共用方式為


登入 Microsoft Entra 案例的診斷

您可以使用 Microsoft Entra ID 的登入診斷來分析登入嘗試期間所發生的情況,並取得解決問題的建議,而不需要牽涉到 Microsoft 支援。

本文提供使用此工具時可識別及解決之案例類型的概觀。

如何存取登入診斷

有三種方式可以存取登入診斷工具:從診斷和解決問題區域、Microsoft Entra 登入記錄,以及在建立新的支援要求時。 如需詳細資訊,請參閱 如何使用登入診斷

條件式存取

條件式存取原則可用來視需要套用正確的訪問控制,以保護您的組織安全。 由於條件式存取原則可用來授與或封鎖資源的存取權,因此它們通常會顯示在登入診斷中。

多重要素驗證

您可以使用登入診斷工具進行疑難解答的數個 MFA 相關事件。

來自其他需求的 MFA

如果登入診斷結果顯示來自條件式存取以外的需求 MFA,您可能已根據每個使用者啟用 MFA。 建議 將每個使用者 MFA 轉換為條件式存取。 登入診斷提供有關 MFA 中斷來源和互動結果的詳細數據。

MFA “proofup”

當 MFA 中斷登入嘗試時,就會發生另一個常見案例。 當您執行登入診斷時,診斷結果中會提供「校訂」的相關信息。 當使用者第一次設定 MFA 且未完成設定或未事先設定其設定時,就會顯示此錯誤。

Screenshot of the diagnostic results for MFA proofup.

正確和不正確的認證

有時候使用者只會輸入錯誤的認證。 登入診斷工具有助於區分人為錯誤和其他問題。

成功登入

在某些情況下,您想要知道登入事件 是否不會 被條件式存取或 MFA 中斷,但 應該是 。 登入診斷工具提供登入事件的詳細數據,這些事件應該中斷,但不中斷。

帳戶鎖定

另一個常見案例是用戶嘗試以不正確的認證登入太多次。 當發生太多密碼型登入嘗試時,發生錯誤時,認證不正確。 診斷結果會提供資訊給系統管理員,以判斷嘗試的來源,以及其是否為合法的使用者登入嘗試。 執行登入診斷提供有關應用程式、嘗試次數、使用裝置、操作系統和IP位址的詳細數據。 如需詳細資訊,請參閱 Microsoft Entra Smart Lockout

無效的使用者名稱或密碼

如果用戶嘗試使用無效的使用者名稱或密碼登入,登入診斷可協助系統管理員判斷問題的來源。 來源可能是使用者輸入不正確的認證,或是快取舊密碼並重新提交它的用戶端和/或應用程式。 登入診斷提供應用程式的詳細數據、嘗試次數、使用的裝置、操作系統和IP位址。

企業應用程式

在企業應用程式中,有兩點可能會發生問題:

  • 識別提供者 (Microsoft Entra ID) 應用程式組態
  • 服務提供者 (應用程式服務,也稱為 SaaS 應用程式) 組態

這些問題的診斷可解決應查看問題的哪一端,以及該怎麼做

企業應用程式服務提供者

如果用戶嘗試登入應用程式時發生錯誤,登入失敗,因為登入流程的服務提供者(應用程式)端發生問題。 登入診斷偵測到的問題通常必須藉由變更設定或修正應用程式服務上的問題來解決。 此案例的解決方案表示您必須登入其他服務,並根據診斷指引變更某些設定。

企業應用程式設定

由於應用程式 Microsoft Entra ID 端的應用程式設定問題,登入可能會失敗。 在這些情況下,解決方案需要在應用程式的 [企業應用程式] 頁面中檢閱和更新應用程式的組態。

其他案例

登入診斷也可用於各種案例。

安全性預設值

登入事件可能會因為安全性預設值設定而中斷。 安全性預設值會為您的組織強制執行最佳做法安全性。 其中一個最佳做法是要求設定 MFA,並用來防止密碼噴灑、重新執行攻擊和網路釣魚嘗試成功。

如需詳細資訊,請參閱 什麼是安全性預設值?

錯誤碼深入解析

當事件在登入診斷中沒有內容分析時,可能會顯示更新的錯誤碼說明和相關內容。 錯誤碼深入解析包含案例的詳細文字、如何補救問題,以及要閱讀有關問題的任何內容。

舊版驗證

此案例牽涉到因客戶端嘗試使用舊版 (或基本) 驗證而遭到封鎖或中斷的登入事件。

建議將防止舊版驗證登入作為安全性的最佳做法。 舊版驗證通訊協定,例如 POP、SMTP、IMAP 和 MAPI 無法強制執行 MFA,這讓敵人偏好進入點來攻擊您的組織。

如需詳細資訊,請參閱 如何使用條件式存取封鎖對 Microsoft Entra ID 的舊版驗證。

B2B 因條件式存取而封鎖登入

此診斷案例會偵測因為用戶來自另一個組織而遭到封鎖或中斷的登入。 例如,B2B 登入,其中條件式存取原則要求客戶端的裝置已加入資源租使用者。

如需詳細資訊,請參閱 B2B 共同作業用戶的條件式存取。

被風險原則封鎖

此案例是 Identity Protection 原則會因為登入嘗試被識別為有風險而封鎖登入嘗試。

如需詳細資訊,請參閱 如何設定和啟用風險原則

通過驗證

由於傳遞低谷驗證是內部部署和雲端驗證技術的整合,因此很難判斷問題所在位置。 此診斷旨在讓這些案例更容易診斷和解決。

當所使用的驗證方法通過驗證時,此診斷案例會識別使用者特定的登入問題,而且發生 PTA 特定錯誤。 即使使用 PTA 驗證時,仍會正確診斷其他問題所造成的錯誤。

診斷結果會顯示失敗和使用者登入的相關內容資訊。 結果可能會顯示登入失敗的其他原因,以及系統管理員可採取的建議動作來解決問題。 如需詳細資訊,請參閱 Microsoft Entra 連線:針對傳遞驗證進行疑難解答。

無縫單一登入

無縫單一登錄整合 Kerberos 驗證與雲端驗證。 由於此案例牽涉到兩種驗證通訊協定,因此很難瞭解登入問題發生時失敗點的位置。 此診斷旨在讓這些案例更容易診斷和解決。

此診斷案例會檢查登入失敗和特定失敗原因的內容。 診斷結果可能包含登入嘗試的內容資訊,以及系統管理員可採取的建議動作。 如需詳細資訊,請參閱 針對 Microsoft Entra 無縫單一登錄進行疑難解答。