Udostępnij za pośrednictwem

Działanie metod uwierzytelniania

  • Artykuł

Nowy pulpit nawigacyjny aktywności metod uwierzytelniania umożliwia administratorom monitorowanie rejestracji i użycia metod uwierzytelniania w całej organizacji. Ta funkcja raportowania zapewnia organizacji narzędzia umożliwiające zrozumienie, jakie metody są rejestrowane i jak są one używane.

Uwaga

Aby uzyskać informacje dotyczące wyświetlania lub usuwania danych osobowych, zobacz Azure Data Subject Requests for the GDPR (Żądania podmiotów danych dotyczące RODO na platformie Azure). Aby uzyskać więcej informacji na temat RODO, zobacz sekcję RODO centrum zaufania firmy Microsoft i sekcję RODO w portalu zaufania usług.

Uprawnienia i licencje

Wbudowane i niestandardowe role z następującymi uprawnieniami mogą uzyskiwać dostęp do bloku Działania metod uwierzytelniania i interfejsów API:

  • Microsoft.directory/auditLogs/allProperties/odczyt
  • Microsoft.directory/signInReports/allProperties/read

Następujące role mają wymagane uprawnienia:

  • Czytelnik raportów
  • Czytelnik zabezpieczeń
  • Globalny Czytelnik
  • Administrator aplikacji
  • Administrator aplikacji w chmurze
  • Operator zabezpieczeń
  • Administrator zabezpieczeń
  • Globalny administrator usługi

Aby uzyskać dostęp do użycia i szczegółowych informacji, wymagana jest licencja Microsoft Entra ID P1 lub P2. Informacje o licencjonowaniu uwierzytelniania wieloskładnikowego Microsoft Entra oraz samoobsługowego resetowania hasła (SSPR) można znaleźć na stronie cenowej Microsoft Entra.

Jak to działa

Aby uzyskać dostęp do danych dotyczących użycia i analiz metody uwierzytelniania:

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator zasad uwierzytelniania.

  2. Przejdź do Ochrona>Metody uwierzytelniania>Działania.

  3. W raporcie znajdują się dwie karty: Rejestracja i Użycie.

    Omówienie działań metod uwierzytelniania

Szczegóły rejestracji

Możesz uzyskać dostęp do karty Rejestracja , aby wyświetlić liczbę użytkowników zdolnych do uwierzytelniania wieloskładnikowego, uwierzytelniania bez hasła i samoobsługowego resetowania hasła.

Kliknij dowolną z następujących opcji, aby wstępnie przefiltrować listę szczegółów rejestracji użytkownika:

  • Użytkownicy, którzy mogą korzystać z uwierzytelniania wieloskładnikowego Azure pokazują szczegółowy podział użytkowników, którzy są:

    • Zarejestrowano metodę silnego uwierzytelniania
    • Umożliwione przez ustawienia polityki korzystanie z tej metody do uwierzytelniania wieloskładnikowego

    Ta liczba nie odzwierciedla użytkowników zarejestrowanych w usłudze MFA poza identyfikatorem Entra firmy Microsoft.

  • Użytkownicy, którzy mogą uwierzytelnić się bez hasła, pokazują podział użytkowników zarejestrowanych do logowania bez hasła przy użyciu protokołu FIDO2, Windows Hello dla firm lub bez hasła logowania za pomocą telefonu w aplikacji Microsoft Authenticator.

  • Użytkownicy zdolni do samoobsługowego resetowania hasła pokazuje podział użytkowników, którzy mogą resetować swoje hasła. Użytkownicy mogą zresetować swoje hasło, jeśli spełniają oba warunki:

    • Zarejestrowano wystarczającą liczbę metod, aby spełnić zasady organizacji na potrzeby samoobsługowego resetowania hasła
    • Włączono resetowanie hasła

    Zrzut ekranu przedstawiający użytkowników, którzy mogą się zarejestrować

Użytkownicy zarejestrowani za pomocą metody uwierzytelniania pokazują, ilu użytkowników jest zarejestrowanych dla każdej metody uwierzytelniania. Kliknij metodę uwierzytelniania, aby zobaczyć, kto jest zarejestrowany dla tej metody.

Zrzut ekranu przedstawiający zarejestrowanych użytkowników

Ostatnia rejestracja według metody uwierzytelniania pokazuje, ile rejestracji zakończyło się pomyślnie i nie powiodło się, posortowane według metody uwierzytelniania. Kliknij metodę uwierzytelniania, aby wyświetlić ostatnie zdarzenia rejestracji dla tej metody.

Zrzut ekranu niedawno zarejestrowanych

Szczegóły użycia

Raport Użycia pokazuje, które metody uwierzytelniania są używane do logowania i resetowania haseł.

Zrzut ekranu strony Użycia

Logowania według wymagań dotyczących uwierzytelniania pokazuje liczbę pomyślnych logowań interaktywnych użytkownika dla uwierzytelniania jednoskładnikowego w porównaniu do uwierzytelniania wieloskładnikowego w Microsoft Entra ID. Logowania, w których uwierzytelnianie wieloskładnikowe zostało wymuszone przez zewnętrznego dostawcę MFA, nie są uwzględniane.

Zrzut ekranu logowań według wymagań uwierzytelniania

Logowania według metody uwierzytelniania pokazują liczbę interaktywnych logowań użytkownika (udanych i nieudanych) w zależności od używanej metody uwierzytelniania. Nie obejmuje logowań, gdzie wymaganie uwierzytelniania zostało spełnione przez oświadczenie w tokenie.

Zrzut ekranu przedstawiający logowanie według metody

Liczba resetów haseł i odblokowywania kont pokazuje liczbę pomyślnych zmian haseł i resetowania haseł (samoobsługi i przez administratora) w czasie.

Zrzut ekranu przedstawiający resetowanie i odblokowywanie

Resetowanie hasła według metody uwierzytelniania pokazuje liczbę pomyślnych i nieudanych uwierzytelnień podczas przepływu resetowania hasła, w zależności od metody uwierzytelniania.

Zrzut ekranu przedstawiający resetowanie według metody

Szczegóły rejestracji użytkownika

Korzystając z kontrolek w górnej części listy, możesz wyszukać użytkownika i filtrować listę użytkowników na podstawie wyświetlanych kolumn.

Uwaga

Konta użytkowników, które zostały ostatnio usunięte, znane również jako użytkownicy nietrwale usunięci, nie są wyświetlane w szczegółach rejestracji użytkownika.

Raport szczegółów rejestracji przedstawia następujące informacje dla każdego użytkownika:

  • Główna nazwa użytkownika

  • Nazwisko

  • Możliwość uwierzytelniania wieloskładnikowego (dostępna, niedostępna)

  • Możliwość obsługi bez hasła (możliwe, niemożliwe)

  • SSPR zarejestrowane (zarejestrowane, niezarejestrowane)

  • Włączone samoobsługowe resetowanie hasła (włączone, nie włączone)

  • SSPR Obsługiwany (tak, nie)

  • Metody zarejestrowane (alternatywny telefon komórkowy, uwierzytelnianie oparte na certyfikatach, poczta e-mail, klucz zabezpieczeń FIDO2, token sprzętowy OATH, aplikacja Microsoft Authenticator, logowanie telefonu bez hasła firmy Microsoft, telefon komórkowy, telefon pakietu Office, pytania zabezpieczające, token OATH oprogramowania, tymczasowy dostęp— dostęp próbny, Windows Hello dla firm)

  • Godzina ostatniej aktualizacji (data i godzina ostatniego zaktualizowania raportu. Ta wartość nie jest powiązana z rejestracją metody uwierzytelniania użytkownika).

    Zrzut ekranu przedstawiający szczegóły rejestracji użytkownika

Zdarzenia rejestracji i resetowania

Zdarzenia rejestracji i resetowania pokazują zdarzenia rejestracji i resetowania z ostatnich 24 godzin, ostatnich siedmiu dni lub ostatnich 30 dni, w tym:

  • Data

  • Nazwa użytkownika

  • Użytkownik

  • Funkcja (rejestracja, resetowanie)

  • Metoda używana (powiadomienie aplikacji, kod aplikacji, telefon, połączenie telefoniczne, połączenie biurowe, alternatywne połączenie mobilne, SMS, wiadomość e-mail, pytania zabezpieczające)

  • Stan (powodzenie, niepowodzenie)

  • Przyczyna niepowodzenia (wyjaśnienie)

    Zrzut ekranu przedstawiający zdarzenia rejestracji i resetowania

Ograniczenia

  • Dane w raporcie nie są aktualizowane w czasie rzeczywistym i mogą odzwierciedlać opóźnienie do kilku godzin.
  • Metody PhoneAppNotification lub PhoneAppOTP, które użytkownik mógł skonfigurować, nie są wyświetlane na pulpicie nawigacyjnym w metodach uwierzytelniania Microsoft Entra: zasady.
  • Operacje zbiorcze w portalu administracyjnym Microsoft Entra mogą przekroczyć limit czasu i zakończyć się niepowodzeniem przy bardzo dużych tenantach. To ograniczenie jest znanym problemem ze względu na ograniczenia skalowania. Aby uzyskać więcej informacji, zobacz Zbiorcze operacje.

Następne kroki