Jaká je diagnostika přihlašování v Microsoft Entra ID?

Určení důvodu neúspěšného přihlášení se může rychle stát náročným úkolem. Potřebujete analyzovat, co se stalo během pokusu o přihlášení, a prozkoumat dostupná doporučení k vyřešení problému. V ideálním případě chcete tento problém vyřešit bez zásahu jiných uživatelů, jako je podpora Microsoftu. Pokud jste v takové situaci, můžete použít diagnostiku přihlášení v Microsoft Entra ID, což je nástroj, který vám pomůže prozkoumat přihlášení v Microsoft Entra ID.

Tento článek obsahuje přehled toho, co je diagnostika přihlašování a jak ho můžete použít k řešení chyb souvisejících s přihlášením.

Požadavky

Použití diagnostiky přihlašování:

• Musíte být podepsáni alespoň jako globální čtenář.
• Některé informace protokolu přihlašování můžou vyžadovat jiné role, například správce podmíněného přístupu.
• Události přihlášení označené příznakem je také možné zkontrolovat z diagnostiky přihlašování.
  • Události přihlášení s příznakem se zaznamenávají po povolení příznaku uživatele během přihlašování.
  • Další informace najdete v tématu Přihlášení s příznakem.

Jak to funguje?

V MICROSOFT Entra ID jsou pokusy o přihlášení řízeny:

• Kdo provedl pokus o přihlášení.
• Jak se provedl pokus o přihlášení.

Můžete například nakonfigurovat zásady podmíněného přístupu, které správcům umožňují konfigurovat všechny aspekty tenanta při přihlášení z podnikové sítě. Stejný uživatel se ale může zablokovat, když se přihlásí ke stejnému účtu z nedůvěryhodné sítě.

Vzhledem k větší flexibilitě systému, aby reagoval na pokus o přihlášení, můžete skončit ve scénářích, ve kterých potřebujete řešit potíže s přihlášeními. Diagnostický nástroj pro přihlášení umožňuje diagnostiku problémů s přihlášením:

• Analýza dat z událostí přihlášení a přihlášení s příznakem
• Zobrazení informací o tom, co se stalo
• Poskytuje doporučení k řešení problémů.

Přístup k diagnostice přihlašování

Existují tři způsoby přístupu k diagnostice přihlašování v Microsoft Entra ID. Výběrem karty se dozvíte o jednotlivých metodách.

Tip

Postup v tomto článku se může mírně lišit v závislosti na portálu, od který začínáte.

Od diagnostiky a řešení problémů

Diagnostiku přihlašování můžete spustit v oblasti Diagnostika a řešení problémů v microsoft entra ID. V tématu Diagnostika a řešení problémů můžete zkontrolovat všechny události přihlášení s příznakem nebo vyhledat konkrétní událost přihlášení. Tento proces můžete spustit také v oblasti Diagnostika a řešení problémů podmíněného přístupu.

1. Přihlaste se do Centra pro správu Microsoft Entra jako aspoň globální čtenář.

2. Přejděte k diagnostice a řešení problémů v horní části levé navigace.

   

   • Můžete také získat přístup k diagnostice a řešení problémů pomocí podmíněného přístupu, uživatelů, skupin, služby Identity Protection a vícefaktorového ověřování.

3. Na dlaždici Diagnostika přihlašování vyberte odkaz Poradce při potížích.

   

4. Vyberte kartu Všechny události přihlášení a spusťte hledání.

   • V některých případech systém automaticky začne hledat události přihlášení označené příznakem. Pokud se nic nenajde, budete přesměrováni na kartu Všechny události přihlášení.

5. Do vyhledávacích polí zadejte co nejvíce podrobností.

   • Uživatel: Zadejte jméno nebo e-mailovou adresu uživatele, který se pokusil o přihlášení.
   • Aplikace: Zadejte zobrazovaný název nebo ID aplikace.
   • correlationId nebo requestId: Tyto podrobnosti najdete v sestavě chyb nebo v podrobnostech protokolu přihlašování.
   • Datum a čas: Zadejte datum a čas pro vyhledání událostí přihlášení, ke kterým došlo během 48 hodin.

6. Vyberte tlačítko Další.

7. Prozkoumejte výsledky a podle potřeby proveďte akci.

Z protokolů přihlašování

Diagnostiku přihlašování můžete spustit z konkrétní události přihlášení v protokolech přihlášení. Když spustíte proces z konkrétní události přihlášení, diagnostika se spustí hned. Nejdřív se nezobrazí výzva k zadání podrobností.

1. Přejděte do protokolů přihlášení k monitorování identit>a stavu>a vyberte událost přihlášení.

   • Seznam můžete filtrovat, abyste usnadnili vyhledání konkrétních událostí přihlášení.

2. V okně Podrobnosti o aktivitě, které se otevře, vyberte odkaz Spustit diagnostiku přihlášení.

   

3. Prozkoumejte výsledky a podle potřeby proveďte akci.

Z žádosti o podporu

Pokud jste uprostřed vytváření žádosti o podporu a vybrané možnosti souvisejí s aktivitou přihlášení, zobrazí se výzva ke spuštění diagnostiky přihlášení během procesu žádosti o podporu.

1. Přejděte k diagnostice a řešení problémů.

2. Podle potřeby vyberte příslušná pole. Příklad:

   • Typ služby: Přihlášení Microsoft Entra a vícefaktorové ověřování
   • Typ problému: Vícefaktorové ověřování
   • Podtyp problému: Kvůli vícefaktorovým ověřováním se nejde přihlásit k aplikaci

3. Prozkoumejte výsledky a podle potřeby proveďte akci.

Jak používat výsledky diagnostiky

Po dokončení diagnostiky přihlašování se na obrazovce zobrazí několik věcí.

Souhrn ověřování obsahuje všechny události, které odpovídají zadaným podrobnostem. Výběrem možnosti Zobrazit sloupce v pravém horním rohu souhrnu změňte zobrazené sloupce.

Výsledky diagnostiky popisují, co se stalo během událostí přihlašování.

• Scénáře můžou zahrnovat požadavky na vícefaktorové ověřování ze zásad podmíněného přístupu, události přihlášení, které můžou potřebovat použít zásadu podmíněného přístupu, nebo velký počet neúspěšných pokusů o přihlášení za posledních 48 hodin.

• Je možné poskytnout související obsah a odkazy na nástroje pro řešení potíží.

• Pročtěte si výsledky a identifikujte všechny akce, které můžete provést.

• Vzhledem k tomu, že není vždy možné vyřešit problémy bez další nápovědy, může být doporučeným krokem otevření lístku podpory.

  

Obvyklé scénáře

Projděte si tipy v následující části pro některé běžné scénáře, ve kterých diagnostika přihlašování může poskytovat užitečné informace o řešení potíží.

Podmíněný přístup

Zásady podmíněného přístupu slouží k použití správných řízení přístupu v případě potřeby, aby byla vaše organizace zabezpečená. Vzhledem k tomu, že zásady podmíněného přístupu je možné použít k udělení nebo blokování přístupu k prostředkům, často se zobrazují v diagnostice přihlašování.

• Blokované podmíněným přístupem: Zásady podmíněného přístupu zabránily uživateli v přihlášení.

• Podmíněný přístup selhal: Je možné, že zásady podmíněného přístupu jsou příliš přísné. Zkontrolujte konfigurace kompletních sad uživatelů, skupin a aplikací. Ujistěte se, že rozumíte důsledkům omezení přístupu z určitých typů zařízení.

• Vícefaktorové ověřování (MFA) z podmíněného přístupu: Zásady podmíněného přístupu aktivovaly proces vícefaktorového ověřování pro uživatele.

• B2B zablokoval přihlášení kvůli podmíněnému přístupu: Máte zavedenou zásadu podmíněného přístupu, která blokuje přihlašování externích identit.

Vícefaktorové ověřování

Existuje několik událostí souvisejících s vícefaktorovým ověřováním (MFA), které můžete vyřešit pomocí diagnostického nástroje pro přihlášení.

• Vícefaktorové ověřování z jiných požadavků: Pokud výsledky ukázaly vícefaktorové ověřování z jiného požadavku než podmíněný přístup, můžete mít vícefaktorové ověřování povolené pro jednotlivé uživatele. Vícefaktorové ověřování pro jednotlivé uživatele doporučujeme převést na podmíněný přístup. Diagnostika přihlašování poskytuje podrobnosti o zdroji přerušení vícefaktorového ověřování a výsledku interakce.

• Vícefaktorové ověřování "proofup": Vícefaktorové ověřování přerušilo pokus o přihlášení, takže informace o kontrole pravopisu se zobrazí ve výsledcích diagnostiky. Tato chyba se zobrazí, když uživatelé poprvé nastavují vícefaktorové ověřování a nedokončí nastavení nebo se jejich konfigurace nenastavila předem.

  

• Správné a nesprávné přihlašovací údaje: Někdy uživatelé jednoduše zadají nesprávné přihlašovací údaje. Diagnostický nástroj pro přihlašování může pomoct rozlišovat mezi lidskými chybami a dalšími problémy.

• Úspěšné přihlášení: V některých případech chcete vědět, jestli se události přihlášení nepřeruší podmíněným přístupem nebo vícefaktorovým ověřováním, ale měly by to být. Diagnostický nástroj pro přihlášení poskytuje podrobnosti o událostech přihlášení, které by se měly přerušit, ale ne.

• Uzamčený účet: Uživatel se příliš mnohokrát pokusil přihlásit s nesprávnými přihlašovacími údaji. Výsledky diagnostiky pomáhají určit, odkud pokusy pocházejí, a jestli se jedná o legitimní pokusy o přihlášení uživatele nebo ne. Zobrazí se podrobnosti o aplikacích, počtu pokusů, použitém zařízení, operačním systému a IP adrese. Další informace naleznete v tématu Microsoft Entra Smart Lockout.

• Neplatné uživatelské jméno nebo heslo: Když se uživatel pokusí přihlásit pomocí neplatného uživatelského jména nebo hesla, diagnostika přihlašování obsahuje podrobnosti o aplikacích, počet pokusů, použité zařízení, operační systém a IP adresu. Tyto informace pomáhají určit, jestli uživatel zadal nesprávné přihlašovací údaje nebo jestli aplikace uloží staré heslo do mezipaměti a znovu ho odešle.

Podnikové aplikace

V podnikových aplikacích můžou nastat problémy s konfigurací aplikace zprostředkovatele identity (Microsoft Entra ID) nebo s poskytovatelem služeb (aplikační služba, označovaná také jako aplikace SaaS).

• Poskytovatel služeb podnikových aplikací: Pokud se přihlášení nezdařilo kvůli problému s tokem přihlášení poskytovatele služeb (aplikace), problém se vyřeší opravou problémů v aplikační službě. Musíte se přihlásit k jiné službě a podle pokynů k diagnostice změnit konfiguraci.

• Konfigurace podnikových aplikací: Pokud přihlášení selhalo kvůli problému s konfigurací na straně Microsoft Entra ID aplikace, musíte zkontrolovat a aktualizovat konfiguraci aplikace v podnikových aplikacích.

Výchozí nastavení zabezpečení

Události přihlášení je možné přerušit kvůli výchozímu nastavení zabezpečení. Výchozí nastavení zabezpečení vynucují zabezpečení osvědčených postupů pro vaši organizaci. Jedním z osvědčených postupů je vyžadovat, aby se vícefaktorové ověřování nakonfiguroval a použil k tomu, aby se zabránilo úspěšným útokům password spray, přehrání útoků a pokusům o útok phishing.

Další informace najdete v tématu Co jsou výchozí hodnoty zabezpečení?.

Přehledy kódu chyby

Pokud událost nemá kontextovou analýzu v diagnostice přihlašování, může se zobrazit aktualizované vysvětlení kódu chyby a relevantní obsah. Přehledy kódu chyby obsahují podrobný text o scénáři, postup nápravy problému a veškerý obsah ke čtení týkající se problému.

Starší verze ověřování

Tento scénář zahrnuje událost přihlášení, která byla blokována nebo přerušena, protože se klient pokusil použít starší (nebo základní) ověřování.

Jako osvědčený postup zabezpečení se doporučuje zabránit přihlášení ke starší verzi ověřování. Starší ověřovací protokoly, jako jsou POP, SMTP, IMAP a MAPI, nemůžou vynucovat vícefaktorové ověřování, což jim dává přednost vstupním bodům pro nežádoucí uživatele, kteří napadají vaši organizaci.

Další informace naleznete v tématu Blokování starší verze ověřování pro Microsoft Entra ID s podmíněným přístupem.

B2B zablokoval přihlášení kvůli podmíněnému přístupu

Tento scénář diagnostiky detekuje blokované nebo přerušené přihlášení kvůli tomu, že uživatel pochází z jiné organizace. Například přihlášení B2B, kde zásady podmíněného přístupu vyžadují, aby bylo zařízení klienta připojené k tenantovi prostředků.

Další informace najdete v tématu Podmíněný přístup pro uživatele spolupráce B2B.

Blokované zásadami rizik

Tento scénář spočívá v tom, že zásady podmíněného přístupu založené na rizicích blokují pokus o přihlášení, protože pokus o přihlášení byl identifikován jako rizikový.

Další informace naleznete v tématu Konfigurace a povolení zásad rizik.

Předávací ověřování

Protože předávací ověřování je integrace místních a cloudových technologií ověřování, může být obtížné určit, kde problém spočívá. Cílem této diagnostiky je usnadnit diagnostiku a řešení těchto scénářů.

Tento scénář diagnostiky identifikuje problémy s přihlašováním specifické pro uživatele, když se použitá metoda ověřování předává prostřednictvím ověřování (PTA) a došlo k chybě specifické pro PTA. Chyby způsobené jinými problémy, i když se používá ověřování PTA, budou stále správně diagnostikovány.

Výsledky diagnostiky zobrazují kontextové informace o selhání a přihlášení uživatele. Výsledky můžou zobrazit další důvody, proč se přihlášení nezdařilo, a doporučené akce, které může správce provést k vyřešení problému. Další informace najdete v tématu Microsoft Entra Connect: Řešení potíží s předávacím ověřováním.

Transparentní jednotné přihlašování

Bezproblémové jednotné přihlašování integruje ověřování Kerberos s cloudovým ověřováním. Vzhledem k tomu, že tento scénář zahrnuje dva ověřovací protokoly, může být obtížné pochopit, kde se nachází bod selhání, když dojde k problémům s přihlášením. Cílem této diagnostiky je usnadnit diagnostiku a řešení těchto scénářů.

Tento scénář diagnostiky zkoumá kontext selhání přihlášení a konkrétní příčiny selhání. Výsledky diagnostiky můžou zahrnovat kontextové informace o pokusu o přihlášení a navrhované akce, které může správce provést. Další informace najdete v tématu Řešení potíží s bezproblémovým jednotným přihlašováním společnosti Microsoft Entra.

Související obsah

• Diagnostika přihlašování pro scénáře Microsoft Entra
• Další informace o přihlášeních s příznakem
• Řešení chyb přihlašování