細資料。 如需詳細資訊,請參閱 Microsoft Entra 智慧鎖定。
無效的使用者名稱或密碼:當使用者嘗試使用無效的使用者名稱或密碼登入時,登入診斷會提供應用程式的詳細數據、嘗試次數、使用的裝置、操作系統和IP位址。 這項資訊有助於判斷使用者輸入不正確的認證,或應用程式是否已快取舊密碼並重新提交。
企業應用程式
在企業應用程式中,識別提供者 (Microsoft Entra ID) 應用程式設定或服務提供者 (也稱為 SaaS 應用程式服務) 組態可能會發生問題
企業應用程式服務提供者:如果登入失敗,因為登入流程的服務提供者(應用程式)端發生問題,問題會藉由修正應用程式服務的問題來解決。 此案例的解決方法意味著您必須登入其他服務,並根據診斷指引變更部分設定。
企業應用程式設定:如果登入因為應用程式Microsoft Entra ID 端的設定問題而失敗,您必須在企業應用程式中檢閱和更新應用程式的組態。
安全性預設值
登入事件有可能因安全性預設值設定而中斷。 安全性預設值會為您的組織強制執行最佳做法安全性。 最佳做法之一是要求設定 MFA,用以防止密碼噴灑、重新執行攻擊和網路釣魚嘗試得逞。
如需詳細資訊,請參閱什麼是安全性預設值?。
錯誤碼深入解析
當事件在登入診斷中沒有內容相關分析時,可能會顯示更新的錯誤碼說明和相關內容。 錯誤碼深入解析包含有關案例、如何補救問題,以及所有該閱讀的內容等有關該問題的詳細文字。
舊版驗證
此案例牽涉到因用戶端嘗試使用舊版 (或基本) 驗證而遭到封鎖或中斷的登入事件。
建議最好避免使用舊版驗證來登入,以確保安全。 舊版驗證通訊協定 (例如 POP、SMTP、IMAP 和 MAPI) 由於無法強制執行 MFA,因而成為攻擊者對您的組織發動攻擊的首選進入點。
如需詳細資訊,請參閱如何使用條件式存取封鎖對 Microsoft Entra ID 的舊版驗證。
因為條件式存取而封鎖的 B2B 登入
此診斷案例會偵測因使用者來自其他組織而遭到封鎖或中斷的登入。 例如,條件式存取原則要求用戶端的裝置須已加入資源租用戶的 B2B 登入。
如需詳細資訊,請參閱 B2B 共同作業使用者的條件式存取。
依風險原則加以封鎖
在此案例中,因為風險型條件式存取原則會因為登入嘗試識別有風險,所以封鎖該登入嘗試。
如需詳細資訊,請參閱如何設定及啟用風險原則。
傳遞驗證
因為傳遞驗證整合了內部部署和雲端驗證技術,所以很難判斷問題所在。 這項診斷旨在讓這些案例更容易診斷和解決。
此診斷案例會在使用的驗證方法是傳遞驗證 (PTA) 且出現 PTA 特定的錯誤時,找出使用者特定的登入問題。 因為其他問題而發生的錯誤 - 即使使用的是 PTA 驗證,仍可正確診斷。
診斷結果會顯示關於失敗和使用者登入的內容資訊。 結果可能會顯示登入失敗的其他原因,以及系統管理員可採取以解決問題的建議動作。 如需詳細資訊,請參閱 Microsoft Entra Connect:對傳遞驗證進行疑難排解。
無縫單一登入
無縫單一登入整合有 Kerberos 驗證與雲端驗證。 由於此案例牽涉到兩種驗證通訊協定,因此可能難以了解發生登入問題時的失敗點。 這項診斷旨在讓這些案例更容易診斷和解決。
此診斷案例會檢查登入失敗的內容和特定失敗原因。 診斷結果可能包含登入嘗試的內容資訊,以及管理員可採取的建議動作。 如需詳細資訊,請參閱對 Microsoft Entra 無縫單一登入進行疑難排解。