Microsoft Entra 已標記的登入
身為 IT 管理員的您會想要儘快解決登入問題,以解除封鎖使用者。 由於登入記錄中的可用資料量,找出正確的資訊可能是一項挑戰。
本文提供標記登入功能的概觀,此功能可藉由讓您更輕鬆找到相關的問題,來大幅改善解決使用者登入問題所需的時間。
什麼是被標記的登入?
Microsoft Entra 登入事件對於了解使用者登入行為以及租用戶中的驗證設定非常重要。 不過,Microsoft Entra ID 一天處理超過 80 億次驗證,這可能導致登入事件太多,以致管理員很難找到重要的登入事件。
標記的登入功能旨在提升需要您支援的使用者登入的訊號對雜訊的比率。 此功能可讓使用者提高對他們需要協助的登入錯誤的意識。 系統管理員和支援人員也從更有效率地尋找正確活動受益。 已標幟的登入事件包含的資訊與其他登入事件所包含的資訊相同,但其也會指出使用者已標幟事件供檢閱。
您可以使用已標記的登入功能:
賦能使用者,使其主動指出哪些登入錯誤需要 IT 系統管理員支援。
簡化尋找登入錯誤的程序。
啟用支援人員,以尋找登入錯誤,而不需要終端使用者執行標示事件以外的任何動作。
運作方式
當使用者看到登入錯誤時,可以選擇啟用標示。 接下來的 20 分鐘,在相同瀏覽器和用戶端裝置或電腦上,來自該使用者的任何登入事件,會在登入記錄中顯示 [已標幟為檢閱:是]。 20 分鐘之後,標幟會自動關閉。
使用者:如何標記錯誤
使用者在登入期間收到錯誤。
使用者選取錯誤頁面中的 [檢視詳細資料]。
在 [疑難排解詳細資料] 區段中,使用者選取 [啟用標幟]。
- 文字會變更為 [停用標幟] 並且標幟現在已啟用。
- 使用者必須使用相同的瀏覽器和客戶端,否則事件不會被標記。
開啟新的瀏覽器視窗(在相同的瀏覽器應用程式中),然後再次嘗試先前失敗的相同登入。
如果重現登入錯誤,會將已標記的診斷傳送至登入日誌。
管理員:在報告中尋找已標記的事件
可能需要幾分鐘的時間,登入記錄才會顯示已標幟的登入事件。
以至少報表讀者身分登入 Microsoft Entra 系統管理中心。
瀏覽至 [身分識別]>[監控與健康]>[登入記錄]。
開啟 新增篩選條件 功能表,然後選取 已標幟為待檢閱。 顯示所有標幟的事件。
如有需要,請套用更多篩選條件以縮小事件檢視的搜尋範圍。
選取事件以檢閱發生什麼情況。
管理員或開發人員:使用 Microsoft Graph 尋找已標記的事件
您可使用 Microsoft Graph API 找到已標記的登入。 如需詳細資訊,請參閱登入資源類型 Microsoft Graph 文件。
顯示所有已標記的登入:
https://graph.microsoft.com/beta/auditLogs/signIns?&$filter=flaggedforReview eq true
UPN 所標幟的特定使用者登入查詢 (例如:user@contoso.com):
https://graph.microsoft.com/beta/auditLogs/signIns?&$filter=flaggedforReview eq true and userPrincipalname eq 'user@contoso.com'
特定使用者的已標記登入查詢,日期必須大於:
https://graph.microsoft.com/beta/auditLogs/signIns?&$filter=flaggedforReview eq true and createdDateTime ge 2021-10-01 and userPrincipalname eq 'user@contoso.com'
誰可以建立被標記的登入?
任何登入 Microsoft Entra ID 的使用者都可以將登入標記為檢閱,包括成員和來賓使用者。
誰可以檢閱已標記的登入?
在 Microsoft Entra 系統管理中心中檢閱已標幟的登入事件,需要擁有讀取登入報告事件的權限。 如需詳細資訊,請參閱如何存取活動記錄。
您應該知道的事情
儘管名稱相似,標記的登入和有風險的登入是不同的功能:
- 被標記的登入事件是使用者要求協助的登入錯誤。
- 風險性登入是 Microsoft Entra ID Protection 的功能。 如需詳細資訊,請參閱<什麼是 Microsoft Entra ID Protection?>。