Microsoft Entra 已標幟的登入

身為 IT 管理員的您會想要儘快解決登入問題，以解除封鎖使用者。 由於登入記錄中的可用資料量，找出正確的資訊可能是一項挑戰。

本文提供標記登入功能的概觀，此功能可藉由讓您更輕鬆找到相關的問題，來大幅改善解決使用者登入問題所需的時間。

什麼是已標幟的登入？

Microsoft Entra 登入事件對於了解使用者登入以及租用戶中驗證設定究竟發生了什麼至關重要。 不過，Microsoft Entra ID 一天處理超過 80 億次驗證，這可能導致登入事件太多，以致管理員很難找到重要的登入事件。

標幟的登入功能旨在改善需要您支援之使用者登入的訊號雜訊比。 此功能可讓使用者提高對他們需要協助的登入錯誤的意識。 系統管理員和支援人員也從更有效率地尋找正確活動受益。 已標幟的登入事件包含的資訊與其他登入事件所包含的資訊相同，但其也會指出使用者已標幟事件供檢閱。

您可以使用已標幟的登入：

• 賦能使用者，使其主動指出哪些登入錯誤需要 IT 系統管理員支援。

• 簡化尋找登入錯誤的程序。

• 啟用支援人員，以尋找登入錯誤，而不需要終端使用者執行標示事件以外的任何動作。

運作方式

當使用者看到登入錯誤時，其可以選擇啟用標幟。 接下來的 20 分鐘，在相同瀏覽器和用戶端裝置或電腦上，來自該使用者的任何登入事件，會在登入記錄中顯示 [已標幟為檢閱：是]。 20 分鐘之後，標幟會自動關閉。

使用者：如何標幟錯誤

1. 使用者在登入期間收到錯誤。

2. 使用者選取錯誤頁面中的 [檢視詳細資料]。

3. 在 [疑難排解詳細資料] 區段中，使用者選取 [啟用標幟]。

   • 文字會變更為 [停用標幟] 並且標幟現在已啟用。
   • 使用者必須使用相同的瀏覽器和用戶端，否則不會標幟事件。

   

4. 開啟新的瀏覽器視窗 (在相同的瀏覽器應用程式中)，並嘗試失敗的同一登入。

如果重現登入錯誤，會將已標幟的診斷傳送至登入記錄。

管理員：在報告中尋找已標幟的事件

可能需要幾分鐘的時間，登入記錄才會顯示已標幟的登入事件。

1. 以至少報表讀者身分登入 Microsoft Entra 系統管理中心。

2. 瀏覽至 [身分識別]>[監視和健康情況]>[登入記錄]。

3. 開啟 [新增篩選條件] 功能表，然後選取 [已標幟為待檢閱]。 顯示所有標幟的事件。

   

4. 如有需要，請套用更多篩選條件以縮小事件檢視的搜尋範圍。

5. 選取事件以檢閱發生什麼情況。

管理員或開發人員：使用 Microsoft Graph 尋找已標幟的事件

您可使用 Microsoft Graph API 找到已標幟的登入。 如需詳細資訊，請參閱登入資源類型 Microsoft Graph 文件。

顯示所有已標幟的登入：

• https://graph.microsoft.com/beta/auditLogs/signIns?&$filter=flaggedforReview eq true

UPN 所標幟的特定使用者登入查詢 (例如：user@contoso.com)：

• https://graph.microsoft.com/beta/auditLogs/signIns?&$filter=flaggedforReview eq true and userPrincipalname eq 'user@contoso.com'

已標幟的特定使用者登入查詢，而且日期大於：

• https://graph.microsoft.com/beta/auditLogs/signIns?&$filter=flaggedforReview eq true and createdDateTime ge 2021-10-01 and userPrincipalname eq 'user@contoso.com'

誰可以建立已標幟的登入？

任何登入 Microsoft Entra ID 的使用者都可以使用旗標登入進行檢閱，包括成員和來賓使用者。

誰可以檢閱已標幟的登入？

檢閱已標幟的登入事件，需要在 Microsoft Entra 系統管理中心中讀取登入報告事件的權限。 如需詳細資訊，請參閱如何存取活動記錄。

您應該知道的事情

儘管名稱類似，已標幟的登入和有風險的登入是不同的功能：

• 已標幟的登入是使用者要求協助的登入錯誤事件。
• 風險性登入是 Microsoft Entra ID Protection 的功能。 如需詳細資訊，請參閱＜什麼是 Microsoft Entra ID Protection?＞。

下一步

• Microsoft Entra ID 中的登入記錄
• Microsoft Entra 登入診斷案例