Sdílet prostřednictvím


Použití sestavy přihlašování ke kontrole událostí vícefaktorového ověřování Microsoft Entra

Pokud chcete zkontrolovat a porozumět událostem vícefaktorového ověřování Microsoft Entra, můžete použít sestavu přihlášení Microsoft Entra. Tato sestava zobrazuje podrobnosti o ověřování událostí, když se uživateli zobrazí výzva k vícefaktorovém ověřování a jestli se používaly nějaké zásady podmíněného přístupu. Podrobné informace o sestavě přihlášení najdete v přehledu sestav aktivit přihlašování v Microsoft Entra ID.

Zobrazení sestavy přihlášení Microsoft Entra

Tip

Postup v tomto článku se může mírně lišit v závislosti na portálu, od který začínáte.

Sestava přihlášení poskytuje informace o využití spravovaných aplikací a aktivit přihlašování uživatelů, které obsahují informace o využití vícefaktorového ověřování. Data vícefaktorového ověřování poskytují přehled o fungování vícefaktorového ověřování ve vaší organizaci. Odpovídá na otázky, jako jsou:

  • Použilo se při přihlášení vícefaktorové ověřování?
  • Jak uživatel dokončil vícefaktorové ověřování?
  • Které metody ověřování se použily při přihlašování?
  • Proč se uživateli nepodařilo dokončit vícefaktorové ověřování?
  • Kolik uživatelů ovlivňuje vícefaktorové ověřování?
  • Kolik uživatelů nemůže dokončit vícefaktorové ověřování?
  • S jakými běžnými problémy se koncoví uživatelé vícefaktorového ověřování setkávají?

Pokud chcete zobrazit sestavu aktivit přihlašování v Centru pro správu Microsoft Entra, proveďte následující kroky. Data můžete dotazovat také pomocí rozhraní API pro vytváření sestav.

  1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň zásady ověřování Správa istrator.

  2. Přejděte na Možnost Identita> a v nabídce na levé straně zvolte Uživatelé>všichni uživatelé.

  3. V nabídce na levé straně vyberte Protokoly přihlášení.

  4. Zobrazí se seznam událostí přihlášení, včetně stavu. Pokud chcete zobrazit další podrobnosti, můžete vybrat událost.

    Karta Podmíněný přístup v podrobnostech události ukazuje, které zásady aktivovaly výzvu vícefaktorového ověřování.

    Screenshot of example Microsoft Entra sign-ins report

Pokud je k dispozici, zobrazí se ověřování, například textová zpráva, oznámení aplikace Microsoft Authenticator nebo telefonní hovor.

Karta Podrobnosti o ověřování obsahuje následující informace pro každý pokus o ověření:

  • Seznam použitých zásad ověřování (například podmíněný přístup, vícefaktorové ověřování pro jednotlivé uživatele, výchozí nastavení zabezpečení)
  • Posloupnost metod ověřování používaných k přihlášení
  • Zda byl pokus o ověření úspěšný nebo ne
  • Podrobnosti o tom, proč pokus o ověření proběhl úspěšně nebo selhal

Tyto informace umožňují správcům řešit potíže s jednotlivými kroky přihlášení uživatele a sledovat:

  • Objem přihlášení chráněných vícefaktorovým ověřováním
  • Míra využití a úspěšnosti pro každou metodu ověřování
  • Použití metod ověřování bez hesla (například bez hesla Telefon přihlášení, FIDO2 a Windows Hello pro firmy)
  • Jak často jsou požadavky na ověřování splněné deklaracemi identity tokenů (kde uživatelé nejsou interaktivně vyzváni k zadání hesla, zadání hesla SMS atd.)

Při prohlížení sestavy přihlášení vyberte kartu Podrobnosti ověřování :

Screenshot of the Authentication Details tab

Poznámka:

Ověřovací kód OATH se protokoluje jako metoda ověřování pro hardwarové i softwarové tokeny OATH (jako je aplikace Microsoft Authenticator).

Důležité

Karta Podrobnosti o ověřování může zpočátku zobrazovat neúplná nebo nepřesná data, dokud nebudou informace protokolu plně agregované. Mezi známé příklady patří:

  • Při počátečním zaprotokolování událostí přihlášení se nesprávně zobrazí žádost o deklaraci identity ve zprávě tokenu .
  • Primární řádek ověřování není původně protokolován.

Následující podrobnosti se zobrazí v okně Podrobnosti ověřování pro událost přihlášení, která ukazuje, jestli byl požadavek MFA splněný nebo odepřený:

  • Pokud bylo vícefaktorové ověřování splněno, v tomto sloupci se zobrazí informace o způsobu splnění vícefaktorového ověřování.

    • dokončeno v cloudu
    • vypršela platnost kvůli zásadám nakonfigurovaným na tenantovi
    • zobrazena výzva k registraci
    • splněno deklarací identity v tokenu
    • splněno deklarací identity poskytnutou externím poskytovatelem
    • splněno silným ověřením
    • přeskočeno, protože tok byl spuštěn tokem přihlášení zprostředkovatele ve Windows
    • přeskočeno kvůli heslu aplikace
    • přeskočeno kvůli umístění
    • přeskočeno kvůli registrovanému zařízení
    • přeskočeno kvůli zapamatovanému zařízení
    • úspěšně dokončeno
  • Pokud bylo vícefaktorové ověřování odepřeno, v tomto sloupci se zobrazí důvod odepření.

    • probíhá ověřování
    • duplicitní pokus o ověření
    • příliš mnohokrát byl zadán nesprávný kód
    • neplatné ověření
    • neplatný ověřovací kód z mobilní aplikace
    • chybná konfigurace
    • telefonní hovor byl přesměrován do hlasové pošty
    • telefonní číslo má neplatný formát
    • chyba služby
    • Nejde se spojit s telefonem uživatele
    • nepodařilo se odeslat oznámení mobilní aplikace do zařízení
    • nepodařilo se odeslat oznámení mobilní aplikace
    • uživatel odmítl ověřování
    • uživatel nereagoval na oznámení mobilní aplikace
    • uživatel nemá zaregistrované žádné metody ověření.
    • uživatel zadal nesprávný kód
    • uživatel zadal nesprávný kód PIN
    • uživatel zavěsil před dokončením ověřování
    • uživatel je blokován
    • uživatel nezadal ověřovací kód
    • uživatel nenalezen
    • ověřovací kód již byl použitý

Generování sestav PowerShellu pro uživatele zaregistrované pro vícefaktorové ověřování

Nejprve se ujistěte, že máte nainstalovanou sadu Microsoft Graph PowerShell SDK .

Pomocí následujícího PowerShellu identifikujte uživatele, kteří se zaregistrovali pro vícefaktorové ověřování. Tato sada příkazů vylučuje zakázané uživatele, protože tyto účty se nemůžou ověřit pomocí ID Microsoft Entra:

Get-MgUser -All | Where-Object {$_.StrongAuthenticationMethods -ne $null -and $_.BlockCredential -eq $False} | Select-Object -Property UserPrincipalName

Spuštěním následujících příkazů PowerShellu identifikujte uživatele, kteří nejsou zaregistrovaní pro vícefaktorové ověřování. Tato sada příkazů vylučuje zakázané uživatele, protože tyto účty se nemůžou ověřit pomocí ID Microsoft Entra:

Get-MgUser -All | Where-Object {$_.StrongAuthenticationMethods.Count -eq 0 -and $_.BlockCredential -eq $False} | Select-Object -Property UserPrincipalName

Identifikace registrovaných uživatelů a výstupních metod:

Get-MgUser -All | Select-Object @{N='UserPrincipalName';E={$_.UserPrincipalName}},@{N='MFA Status';E={if ($_.StrongAuthenticationRequirements.State){$_.StrongAuthenticationRequirements.State} else {"Disabled"}}},@{N='MFA Methods';E={$_.StrongAuthenticationMethods.methodtype}} | Export-Csv -Path c:\MFA_Report.csv -NoTypeInformation

Další sestavy MFA

Následující další informace a sestavy jsou k dispozici pro události vícefaktorového ověřování, včetně těch pro MFA Server:

Sestava Umístění Popis
Blokovaná historie uživatelů Blokování vícefaktorového > ověřování vícefaktorového > ověřování Microsoft Entra ID > uživatelů Zobrazuje historii žádostí o blokování nebo odblokování uživatelů.
Využití místních komponent Sestava aktivit vícefaktorového > ověřování zabezpečení > Microsoft Entra ID > Poskytuje informace o celkovém využití MFA Serveru. Rozšíření NPS a protokoly služby AD FS pro aktivitu cloudového vícefaktorového ověřování jsou teď součástí protokolů přihlašování a v této sestavě se už nepublikují.
Vynechaná historie uživatelů Jednorázové obejití vícefaktorového ověřování > Zabezpečení MFA > v Microsoft Entra ID > Poskytuje historii požadavků MFA Serveru na obejití vícefaktorového ověřování pro uživatele.
Stav serveru Stav serveru MFA > zabezpečení > Microsoft Entra ID > Zobrazí stav serverů MFA přidružených k vašemu účtu.

Cloudové události přihlášení MFA z místního adaptéru služby AD FS nebo rozšíření NPS nebudou obsahovat všechna pole v protokolech přihlašování kvůli omezeným datům vráceným místní komponentou. Tyto události můžete identifikovat pomocí adfs resourceID nebo poloměru ve vlastnostech události. Patří sem:

  • resultSignature
  • Appid
  • deviceDetail
  • conditionalAccessStatus
  • authenticationContext
  • isInteractive
  • tokenIssuerName
  • riskDetail, riskLevelAggregated, riskLevelDuringSignIn, riskState, riskEventTypes, riskEventTypes_v2
  • authenticationProtocol
  • incomingTokenType

Organizace, které používají nejnovější verzi rozšíření NPS nebo používají Microsoft Entra Připojení Health, budou mít v událostech IP adresu umístění.

Další kroky

Tento článek poskytuje přehled sestavy aktivit přihlašování. Podrobnější informace o tom, co tato sestava obsahuje, najdete v sestavách aktivit přihlašování v Microsoft Entra ID.