Microsoft Entra 登入診斷案例

您可以使用 Microsoft Entra ID 的登入診斷來分析嘗試登入時所發生的情況，並取得解決問題的建議，完全無需 Microsoft 的支援。

本文概述您在使用此工具時，可以識別及解決的案例類型。

如何存取登入診斷

有三種方式可以存取登入診斷工具：從 [診斷並解決問題] 區域、Microsoft Entra 登入記錄，以及在建立新的支援要求時。 如需詳細資訊，請參閱如何使用登入診斷。

條件式存取

您可以視需要使用條件式存取原則來套用正確的存取控制，讓您的組織保持安全。 由於條件式存取原則可用來授與或封鎖對資源的存取，因此通常會顯示在登入診斷中。

• 遭到條件式存取封鎖

  • 您的條件式存取原則禁止使用者登入。

• 條件式存取失敗

  • 條件式存取原則可能過於嚴格。
  • 檢閱您的設定，以取得完整的使用者、群組和應用程式集合。
  • 請務必了解限制特定類型裝置存取的含意。

• 來自條件式存取的多重要素驗證 (MFA)

  • 您的條件式存取原則對使用者觸發了 MFA 程序。

• 因為條件式存取而封鎖的 B2B 登入：

  • 您已設有條件式存取原則會封鎖外部身分識別的登入。

多重要素驗證

有數個 MFA 相關事件可使用登入診斷工具進行疑難排解。

其他需求中的 MFA

如果登入診斷結果顯示有 MFA 來自條件式存取以外的需求，表示您可能已就個別使用者啟用了 MFA。 建議將個別使用者 MFA 轉換為條件式存取。 登入診斷會提供關於 MFA 中斷的來源和互動結果的詳細資料。

MFA "proofup"

當 MFA 中斷登入嘗試時，就會發生另一個常見案例。 當您執行登入診斷時，診斷結果中會提供 "proofup" 的相關資訊。 若使用者在第一次設定 MFA 時未完成設定，或未事先完成其設定時，就會出現此錯誤。

正確和不正確的認證

使用者有時難免會輸入錯誤的認證。 登入診斷工具有助於區分人為錯誤與其他問題。

成功登入

在某些情況下，您想要知道登入事件是否應由條件式存取或 MFA 中斷，但未被中斷。 登入診斷工具會就應中斷、但未中斷的登入事件提供詳細資料。

帳戶鎖住

另一個常見案例是，使用者嘗試以不正確的認證登入太多次。 嘗試以不正確的憑證執行密碼型登入太多次時，就會發生此錯誤。 診斷結果可為系統管理員提供資訊，供其判斷嘗試的來源，以及這些嘗試是否為合法的使用者登入。 執行登入診斷，可提供關於應用程式、嘗試次數、使用的裝置、作業系統和 IP 位址的詳細資料。 如需詳細資訊，請參閱 Microsoft Entra 智慧鎖定。

使用者名稱或密碼無效

如果使用者嘗試使用無效的使用者名稱或密碼登入，登入診斷可協助系統管理員判斷問題的來源。 來源可能是使用者輸入了不正確的認證，或是用戶端和/或應用程式快取了舊密碼並將其重新提交。 登入診斷可提供關於應用程式、嘗試次數、使用的裝置、作業系統和 IP 位址的詳細資料。

企業應用程式

在企業應用程式中，有兩個可能發生問題的環節：

• 識別提供者 (Microsoft Entra ID) 應用程式設定
• 服務提供者 (應用程式服務，也稱為 SaaS 應用程式) 設定

診斷這些問題，可釐清應檢查問題的哪一部分，以及要進行什麼動作

企業應用程式服務提供者

如果使用者嘗試登入應用程式時發生錯誤，登入之所以失敗，是因為登入流程的服務提供者 (應用程式) 端發生問題。 登入診斷所偵測到的問題，通常必須經由變更設定或修正應用程式服務的問題來解決。 此案例的解決方法意味著您必須登入其他服務，並根據診斷指引變更部分設定。

企業應用程式設定

登入有可能因應用程式的 Microsoft Entra ID 端發生應用程式設定問題而失敗。 在這些情況下，執行解決方法時需檢閱及更新該應用程式 [企業應用程式] 頁面中有關於該應用程式的設定。

其他案例

登入診斷也可用於多種不同的案例。

安全性預設值

登入事件有可能因安全性預設值設定而中斷。 安全性預設值會為您的組織強制執行最佳做法安全性。 最佳做法之一是要求設定 MFA，用以防止密碼噴灑、重新執行攻擊和網路釣魚嘗試得逞。

如需詳細資訊，請參閱什麼是安全性預設值？。

錯誤碼深入解析

當事件在登入診斷中沒有內容相關分析時，可能會顯示更新的錯誤碼說明和相關內容。 錯誤碼深入解析包含有關案例、如何補救問題，以及所有該閱讀的內容等有關該問題的詳細文字。

舊版驗證

此案例牽涉到因用戶端嘗試使用舊版 (或基本) 驗證而遭到封鎖或中斷的登入事件。

建議最好避免使用舊版驗證來登入，以確保安全。 舊版驗證通訊協定 (例如 POP、SMTP、IMAP 和 MAPI) 由於無法強制執行 MFA，因而成為攻擊者對您的組織發動攻擊的首選進入點。

如需詳細資訊，請參閱如何使用條件式存取封鎖對 Microsoft Entra ID 的舊版驗證。

因為條件式存取而封鎖的 B2B 登入

此診斷案例會偵測因使用者來自其他組織而遭到封鎖或中斷的登入。 例如，條件式存取原則要求用戶端的裝置須已加入資源租用戶的 B2B 登入。

如需詳細資訊，請參閱 B2B 共同作業使用者的條件式存取。

依風險原則加以封鎖

在此案例中，Identity Protection 原則會因為登入嘗試標記為有風險，所以封鎖該登入嘗試。

如需詳細資訊，請參閱如何設定及啟用風險原則。

傳遞驗證

因為傳遞驗證整合了內部部署和雲端驗證技術，所以很難判斷問題所在。 這項診斷旨在讓這些案例更容易診斷和解決。

此診斷案例會在使用的驗證方法是傳遞驗證 (PTA) 且出現 PTA 特定的錯誤時，找出使用者特定的登入問題。 因為其他問題而發生的錯誤 - 即使使用的是 PTA 驗證，仍可正確診斷。

診斷結果會顯示關於失敗和使用者登入的內容資訊。 結果可能會顯示登入失敗的其他原因，以及系統管理員可採取以解決問題的建議動作。 如需詳細資訊，請參閱 Microsoft Entra Connect：對傳遞驗證進行疑難排解。

無縫單一登入

無縫單一登入整合有 Kerberos 驗證與雲端驗證。 由於此案例牽涉到兩種驗證通訊協定，因此可能難以了解發生登入問題時的失敗點。 這項診斷旨在讓這些案例更容易診斷和解決。

此診斷案例會檢查登入失敗的內容和特定失敗原因。 診斷結果可能包含登入嘗試的內容資訊，以及管理員可採取的建議動作。 如需詳細資訊，請參閱對 Microsoft Entra 無縫單一登入進行疑難排解。