Řešení potíží s kombinovanou registrací informací o zabezpečení

Informace v tomto článku jsou určené pro správce, kteří řeší problémy hlášené uživateli kombinovaného prostředí registrace.

Protokoly auditu

Události protokolované pro kombinovanou registraci jsou ve službě Metody ověřování v protokolech auditu Microsoft Entra.

V následující tabulce jsou uvedeny všechny události auditu vygenerované kombinovanou registrací:

Aktivita	Stav	Důvod	Popis
Uživatel zaregistroval všechny požadované bezpečnostní údaje.	Success	Uživatel zaregistroval všechny požadované bezpečnostní údaje.	K této události dochází, když uživatel úspěšně dokončil registraci.
Uživatel zaregistroval všechny požadované bezpečnostní údaje.	Selhání	Uživatel zrušil registraci bezpečnostních údajů.	K této události dochází, když uživatel zruší registraci z režimu přerušení.
Bezpečnostní údaje zaregistrované uživatelem	Success	Metoda zaregistrovaná uživatelem	K této události dochází, když uživatel zaregistruje individuální metodu. Metodou může být aplikace Authenticator, Telefon, E-mail, Bezpečnostní otázky, Heslo aplikace, Alternativní telefon atd.
Uživatel zkontroloval bezpečnostní údaje	Success	Uživatel úspěšně zkontroloval bezpečnostní údaje.	K této události dochází, když uživatel na stránce kontroly bezpečnostních údajů vybere možnost Vypadá dobře .
Uživatel zkontroloval bezpečnostní údaje	Selhání	Uživateli se nepodařilo zkontrolovat bezpečnostní údaje.	K této události dochází, když uživatel vybere na stránce kontroly bezpečnostních údajů dobrý vzhled, ale na back-endu se něco nezdaří.
Uživatel odstranil bezpečnostní údaje	Success	Metoda odstraněná uživatelem	K této události dochází, když uživatel odstraní jednotlivé metody. Metodou může být aplikace Authenticator, Telefon, E-mail, Bezpečnostní otázky, Heslo aplikace, Alternativní telefon atd.
Uživatel odstranil bezpečnostní údaje	Selhání	Uživateli se nepodařilo odstranit metodu.	K této události dochází, když se uživatel pokusí odstranit metodu, ale pokus z nějakého důvodu selže. Metodou může být aplikace Authenticator, Telefon, E-mail, Bezpečnostní otázky, Heslo aplikace, Alternativní telefon atd.
Uživatel změnil výchozí bezpečnostní údaje	Success	Uživatel změnil výchozí bezpečnostní údaje pro metodu.	K této události dochází, když uživatel změní výchozí metodu. Metodou může být oznámení aplikace Authenticator, kód z mé ověřovací aplikace nebo tokenu, volání +X XXXXXXXXXXXX, text kódu do +X XXXXXXXXX atd.
Uživatel změnil výchozí bezpečnostní údaje	Selhání	Uživateli se nepodařilo změnit výchozí bezpečnostní údaje pro metodu.	K této události dochází, když se uživatel pokusí změnit výchozí metodu, ale pokus z nějakého důvodu selže. Metodou může být oznámení aplikace Authenticator, kód z mé ověřovací aplikace nebo tokenu, volání +X XXXXXXXXXXXX, text kódu do +X XXXXXXXXX atd.

Řešení potíží s režimem přerušení

Příznaky

Postup při řešení potíží

Nevidím metody, které jsem očekával.

1. Zkontrolujte, jestli má uživatel roli správce Microsoft Entra. Pokud ano, podívejte se na rozdíly v zásadách správce samoobslužného resetování hesla. 2. Určete, zda je uživatel přerušen z důvodu vynucení registrace vícefaktorového ověřování nebo vynucení registrace SSPR. Pokud chcete zjistit, které metody se mají zobrazit, podívejte se na vývojový diagram v části Kombinované režimy registrace. 3. Zjistěte, jak se nedávno změnilo vícefaktorové ověřování nebo zásady SSPR. Pokud byla změna nedávná, může trvat nějakou dobu, než se aktualizovaná zásada rozšíří.

Řešení potíží s režimem správy

Příznaky	Postup při řešení potíží
Nemám možnost přidat konkrétní metodu.	1. Určete, zda je metoda povolena pro vícefaktorové ověřování nebo pro SSPR. 2. Pokud je metoda povolená, uložte zásady znovu a počkejte 1 až 2 hodiny před dalším testováním. 3. Pokud je tato metoda povolená, ujistěte se, že uživatel ještě nenastavil maximální počet této metody, kterou může nastavit.

Postup vrácení uživatelů zpět

Pokud jako správce chcete resetovat nastavení vícefaktorového ověřování uživatele, můžete použít skript PowerShellu uvedený v další části. Skript vymaže vlastnost StrongAuthenticationMethods pro mobilní aplikaci uživatele nebo telefonní číslo. Pokud tento skript spustíte pro své uživatele, bude se muset znovu zaregistrovat pro vícefaktorové ověřování, pokud ho potřebují. Před vrácením všech ovlivněných uživatelů doporučujeme otestovat vrácení zpět s jedním nebo dvěma uživateli.

Následující postup vám pomůže vrátit zpět uživatele nebo skupinu uživatelů.

Požadavky

Poznámka:

Moduly Azure AD a MSOnline PowerShell jsou od 30. března 2024 zastaralé. Další informace najdete v aktualizaci vyřazení. Po tomto datu je podpora těchto modulů omezená na pomoc s migrací na sadu Microsoft Graph PowerShell SDK a opravy zabezpečení. Zastaralé moduly budou dál fungovat až do 30. března 2025.

Doporučujeme migrovat na Microsoft Graph PowerShell , abyste mohli pracovat s Microsoft Entra ID (dříve Azure AD). Běžné dotazy k migraci najdete v nejčastějších dotazech k migraci. Poznámka: Verze 1.0.x msOnline mohou dojít k přerušení po 30. červnu 2024.

1. Nainstalujte příslušné moduly Azure AD PowerShellu. V okně PowerShellu spusťte tyto příkazy pro instalaci modulů:

   Install-Module -Name MSOnline
   Import-Module MSOnline
   

2. Uložte seznam ID ovlivněných uživatelských objektů do počítače jako textový soubor s jedním ID na řádek. Poznamenejte si umístění souboru.

3. Uložte následující skript do počítače a poznamenejte si umístění skriptu:

   <# 
   //********************************************************
   //*                                                      *
   //*   Copyright (C) Microsoft. All rights reserved.      *
   //*                                                      *
   //********************************************************
   #>
   
   param($path)
   
   # Define Remediation Fn
   function RemediateUser {
   
       param  
       (
           $ObjectId
       )
   
       $user = Get-MsolUser -ObjectId $ObjectId
   
       Write-Host "Checking if user is eligible for rollback: UPN: "  $user.UserPrincipalName  " ObjectId: "  $user.ObjectId -ForegroundColor Yellow
   
       $hasMfaRelyingParty = $false
       foreach($p in $user.StrongAuthenticationRequirements)
       {
           if ($p.RelyingParty -eq "*")
           {
               $hasMfaRelyingParty = $true
               Write-Host "User was enabled for per-user MFA." -ForegroundColor Yellow
           }
       }
   
       if ($user.StrongAuthenticationMethods.Count -gt 0 -and -not $hasMfaRelyingParty)
       {
           Write-Host $user.UserPrincipalName " is eligible for rollback" -ForegroundColor Yellow
           Write-Host "Rolling back user ..." -ForegroundColor Yellow
           Reset-MsolStrongAuthenticationMethodByUpn -UserPrincipalName $user.UserPrincipalName
           Write-Host "Successfully rolled back user " $user.UserPrincipalName -ForegroundColor Green
       }
       else
       {
           Write-Host $user.UserPrincipalName " is not eligible for rollback. No action required."
       }
   
       Write-Host ""
       Start-Sleep -Milliseconds 750
   }
   
   # Connect
   Import-Module MSOnline
   Connect-MsolService
   
   foreach($line in Get-Content $path)
   {
       RemediateUser -ObjectId $line
   }
   

Vrácení zpět

V okně PowerShellu spusťte následující příkaz a zadejte umístění skriptů a uživatelských souborů. Po zobrazení výzvy zadejte aspoň přihlašovací údaje správce privilegovaného ověřování. Skript vypíše výsledek každé operace aktualizace uživatele.

<script location> -path <user file location>

Další kroky

• Další informace o kombinované registraci pro samoobslužné resetování hesla a vícefaktorové ověřování Microsoft Entra