Microsoft Entra ID 中已標幟的登入為何？

文章
06/23/2024

當使用者無法登入時，身為 IT 管理員的您會想要儘快解決問題，以解除封鎖使用者。由於登入記錄中的可用資料量，找出正確的資訊可能是一項挑戰。

本文提供功能的概觀，此功能可藉由讓您輕鬆找到相關的問題，來大幅改善解決使用者登入問題所需的時間。

什麼是已標幟的登入？

Microsoft Entra 登入事件對於了解使用者登入以及租用戶中驗證設定究竟正確還是錯誤至關重要。不過，Microsoft Entra ID 一天處理超過 80 億次驗證，這可能導致登入事件太多，以致管理員很難找到重要的登入事件。換句話說，大量的登入事件可能會讓需要協助的使用者訊號迷失在大量事件中。

已標幟的登入是一項功能，旨在為需要協助的使用者登入提高訊噪比。這項功能的目的是要讓使用者能夠對他們需要協助的登入錯誤提升認知。系統管理員和支援人員也從更有效率地尋找正確活動受益。已標幟的登入事件包含的資訊與其他登入事件所包含的資訊相同，但多加了一項：其也會指出使用者已標幟事件，供管理員檢閱。

已標幟的登入可讓使用者在登入頁面上看到錯誤時啟用標幟，然後重現該錯誤。然後，錯誤事件會在 Microsoft Entra 登入記錄中顯示為「已標幟為待檢閱」。

總而言之，您可以使用已標幟的登入：

讓使用者能夠指出他們需要其租用戶管理員提供協助的登入錯誤。
簡化找出登入錯誤的流程，使用者必須解決這些錯誤。
讓技術支援中心人員可以主動找出使用者需要協助的問題 - 不需要使用者進行標幟事件以外的任何動作。

運作方式

已標幟的登入可讓您在使用瀏覽器登入並收到驗證錯誤時啟用標幟。當使用者看到登入錯誤時，其可以選取啟用標幟。接下來的 20 分鐘，在相同瀏覽器和用戶端裝置或電腦上，來自該使用者的任何登入事件，都會在登入報告中顯示「已標幟為檢閱：是」。 20 分鐘之後，標幟會自動關閉。

使用者：如何標幟錯誤

使用者在登入期間收到錯誤。
使用者選取錯誤頁面中的 [檢視詳細資料]。
在 [疑難排解詳細資料] 中選取 [啟用標幟]。文字會變更為 [停用標幟]。標幟現在已啟用。
關閉瀏覽器視窗。
開啟新的瀏覽器視窗 (在相同的瀏覽器應用程式中)，並嘗試失敗的同一登入。
重現先前看到的登入錯誤。

在啟用標幟之後，必須使用相同的瀏覽器應用程式和用戶端，否則不會標幟事件。

管理員：在報告中尋找已標幟的事件

至少以全域讀取者的身分登入 Microsoft Entra 系統管理中心。
瀏覽至 [身分識別]> [監視和健康情況]> [登入記錄]。
開啟 [新增篩選條件] 功能表，然後選取 [已標幟為待檢閱]。即會顯示使用者已標幟的所有事件。
如有需要，請套用更多篩選條件以縮小事件檢視的搜尋範圍。
選取事件以檢閱發生什麼情況。

管理員或開發人員：使用 MS Graph 尋找已標幟的事件

您可以使用登入報告 API，搭配篩選的查詢來尋找已標幟的登入。

顯示所有已標幟的登入：https://graph.microsoft.com/beta/auditLogs/signIns?&$filter=flaggedforReview eq true

UPN 所標幟的特定使用者登入查詢 (例如：user@contoso.com)：https://graph.microsoft.com/beta/auditLogs/signIns?&$filter=flaggedforReview eq true and userPrincipalname eq 'user@contoso.com'

已標幟的特定使用者登入查詢，而且日期大於 https://graph.microsoft.com/beta/auditLogs/signIns?&$filter=flaggedforReview eq true and createdDateTime ge 2021-10-01 and userPrincipalname eq 'user@contoso.com'

如需使用登入圖形 API 的詳細資訊，請參閱登入資源類型。

誰可以建立已標幟的登入？

任何透過網頁登入 Microsoft Entra ID 的使用者都可以使用旗標登入進行檢閱。成員和來賓使用者都可以標幟登入錯誤以進行檢閱。

誰可以檢閱已標幟的登入？

檢閱已標幟的登入事件，需要在 Azure 入口網站中讀取登入報告事件的權限。如需詳細資訊，請參閱如何存取活動記錄。

若要標幟登入失敗，您不需要額外的權限。

您應該知道的事情

儘管名稱類似，已標幟的登入和有風險的登入是不同的功能：

已標幟的登入是使用者要求協助的登入錯誤事件。
有風險的登入是保護身分識別的功能。如需詳細資訊，請參閱什麼是身分識別保護。

分享方式：