Gebruik de aanmeldingslogboeken om meervoudige verificatiegebeurtenissen van Microsoft Entra te controleren
Als u microsoft Entra-meervoudige verificatiegebeurtenissen wilt bekijken en begrijpen, kunt u de aanmeldingslogboeken van Microsoft Entra gebruiken. Dit rapport bevat verificatiedetails voor gebeurtenissen wanneer een gebruiker om meervoudige verificatie wordt gevraagd en of er beleid voor voorwaardelijke toegang wordt gebruikt. Zie het overzicht van aanmeldingsactiviteitenrapporten in Microsoft Entra IDvoor gedetailleerde informatie over de aanmeldingslogboeken.
De aanmeldingslogboeken van Microsoft Entra weergeven
De aanmeldingslogboeken bevatten informatie over het gebruik van beheerde toepassingen en aanmeldingsactiviteiten van gebruikers, waaronder informatie over meervoudig verificatiegebruik. De MFA-gegevens geven u inzicht in de werking van MFA in uw organisatie. Er worden vragen beantwoord zoals:
- Is de aanmelding aangevallen met MFA?
- Hoe heeft de gebruiker MFA voltooid?
- Welke verificatiemethoden zijn gebruikt tijdens een aanmelding?
- Waarom kan de gebruiker MFA niet voltooien?
- Hoeveel gebruikers worden uitdagt voor MFA?
- Hoeveel gebruikers kunnen de MFA-uitdaging niet voltooien?
- Wat zijn de veelvoorkomende MFA-problemen die eindgebruikers ondervinden?
Voer de volgende stappen uit om het aanmeldingsactiviteitenrapport weer te geven in het Microsoft Entra-beheercentrum. U kunt ook query's uitvoeren op gegevens met behulp van de rapportage-API.
Meld u ten minste aan als een Authentication Policy Administratorbij het Microsoft Entra-beheercentrum.
Blader naar Identiteit> en kies vervolgens Gebruikers>Alle gebruikers in het menu aan de linkerkant.
Selecteer in het menu aan de linkerkant aanmeldingslogboeken.
Er wordt een lijst met aanmeldingsgebeurtenissen weergegeven, inclusief de status. U kunt een gebeurtenis selecteren om meer details weer te geven.
Op het tabblad Voorwaardelijke toegang van de gebeurtenisdetails ziet u welk beleid de MFA-prompt heeft geactiveerd.
Indien beschikbaar, wordt de verificatie weergegeven, zoals sms,app-melding van Microsoft Authenticator of telefoongesprek.
Het tabblad Verificatiedetails bevat de volgende informatie voor elke verificatiepoging:
- Een lijst met toegepast verificatiebeleid (zoals voorwaardelijke toegang, MFA per gebruiker, standaardinstellingen voor beveiliging)
- De reeks verificatiemethoden die worden gebruikt om u aan te melden
- Of de verificatiepoging al dan niet is geslaagd
- Details over waarom de verificatiepoging is geslaagd of mislukt
Met deze informatie kunnen beheerders problemen met elke stap in de aanmelding van een gebruiker oplossen en bijhouden:
- Volume van aanmeldingen beveiligd door meervoudige verificatie
- Gebruiks- en slagingspercentages voor elke verificatiemethode
- Gebruik van verificatiemethoden zonder wachtwoord (zoals aanmelden zonder wachtwoord, FIDO2 en Windows Hello voor Bedrijven)
- Hoe vaak aan de verificatievereisten wordt voldaan door tokenclaims (waarbij gebruikers niet interactief worden gevraagd om een wachtwoord in te voeren, een SMS OTP invoeren, enzovoort)
Selecteer tijdens het bekijken van de aanmeldingslogboeken het tabblad Verificatiedetails:
Notitie
OATH-verificatiecode wordt geregistreerd als de verificatiemethode voor zowel OATH-hardware- als softwaretokens (zoals de Microsoft Authenticator-app).
Belangrijk
Het tabblad Verificatiegegevens kan in eerste instantie onvolledige of onnauwkeurige gegevens weergeven totdat logboekgegevens volledig zijn geaggregeerd. Bekende voorbeelden zijn:
- Een voldaan door claim in het token bericht wordt onjuist weergegeven wanneer aanmeldingsgebeurtenissen in eerste instantie worden geregistreerd.
- De primaire verificatie rij wordt aanvankelijk niet vastgelegd.
De volgende details worden weergegeven in het venster Verificatiedetails voor een aanmeldingsgebeurtenis die laat zien of aan de MFA-aanvraag is voldaan of geweigerd:
Als aan MFA is voldaan, vindt u in deze kolom meer informatie over hoe MFA is voldaan.
- voltooid in de cloud
- is verlopen vanwege het beleid dat is geconfigureerd voor de tenant
- registratie gevraagd
- voldaan door een claim in de token
- voldaan door claim geleverd door externe provider
- tevreden over sterke verificatie
- overgeslagen omdat de uitgevoerde stroom de aanmeldingsstroom van de Windows-broker was
- overgeslagen vanwege app-wachtwoord
- overgeslagen vanwege locatie
- overgeslagen vanwege geregistreerd apparaat
- overgeslagen vanwege een bekend apparaat
- Succesvol voltooid
Als MFA is geweigerd, geeft deze kolom de reden voor weigering op.
- authenticatie wordt uitgevoerd
- dubbele verificatiepoging
- onjuiste code is te vaak ingevoerd
- ongeldige verificatie
- ongeldige verificatiecode voor mobiele apps
- verkeerde configuratie
- telefoongesprek is naar voicemail gegaan
- telefoonnummer heeft een ongeldig formaat
- servicefout
- kan de telefoon van de gebruiker niet bereiken
- kan de melding van de mobiele app niet verzenden naar het apparaat
- Kan de melding van de mobiele app niet verzenden
- gebruiker heeft de verificatie geweigerd
- gebruiker heeft niet gereageerd op meldingen van mobiele apps
- gebruiker heeft geen verificatiemethoden geregistreerd
- gebruiker heeft onjuiste code ingevoerd
- gebruiker heeft een onjuiste pincode ingevoerd
- gebruiker heeft het telefoongesprek opgehangen zonder de verificatie te voltooien
- gebruiker is geblokkeerd
- gebruiker heeft de verificatiecode nooit ingevoerd
- gebruiker is niet gevonden
- verificatiecode die al eenmaal wordt gebruikt
PowerShell-rapportage over gebruikers die zijn geregistreerd voor MFA
Zorg ervoor dat u eerst de Microsoft Graph PowerShell SDK geïnstalleerd heeft.
Identificeer gebruikers die zich hebben geregistreerd voor MFA met behulp van de onderstaande PowerShell. Deze set opdrachten sluit uitgeschakelde gebruikers uit, omdat deze accounts niet kunnen worden geverifieerd met Microsoft Entra-id:
Get-MgUser -All | Where-Object {$_.StrongAuthenticationMethods -ne $null -and $_.BlockCredential -eq $False} | Select-Object -Property UserPrincipalName
Identificeer gebruikers die niet zijn geregistreerd voor MFA door de volgende PowerShell-opdrachten uit te voeren. Deze set opdrachten sluit uitgeschakelde gebruikers uit, omdat deze accounts niet kunnen worden geverifieerd met Microsoft Entra-id:
Get-MgUser -All | Where-Object {$_.StrongAuthenticationMethods.Count -eq 0 -and $_.BlockCredential -eq $False} | Select-Object -Property UserPrincipalName
Identificeer gebruikers en uitvoermethoden die zijn geregistreerd:
Get-MgUser -All | Select-Object @{N='UserPrincipalName';E={$_.UserPrincipalName}},@{N='MFA Status';E={if ($_.StrongAuthenticationRequirements.State){$_.StrongAuthenticationRequirements.State} else {"Disabled"}}},@{N='MFA Methods';E={$_.StrongAuthenticationMethods.methodtype}} | Export-Csv -Path c:\MFA_Report.csv -NoTypeInformation
Aanvullende MFA-rapporten
De volgende aanvullende informatie en rapporten zijn beschikbaar voor MFA-gebeurtenissen, waaronder die voor MFA-server:
| Rapport | Plaats | Beschrijving |
|---|---|---|
| Geblokkeerde gebruikersgeschiedenis | Microsoft Entra ID > Security > MFA > Gebruikers blokkeren/deblokkeren | Toont de geschiedenis van aanvragen voor het blokkeren of deblokkeren van gebruikers. |
| Gebruik voor on-premises onderdelen | Microsoft Entra ID > Beveiliging > MFA > Activiteitenrapport | Biedt informatie over het algemene gebruik voor MFA-server. NPS-extensie en AD FS-logboeken voor MFA-activiteiten in de cloud zijn nu opgenomen in de aanmeldingslogboekenen niet meer gepubliceerd in dit rapport. |
| Gebruikersgeschiedenis overgeslagen | Microsoft Entra ID > Security > MFA > Eenmalige overbrugging | Biedt een geschiedenis van MFA-serveraanvragen om MFA voor een gebruiker te omzeilen. |
| Serverstatus | Microsoft Entra ID > Security > MFA > Serverstatus | Geeft de status weer van MFA-servers die zijn gekoppeld aan uw account. |
Cloud MFA-aanmeldingsgebeurtenissen van een on-premises AD FS-adapter of NPS-extensie bevatten niet alle velden in de aanmeldingslogboeken die zijn ingevuld vanwege beperkte gegevens die worden geretourneerd door het on-premises onderdeel. U kunt deze gebeurtenissen identificeren door de resourceID adfs of radius in de gebeurteniseigenschappen. Dit zijn onder andere:
- resultaatHandtekening
- appID
- apparaatdetails
- Toegangsconditiestatus
- authenticatiecontext
- isInteractive
- naamVanUitgevendeToken
- risicodetail, risiconiveauGeaggregeerd, risiconiveauTijdensAanmelden, risicostatus, risicotypeGebeurtenissen, risicotypeGebeurtenissen_v2
- authenticatieprotocol
- incomingTokenType
Organisaties die de nieuwste versie van de NPS-extensie uitvoeren of Microsoft Entra Connect Health gebruiken, hebben locatie-IP-adres in gebeurtenissen.
Volgende stappen
In dit artikel is een overzicht gegeven van het activiteitenrapport voor aanmeldingen. Zie aanmeldactiviteitenrapporten in Microsoft Entra IDvoor meer gedetailleerde informatie over wat dit rapport bevat.