共用方式為

使用登入報告來檢閱 Microsoft Entra 多重要素驗證事件

  • 發行項

若要檢閱並了解 Microsoft Entra 多重要素驗證事件,您可使用 Microsoft Entra 登入報告。 當系統提示使用者進行多重要素驗證時,以及如果有任何條件式存取原則正在使用,則此報告可顯示事件的驗證詳細資料。 如需登入報告的詳細資訊,請參閱 Microsoft Entra ID 中的登入活動報告概觀

檢視 Microsoft Entra 登入報告

提示

本文中的步驟可能會根據您開始使用的入口網站而稍有不同。

登入報告提供受控應用程式使用方式和使用者登入活動的資訊,包括多重要素驗證 (MFA) 使用方式的資訊。 MFA 資料可讓您深入了解 MFA 如何在您的組織中運作。 其會回答下列問題:

  • 是否以 MFA 挑戰登入?
  • 使用者如何完成 MFA?
  • 在登入期間會使用哪些驗證方法?
  • 為何使用者無法完成 MFA?
  • 有多少使用者經過 MFA 挑戰?
  • 有多少使用者無法完成 MFA 挑戰?
  • 使用者會遇到的常見 MFA 問題是什麼?

若要在 Microsoft Entra 系統管理中心中檢視登入活動報告,請完成下列步驟。 您也可以使用報告 API 來查詢資料。

  1. 至少以驗證原則管理員的身分登入 Microsoft Entra 系統管理中心

  2. 瀏覽至 [身分識別]> 然後從左側功能表中選擇 [使用者]>[所有使用者]

  3. 從左側的功能表中,選取 [安全性]

  4. 登入事件清單會隨即顯示,其中包含狀態。 您可選取事件來檢視更多詳細資料。

    事件詳細資料的 [條件式存取] 索引標籤會顯示已觸發 MFA 提示的原則。

    範例 Microsoft Entra 登入報告的螢幕擷取畫面

在適用的情況下,會顯示驗證方式,例如簡訊、Microsoft Authenticator 應用程式通知或撥打電話。

[驗證詳細資料] 索引標籤會提供下列資訊,以進行每個驗證嘗試:

  • 套用的驗證原則清單 (例如條件式存取、每個使用者的 MFA、安全性預設值)
  • 用於登入的驗證方法順序
  • 驗證嘗試是否成功
  • 驗證嘗試成功或失敗的原因詳細資料

這項資訊可讓管理員針對使用者登入中的每個步驟進行疑難排解,並追蹤:

  • 受到多重要素驗證保護的登入數量
  • 每個驗證方法的使用方式和成功率
  • 無密碼驗證方法的使用方式 (例如無密碼電話登入、FIDO2 和 Windows Hello 企業版)
  • 權杖宣告滿足驗證需求的頻率 (不會以互動方式提示使用者輸入密碼、輸入 SMS OTP 等等)

檢視登入報表時,請選取 [驗證詳細資料] 索引標籤:

[驗證詳細資料] 索引標籤的螢幕擷取畫面

注意

OATH 驗證碼 會記錄為 OATH 硬體和軟體權杖的驗證方法 (例如 Microsoft Authenticator 應用程式)。

重要

[驗證詳細資料] 索引標籤一開始會顯示不完整或不正確的資料,直到記錄資訊完全彙總為止。 已知範例包括:

  • 一開始記錄登入事件時,會不正確地顯示由權杖中宣告滿足訊息。
  • 一開始不會記錄 [主要驗證] 資料列。

下列詳細資料會顯示在登入事件的 [驗證詳細資料] 視窗中,指出已滿足或拒絕 MFA 要求:

  • 如果已滿足 MFA,此資料行提供如何滿足 MFA 的詳細資訊。

    • 在雲端中完成
    • 由於租用戶上設定的原則所以已過期
    • 註冊提示
    • 因為在權杖中宣告而滿足
    • 因為外部提供者提供的宣告而滿足
    • 因為強式驗證而滿足
    • 因為運用的流程是 Windows 訊息代理程式登入流程而略過
    • 因為應用程式密碼而略過
    • 因為位置而略過
    • 因為已註冊的裝置而略過
    • 因為已記住的裝置而略過
    • 已成功完成

  • 如果已拒絕 MFA,此資料行會提供拒絕的原因。

    • 驗證進行中
    • 重複的驗證嘗試
    • 輸入太多次不正確的代碼
    • 無效的驗證
    • 無效的行動應用程式驗證碼
    • 設定錯誤
    • 撥打電話轉到語音信箱
    • 電話號碼的格式無效
    • 服務錯誤
    • 無法接通使用者的電話
    • 無法將行動應用程式通知傳送到裝置
    • 無法傳送行動應用程式通知
    • 使用者拒絕驗證
    • 使用者未回應行動應用程式通知
    • 使用者沒有任何已註冊的驗證方法
    • 使用者輸入不正確的代碼
    • 使用者輸入不正確的 PIN
    • 使用者未成功驗證即掛斷電話
    • 使用者遭到封鎖
    • 使用者從未輸入驗證碼
    • 找不到使用者
    • 驗證碼已使用過一次

PowerShell 報告已註冊 MFA 的使用者

首先,請確定您已安裝 安裝 Microsoft Graph PowerShell SDK

識別已使用下列 Powershell 註冊 MFA 的使用者。 這組命令會排除已停用的使用者,因為這些帳戶無法針對 Microsoft Entra ID 進行驗證:

Get-MgUser -All | Where-Object {$_.StrongAuthenticationMethods -ne $null -and $_.BlockCredential -eq $False} | Select-Object -Property UserPrincipalName

執行下列 PowerShell 命令,藉此識別未註冊 MFA 的使用者。 這組命令會排除已停用的使用者,因為這些帳戶無法針對 Microsoft Entra ID 進行驗證:

Get-MgUser -All | Where-Object {$_.StrongAuthenticationMethods.Count -eq 0 -and $_.BlockCredential -eq $False} | Select-Object -Property UserPrincipalName

識別已註冊的使用者和輸出方法:

Get-MgUser -All | Select-Object @{N='UserPrincipalName';E={$_.UserPrincipalName}},@{N='MFA Status';E={if ($_.StrongAuthenticationRequirements.State){$_.StrongAuthenticationRequirements.State} else {"Disabled"}}},@{N='MFA Methods';E={$_.StrongAuthenticationMethods.methodtype}} | Export-Csv -Path c:\MFA_Report.csv -NoTypeInformation

其他 MFA 報告

下列為針對 MFA 事件 (包括 MFA 伺服器的事件) 提供的其他資訊和報告:

報告 Location 描述
已封鎖的使用者歷程記錄 Microsoft Entra ID > 安全性 > MFA > 封鎖/解除封鎖使用者 顯示使用者封鎖或解除封鎖要求的歷程記錄。
內部部署元件的使用方式 Microsoft Entra ID > 安全性 > MFA > 活動報告 提供 MFA Server 整體使用方式的相關資訊。 雲端 MFA 活動的 NPS 延伸模組和 AD FS 記錄目前已包含在登入記錄中,並且不再發佈在此報告中。
已略過的使用者歷程記錄 Microsoft Entra ID > 安全性 > MFA > 一次性略過 提供針對使用者許可 MFA 的 MFA 伺服器要求歷程記錄。
伺服器狀態 Microsoft Entra ID > 安全性 > MFA > 伺服器狀態 顯示與帳戶建立關聯的 MFA 伺服器狀態。

來自內部部署 AD FS 配接器或 NPS 擴充功能的雲端 MFA 登入事件不會在登入記錄中填入所有欄位,因為內部部署元件傳回的資料有限。 您可以藉由事件屬性中的 resourceID adfsradius 來識別這些事件。 其中包含:

  • resultSignature
  • appID
  • deviceDetail
  • conditionalAccessStatus
  • authenticationContext
  • isInteractive
  • tokenIssuerName
  • riskDetail, riskLevelAggregated,riskLevelDuringSignIn, riskState,riskEventTypes, riskEventTypes_v2
  • authenticationProtocol
  • incomingTokenType

執行最新版本 NPS 延伸模組或使用 Microsoft Entra Connect Health 的組織,在事件中會具有位置 IP 位址。

下一步

本文提供了登入活動報告概觀。 如需此報告所包含內容的詳細資訊,請參閱 Microsoft Entra ID 中的登入活動報告