Problemen met gecombineerde registratie van beveiligingsgegevens oplossen
De informatie in dit artikel is bedoeld om beheerders te begeleiden die problemen oplossen die zijn gerapporteerd door gebruikers van de gecombineerde registratie-ervaring.
Auditlogboeken
De gebeurtenissen die zijn geregistreerd voor gecombineerde registratie, bevinden zich in de verificatiemethodenservice in de Auditlogboeken van Microsoft Entra.
De volgende tabel bevat alle controlegebeurtenissen die zijn gegenereerd door gecombineerde registratie:
| Activiteit | Status | Reden | Beschrijving |
|---|---|---|---|
| Gebruiker heeft alle vereiste beveiligingsgegevens geregistreerd | Geslaagd | Gebruiker heeft alle vereiste beveiligingsgegevens geregistreerd. | Deze gebeurtenis treedt op wanneer een gebruiker de registratie heeft voltooid. |
| Gebruiker heeft alle vereiste beveiligingsgegevens geregistreerd | Fout | De gebruiker heeft de registratie van beveiligingsgegevens geannuleerd. | Deze gebeurtenis treedt op wanneer een gebruiker de registratie annuleert vanuit de interruptmodus. |
| Door de gebruiker geregistreerde beveiligingsgegevens | Geslaagd | Door de gebruiker geregistreerde methode. | Deze gebeurtenis treedt op wanneer een gebruiker een afzonderlijke methode registreert. De methode kan authenticator-app, telefoon, e-mail, beveiligingsvragen, app-wachtwoord, alternatieve telefoon enzovoort zijn. |
| Door de gebruiker gecontroleerd beveiligingsgegevens | Geslaagd | Gebruiker heeft beveiligingsgegevens gecontroleerd. | Deze gebeurtenis treedt op wanneer een gebruiker er goed uitziet op de controlepagina van beveiligingsgegevens. |
| Door de gebruiker gecontroleerd beveiligingsgegevens | Fout | Gebruiker kan beveiligingsgegevens niet controleren. | Deze gebeurtenis treedt op wanneer een gebruiker er goed uitziet op de controlepagina voor beveiligingsgegevens, maar er iets mislukt op de back-end. |
| Door de gebruiker verwijderde beveiligingsgegevens | Geslaagd | Door de gebruiker verwijderde methode. | Deze gebeurtenis treedt op wanneer een gebruiker een afzonderlijke methode verwijdert. De methode kan authenticator-app, telefoon, e-mail, beveiligingsvragen, app-wachtwoord, alternatieve telefoon enzovoort zijn. |
| Door de gebruiker verwijderde beveiligingsgegevens | Fout | De gebruiker kan de methode niet verwijderen. | Deze gebeurtenis treedt op wanneer een gebruiker probeert een methode te verwijderen, maar de poging om een of andere reden mislukt. De methode kan authenticator-app, telefoon, e-mail, beveiligingsvragen, app-wachtwoord, alternatieve telefoon enzovoort zijn. |
| Gebruiker heeft standaardbeveiligingsgegevens gewijzigd | Geslaagd | Gebruiker heeft de standaardbeveiligingsgegevens voor de methode gewijzigd. | Deze gebeurtenis treedt op wanneer een gebruiker de standaardmethode wijzigt. De methode kan een Authenticator-app-melding zijn, een code van mijn verificator-app of token, +X XXXXXXXXXXXX aanroepen, een code naar +X XXXXXXXXX, enzovoort. |
| Gebruiker heeft standaardbeveiligingsgegevens gewijzigd | Fout | Gebruiker kan de standaardbeveiligingsgegevens voor de methode niet wijzigen. | Deze gebeurtenis treedt op wanneer een gebruiker de standaardmethode probeert te wijzigen, maar de poging om een of andere reden mislukt. De methode kan een Authenticator-app-melding zijn, een code van mijn verificator-app of token, +X XXXXXXXXXXXX aanroepen, een code naar +X XXXXXXXXX, enzovoort. |
Problemen met onderbrekingsmodus oplossen
| Symptoom | Stappen voor probleemoplossing |
|---|---|
| Ik zie de methoden die ik verwachtte niet te zien. | 1. Controleer of de gebruiker een Microsoft Entra-beheerdersrol heeft. Zo ja, bekijkt u de verschillen in het SSPR-beheerbeleid. 2. Bepaal of de gebruiker wordt onderbroken vanwege afdwinging van meervoudige verificatieregistratie of afdwinging van SSPR-registratie. Zie het stroomdiagram onder Gecombineerde registratiemodi om te bepalen welke methoden moeten worden weergegeven. 3. Bepaal hoe recent het meervoudige verificatie- of SSPR-beleid is gewijzigd. Als de wijziging recent is, kan het enige tijd duren voordat het bijgewerkte beleid is doorgegeven. |
Problemen met beheermodus oplossen
| Symptoom | Stappen voor probleemoplossing |
|---|---|
| Ik heb geen optie om een bepaalde methode toe te voegen. | 1. Bepaal of de methode is ingeschakeld voor meervoudige verificatie of voor SSPR. 2. Als de methode is ingeschakeld, slaat u het beleid opnieuw op en wacht u 1-2 uur voordat u de test opnieuw uitvoert. 3. Als de methode is ingeschakeld, moet u ervoor zorgen dat de gebruiker nog niet het maximum aantal van die methode heeft ingesteld dat deze mag worden ingesteld. |
Gebruikers terugdraaien
Als u als beheerder de instellingen voor meervoudige verificatie van een gebruiker opnieuw wilt instellen, kunt u het PowerShell-script in de volgende sectie gebruiken. Het script wist de eigenschap StrongAuthenticationMethods voor de mobiele app en/of het telefoonnummer van een gebruiker. Als u dit script uitvoert voor uw gebruikers, moeten ze zich opnieuw registreren voor meervoudige verificatie als ze dit nodig hebben. We raden u aan het terugdraaien met een of twee gebruikers te testen voordat u alle betrokken gebruikers terugdraait.
Met de volgende stappen kunt u een gebruiker of groep gebruikers terugdraaien.
Vereisten
Notitie
Azure AD- en MSOnline PowerShell-modules zijn vanaf 30 maart 2024 afgeschaft. Lees de afschaffingsupdate voor meer informatie. Na deze datum is ondersteuning voor deze modules beperkt tot migratieondersteuning voor Microsoft Graph PowerShell SDK en beveiligingsoplossingen. De afgeschafte modules blijven functioneren tot en met 30 maart 2025.
Het is raadzaam om te migreren naar Microsoft Graph PowerShell om te communiceren met Microsoft Entra ID (voorheen Azure AD). Raadpleeg de veelgestelde vragen over migratie voor veelgestelde vragen over migratie. Opmerking: versies 1.0.x van MSOnline kunnen na 30 juni 2024 onderbrekingen ondervinden.
Installeer de juiste Azure AD PowerShell-modules. Voer in een PowerShell-venster de volgende opdrachten uit om de modules te installeren:
Install-Module -Name MSOnline Import-Module MSOnlineSla de lijst met betrokken gebruikersobject-id's op uw computer op als tekstbestand met één id per regel. Noteer de locatie van het bestand.
Sla het volgende script op uw computer op en noteer de locatie van het script:
<# //******************************************************** //* * //* Copyright (C) Microsoft. All rights reserved. * //* * //******************************************************** #> param($path) # Define Remediation Fn function RemediateUser { param ( $ObjectId ) $user = Get-MsolUser -ObjectId $ObjectId Write-Host "Checking if user is eligible for rollback: UPN: " $user.UserPrincipalName " ObjectId: " $user.ObjectId -ForegroundColor Yellow $hasMfaRelyingParty = $false foreach($p in $user.StrongAuthenticationRequirements) { if ($p.RelyingParty -eq "*") { $hasMfaRelyingParty = $true Write-Host "User was enabled for per-user MFA." -ForegroundColor Yellow } } if ($user.StrongAuthenticationMethods.Count -gt 0 -and -not $hasMfaRelyingParty) { Write-Host $user.UserPrincipalName " is eligible for rollback" -ForegroundColor Yellow Write-Host "Rolling back user ..." -ForegroundColor Yellow Reset-MsolStrongAuthenticationMethodByUpn -UserPrincipalName $user.UserPrincipalName Write-Host "Successfully rolled back user " $user.UserPrincipalName -ForegroundColor Green } else { Write-Host $user.UserPrincipalName " is not eligible for rollback. No action required." } Write-Host "" Start-Sleep -Milliseconds 750 } # Connect Import-Module MSOnline Connect-MsolService foreach($line in Get-Content $path) { RemediateUser -ObjectId $line }
Terugdraaiactie
Voer in een PowerShell-venster de volgende opdracht uit en geef het script en de bestandslocaties van de gebruiker op. Geef ten minste bevoegde verificatiebeheerdersreferenties op wanneer hierom wordt gevraagd. Met het script wordt het resultaat van elke updatebewerking van de gebruiker uitgevoerd.
<script location> -path <user file location>