Udostępnij za pośrednictwem

Przeglądaj zdarzenia uwierzytelniania wieloskładnikowego Microsoft Entra przy użyciu dzienników logowania.

  • Artykuł

Aby przejrzeć i zrozumieć zdarzenia uwierzytelniania wieloskładnikowego firmy Microsoft, możesz użyć dzienników logowania firmy Microsoft Entra. Ten raport przedstawia szczegóły uwierzytelniania zdarzeń, gdy użytkownik jest monitowany o uwierzytelnianie wieloskładnikowe i czy są używane jakiekolwiek zasady dostępu warunkowego. Aby uzyskać szczegółowe informacje na temat dzienników logowania, zobacz omówienie raportów aktywności logowania w usłudze Microsoft Entra ID.

Wyświetlanie dzienników logowania w usłudze Microsoft Entra

Dzienniki logowania zawierają informacje o użyciu zarządzanych aplikacji i działań logowania użytkowników, które zawierają informacje o użyciu uwierzytelniania wieloskładnikowego. Dane uwierzytelniania wieloskładnikowego umożliwiają wgląd w sposób działania uwierzytelniania wieloskładnikowego w organizacji. Odpowiada na pytania, takie jak:

  • Czy logowanie zostało zakwestionowane za pomocą uwierzytelniania wieloskładnikowego?
  • Jak użytkownik ukończył uwierzytelnianie wieloskładnikowe?
  • Które metody uwierzytelniania były używane podczas logowania?
  • Dlaczego użytkownikowi nie udało się ukończyć uwierzytelniania wieloskładnikowego?
  • Ilu użytkowników jest proszonych o uwierzytelnianie wieloskładnikowe?
  • Ilu użytkowników nie może ukończyć zadania uwierzytelniania wieloskładnikowego?
  • Jakie są typowe problemy z uwierzytelnianiem wieloskładnikowym, na które napotykają użytkownicy końcowi?

Aby wyświetlić raport aktywności logowania w centrum administracyjnym Microsoft Entra, wykonaj następujące kroki. Możesz również wykonywać zapytania dotyczące danych przy użyciu interfejsu API raportowania .

  1. Zaloguj się do centrum administracyjnego Microsoft Entra jako co najmniej Administrator Zasad Uwierzytelniania.

  2. Przejdź do Identity>, a następnie wybierz pozycję Users>Wszyscy użytkownicy z menu po lewej stronie.

  3. Z menu po lewej stronie wybierz pozycję Dzienniki logowania.

  4. Wyświetlana jest lista logowań, w tym ich status. Możesz wybrać zdarzenie, aby wyświetlić więcej szczegółów.

    Zakładka Dostęp warunkowy w szczegółach zdarzenia pokazuje, która polityka wyzwoliła monit MFA.

    Zrzut ekranu przedstawiający przykładowe dzienniki logowania firmy Microsoft

Jeśli jest dostępna, zostanie wyświetlone uwierzytelnianie, takie jak wiadomość SMS, powiadomienie aplikacji Microsoft Authenticator lub rozmowa telefoniczna.

Karta Szczegóły uwierzytelniania zawiera następujące informacje dla każdej próby uwierzytelnienia:

  • Lista zastosowanych zasad uwierzytelniania (takich jak dostęp warunkowy, uwierzytelnianie wieloskładnikowe dla użytkownika, ustawienia domyślne zabezpieczeń)
  • Sekwencja metod uwierzytelniania używanych do logowania
  • Czy próba uwierzytelnienia zakończyła się pomyślnie
  • Szczegółowe informacje o tym, dlaczego próba uwierzytelnienia zakończyła się powodzeniem lub niepowodzeniem

Te informacje umożliwiają administratorom rozwiązywanie problemów z każdym krokiem logowania użytkownika i śledzenie:

  • Liczba zalogowań zabezpieczonych uwierzytelnianiem wieloskładnikowym
  • Użycie i współczynniki powodzenia dla każdej metody uwierzytelniania
  • Użycie metod uwierzytelniania bez hasła (takich jak logowanie za pomocą telefonu bez hasła, FIDO2 i Windows Hello dla firm)
  • Jak często wymagania dotyczące uwierzytelniania są spełniane przez oświadczenia tokenu (gdzie użytkownicy nie muszą interaktywnie wprowadzać hasła, wprowadzać OTP z SMS-a itd.)

Podczas przeglądania dzienników logowania wybierz kartę Szczegóły dotyczące uwierzytelniania:

zrzut ekranu przedstawiający kartę Szczegóły uwierzytelniania

Notatka

kod weryfikacyjny OATH jest rejestrowany jako metoda uwierzytelniania zarówno dla sprzętu OATH, jak i tokenów oprogramowania (takich jak aplikacja Microsoft Authenticator).

Ważny

Karta Szczegóły uwierzytelniania może początkowo wyświetlać niekompletne lub niedokładne dane, dopóki informacje dziennika nie zostaną w pełni zagregowane. Znane przykłady obejmują:

  • Oświadczenie spełnione przez komunikat o tokenie jest niepoprawnie wyświetlane podczas początkowego rejestrowania zdarzeń logowania.
  • Wiersz uwierzytelniania podstawowego nie jest początkowo rejestrowany.

Następujące szczegóły są wyświetlane w oknie Szczegóły uwierzytelniania dla zdarzenia logowania, które pokazuje, czy żądanie uwierzytelniania wieloskładnikowego zostało zaakceptowane lub odrzucone:

  • Jeśli uwierzytelnianie wieloskładnikowe zostało spełnione, ta kolumna zawiera więcej informacji na temat sposobu spełnienia uwierzytelniania wieloskładnikowego.

    • ukończone w chmurze
    • wygasł z powodu zasad skonfigurowanych w dzierżawie
    • monit o rejestrację
    • spełnione przez oświadczenie w tokenie
    • zrealizowane na podstawie roszczenia dostarczonego przez zewnętrznego dostawcę
    • spełnia się dzięki silnemu uwierzytelnianiu
    • Pominięto, ponieważ przećwiczono przepływ logowania brokerskiego systemu Windows.
    • pominięto z powodu hasła aplikacji
    • pominięte ze względu na lokalizację
    • pominięto z powodu zarejestrowanego urządzenia
    • pominięto, ponieważ urządzenie zostało zapamiętane
    • pomyślnie ukończono

  • Jeśli uwierzytelnianie wieloskładnikowe zostało odrzucone, ta kolumna poda przyczynę odmowy.

    • uwierzytelnianie w toku
    • próba zduplikowania uwierzytelniania
    • wprowadzono niepoprawny kod zbyt wiele razy
    • nieprawidłowe uwierzytelnianie
    • nieprawidłowy kod weryfikacyjny aplikacji mobilnej
    • Nieprawidłowa konfiguracja
    • rozmowa telefoniczna przeszła na pocztę głosową
    • numer telefonu ma nieprawidłowy format
    • błąd usługi
    • nie można nawiązać połączenia z telefonem użytkownika
    • nie można wysłać powiadomienia aplikacji mobilnej na urządzenie
    • nie można wysłać powiadomienia aplikacji mobilnej
    • użytkownik odrzucił uwierzytelnianie
    • użytkownik nie odpowiedział na powiadomienie aplikacji mobilnej
    • użytkownik nie ma żadnych zarejestrowanych metod weryfikacji
    • użytkownik wprowadził niepoprawny kod
    • użytkownik wprowadził niepoprawny numer PIN
    • użytkownik zawiesił połączenie telefoniczne bez pomyślnego uwierzytelnienia
    • użytkownik jest zablokowany
    • użytkownik nigdy nie wprowadził kodu weryfikacyjnego
    • nie znaleziono użytkownika
    • kod weryfikacyjny używany już raz

Raportowanie programu PowerShell dla użytkowników zarejestrowanych w usłudze MFA

Najpierw upewnij się, że masz zainstalowany Zainstaluj zestaw SDK programu PowerShell programu Microsoft Graph.

Zidentyfikuj użytkowników zarejestrowanych w usłudze MFA używając poniższego skryptu PowerShell. Ten zestaw poleceń wyklucza wyłączonych użytkowników, ponieważ te konta nie mogą uwierzytelniać się w usłudze Microsoft Entra ID:

Get-MgUser -All | Where-Object {$_.StrongAuthenticationMethods -ne $null -and $_.BlockCredential -eq $False} | Select-Object -Property UserPrincipalName

Zidentyfikuj użytkowników, którzy nie są zarejestrowani w usłudze MFA, uruchamiając następujące polecenia programu PowerShell. Ten zestaw poleceń wyklucza wyłączonych użytkowników, ponieważ te konta nie mogą uwierzytelniać się w usłudze Microsoft Entra ID:

Get-MgUser -All | Where-Object {$_.StrongAuthenticationMethods.Count -eq 0 -and $_.BlockCredential -eq $False} | Select-Object -Property UserPrincipalName

Identyfikowanie zarejestrowanych użytkowników i metod wyjściowych:

Get-MgUser -All | Select-Object @{N='UserPrincipalName';E={$_.UserPrincipalName}},@{N='MFA Status';E={if ($_.StrongAuthenticationRequirements.State){$_.StrongAuthenticationRequirements.State} else {"Disabled"}}},@{N='MFA Methods';E={$_.StrongAuthenticationMethods.methodtype}} | Export-Csv -Path c:\MFA_Report.csv -NoTypeInformation

Dodatkowe raporty MFA

Następujące dodatkowe informacje i raporty są dostępne dla zdarzeń związanych z uwierzytelnianiem wieloskładnikowym, w tym dla serwera uwierzytelniania wieloskładnikowego (MFA Server):

Sprawozdanie Lokalizacja Opis
Zablokowana historia użytkownika Microsoft Entra ID > Security > MFA > Blokuj/odblokuj użytkowników Przedstawia historię żądań blokowania lub odblokowywania użytkowników.
Użycie składników lokalnych Raport aktywności usługi Microsoft Entra ID > Security > MFA > Zawiera informacje na temat ogólnego użycia serwera MFA. Rozszerzenia NPS i logi AD FS dla aktywności MFA w chmurze są teraz uwzględniane w dziennikach logowania i nie są już publikowane w tym raporcie.
Historia użytkownika została ominięta Jednorazowe obejście usługi Microsoft Entra ID > Security > MFA > Zawiera historię żądań serwera MFA w celu obejścia uwierzytelniania wieloskładnikowego dla użytkownika.
Stan serwera Stan serwera usługi Microsoft Entra ID > Security > MFA > Wyświetla stan serwerów MFA skojarzonych z twoim kontem.

Zdarzenia logowania do chmury wykorzystujące uwierzytelnianie wieloskładnikowe z adaptera AD FS lub rozszerzenia NPS działających lokalnie nie będą zawierały wszystkich wypełnionych pól w dziennikach logowania z powodu ograniczonej ilości danych zwracanych przez komponent lokalny. Te zdarzenia można zidentyfikować za pomocą identyfikatora resourceID adfs lub radius we właściwościach zdarzenia. Obejmują one:

  • podpis wyniku
  • identyfikator aplikacji
  • szczegóły urządzenia
  • statusDostępuWarunkowego
  • kontekst uwierzytelniania
  • jestInteraktywny
  • nazwaWydawcyTokenu
  • szczegółyRyzyka, poziomRyzykaZagregowany, poziomRyzykaPodczasLogowania, stanRyzyka, rodzajeZdarzeńRyzyka, rodzajeZdarzeńRyzyka_v2
  • protokół uwierzytelniania
  • typPrzychodzącegoTokena

Organizacje, które uruchamiają najnowszą wersję rozszerzenia serwera NPS lub używają programu Microsoft Entra Connect Health, będą miały adres IP lokalizacji w zdarzeniach.

Następne kroki

Ten artykuł zawiera omówienie raportu aktywności logowania. Aby uzyskać bardziej szczegółowe informacje o tym, co zawiera ten raport, zobacz raport dotyczący aktywności logowania w usłudze Microsoft Entra ID.