使用登入報告來檢閱 Microsoft Entra 多重要素驗證事件
若要檢閱及瞭解 Microsoft Entra 多重要素驗證事件,您可以使用 Microsoft Entra 登入報告。 當系統提示用戶進行多重要素驗證,以及是否使用任何條件式存取原則時,此報告會顯示事件的驗證詳細數據。 如需登入報告的詳細資訊,請參閱 Microsoft Entra ID 中的登入活動報告概觀。
檢視 Microsoft Entra 登入報告
提示
本文中的步驟可能會根據您從開始的入口網站稍有不同。
登入報告提供受控應用程式和使用者登入活動使用方式的相關信息,其中包含多重要素驗證使用方式的相關信息。 MFA 數據可讓您深入瞭解 MFA 在組織中的運作方式。 它會回答如下的問題:
- 登入受到 MFA 的挑戰嗎?
- 使用者如何完成 MFA?
- 登入期間使用了哪些驗證方法?
- 為什麼用戶無法完成 MFA?
- MFA 有多少使用者受到挑戰?
- 有多少用戶無法完成 MFA 挑戰?
- 使用者遇到哪些常見的 MFA 問題?
若要在 Microsoft Entra 系統管理中心檢視登入活動報告,請完成下列步驟。 您也可以使用 報告 API 查詢資料。
以至少驗證原則 管理員 istrator 身分登入 Microsoft Entra 系統管理中心。
流覽至 [身分>識別],然後從左側的功能表中選擇 [所有使用者>]。
從左側的功能表中,選取 [登入記錄]。
顯示登入事件清單,包括狀態。 您可以選取事件以檢視更多詳細數據。
事件詳細數據的 [ 條件式存取 ] 索引標籤會顯示觸發 MFA 提示的原則。
如果有的話,就會顯示驗證,例如簡訊、Microsoft Authenticator 應用程式通知或通話。
[驗證詳細數據] 索引標籤會針對每個驗證嘗試提供下列資訊:
- 套用的驗證原則清單(例如條件式存取、每個使用者 MFA、安全性預設值)
- 用來登入的驗證方法序列
- 驗證嘗試是否成功
- 驗證嘗試成功或失敗原因的詳細數據
這項資訊可讓系統管理員針對使用者登入中的每個步驟進行疑難解答,並追蹤:
- 受多重要素驗證保護的登入數量
- 每個驗證方法的使用方式和成功率
- 使用無密碼驗證方法(例如無密碼 電話 登入、FIDO2 和 Windows Hello 企業版)
- 權杖宣告滿足驗證需求的頻率(使用者未以互動方式提示輸入密碼、輸入SMS OTP 等等)
檢視登入報告時,選取 [ 驗證詳細 數據] 索引卷標:
注意
OATH 驗證碼 會記錄為 OATH 硬體和軟體令牌的驗證方法(例如 Microsoft Authenticator 應用程式)。
重要
[ 驗證詳細 數據] 索引標籤一開始會顯示不完整或不正確的數據,直到完整匯總記錄信息為止。 已知範例包括:
- 初始 記錄登入事件時,令牌 訊息中的宣告所滿足的 不正確地顯示。
- 主要驗證數據列一開始不會記錄。
下列詳細數據會顯示在 登入事件的 [驗證詳細 數據] 視窗中,顯示 MFA 要求是否已滿足或拒絕:
如果滿足 MFA,此資料行會提供有關 MFA 如何滿足的詳細資訊。
- 在雲端中完成
- 已過期,因為租用戶上設定的原則
- 註冊提示
- 令牌中的宣告滿足
- 由外部提供者提供的宣告滿足
- 強身份驗證滿足
- 已略過,因為執行流程是 Windows 訊息代理程式登入流程
- 因為應用程式密碼而略過
- 因為位置而略過
- 因為已註冊的裝置而略過
- 因為記住的裝置而略過
- 成功完成
如果 MFA 遭到拒絕,則此數據行會提供拒絕的原因。
- 驗證進行中
- 重複驗證嘗試
- 輸入不正確的程式代碼太多次
- 無效的驗證
- 無效的行動應用程式驗證碼
- misconfiguration
- 撥打電話到語音信箱
- 電話號碼的格式無效
- 服務錯誤
- 無法連線到用戶的電話
- 無法將行動應用程式通知傳送至裝置
- 無法傳送行動應用程式通知
- 使用者拒絕驗證
- 使用者未回應行動應用程式通知
- 用戶沒有任何註冊的驗證方法
- 使用者輸入不正確的代碼
- 使用者輸入不正確的 PIN
- 用戶沒有成功驗證就掛斷了電話
- 使用者遭到封鎖
- 用戶從未輸入驗證碼
- 找不到使用者
- 驗證碼已使用一次
PowerShell 報告已註冊 MFA 的使用者
首先,請確定您已安裝 安裝 Microsoft Graph PowerShell SDK 。
使用下列 PowerShell 識別已註冊 MFA 的使用者。 這組命令會排除停用的使用者,因為這些帳戶無法針對 Microsoft Entra 識別碼進行驗證:
Get-MgUser -All | Where-Object {$_.StrongAuthenticationMethods -ne $null -and $_.BlockCredential -eq $False} | Select-Object -Property UserPrincipalName
執行下列 PowerShell 命令來識別未註冊 MFA 的使用者。 這組命令會排除停用的使用者,因為這些帳戶無法針對 Microsoft Entra 識別碼進行驗證:
Get-MgUser -All | Where-Object {$_.StrongAuthenticationMethods.Count -eq 0 -and $_.BlockCredential -eq $False} | Select-Object -Property UserPrincipalName
識別已註冊的使用者和輸出方法:
Get-MgUser -All | Select-Object @{N='UserPrincipalName';E={$_.UserPrincipalName}},@{N='MFA Status';E={if ($_.StrongAuthenticationRequirements.State){$_.StrongAuthenticationRequirements.State} else {"Disabled"}}},@{N='MFA Methods';E={$_.StrongAuthenticationMethods.methodtype}} | Export-Csv -Path c:\MFA_Report.csv -NoTypeInformation
其他 MFA 報告
下列其他資訊和報告適用於 MFA 事件,包括 MFA Server 的信息和報告:
| Report | Location | 描述 |
|---|---|---|
| 封鎖的用戶歷程記錄 | Microsoft Entra ID > Security > MFA > 封鎖/解除封鎖使用者 | 顯示封鎖或解除封鎖使用者的要求歷程記錄。 |
| 內部部署元件的使用方式 | Microsoft Entra ID > Security > MFA > 活動報告 | 提供 MFA Server 整體使用量的相關信息。 雲端 MFA 活動的 NPS 擴充功能和 AD FS 記錄現在包含在登入記錄中,而且不再在此報告中發佈。 |
| 略過的用戶歷程記錄 | Microsoft Entra ID > Security > MFA > 單次略過 | 提供 MFA Server 要求的歷程記錄,以略過使用者的 MFA。 |
| 伺服器狀態 | Microsoft Entra ID > Security > MFA > Server 狀態 | 顯示與您的帳戶相關聯的 MFA 伺服器狀態。 |
來自內部部署 AD FS 配接器或 NPS 擴充功能的雲端 MFA 登入事件不會在登入記錄中填入所有字段,因為內部部署元件傳回的數據有限。 您可以透過事件屬性中的 resourceID adfs 或 radius 來識別這些事件。 其中包含:
- resultSignature
- appID
- deviceDetail
- conditionalAccessStatus
- authenticationContext
- isInteractive
- tokenIssuerName
- riskDetail, riskLevelAggregated, riskLevelDuringSignIn, riskState, riskEventTypes, riskEventTypes_v2
- authenticationProtocol
- incomingTokenType
執行最新版 NPS 擴充功能或使用 Microsoft Entra 連線 Health 的組織將會在事件中具有位置 IP 位址。
下一步
本文提供登入活動報告的概觀。 如需此報告包含之內容的詳細資訊,請參閱 Microsoft Entra ID 中的登入活動報告。