Rozwiązywanie problemów z rejestracją połączonych informacji zabezpieczających

Artykuł
12/02/2024

Informacje zawarte w tym artykule mają na celu poprowadzenie administratorów, którzy będą rozwiązywać problemy zgłaszane przez użytkowników połączonego środowiska rejestracji.

Dzienniki inspekcji

Zdarzenia rejestrowane do rejestracji połączonej znajdują się w usłudze Metody uwierzytelniania w dziennikach inspekcji firmy Microsoft Entra.

Interfejs dzienników inspekcji firmy Microsoft Entra przedstawiający zdarzenia rejestracji

W poniższej tabeli wymieniono wszystkie zdarzenia inspekcji wygenerowane przez rejestrację połączoną:

Działanie	Stan	Przyczyna	opis
Użytkownik zarejestrował wszystkie wymagane informacje zabezpieczające	Powodzenie	Użytkownik zarejestrował wszystkie wymagane informacje zabezpieczające.	To zdarzenie występuje, gdy użytkownik pomyślnie ukończył rejestrację.
Użytkownik zarejestrował wszystkie wymagane informacje zabezpieczające	Niepowodzenie	Użytkownik anulował rejestrację informacji zabezpieczających.	To zdarzenie występuje, gdy użytkownik anuluje rejestrację z trybu przerwania.
Informacje zabezpieczające zarejestrowane przez użytkownika	Powodzenie	Metoda zarejestrowana przez użytkownika.	To zdarzenie występuje, gdy użytkownik rejestruje pojedynczą metodę. Metoda może być aplikacja Authenticator, Telefon, Poczta e-mail, Pytania zabezpieczające, Hasło aplikacji, Alternatywny telefon itd.
Użytkownik przeglądał informacje zabezpieczające	Powodzenie	Użytkownik pomyślnie przejrzeł informacje zabezpieczające.	To zdarzenie występuje, gdy użytkownik wybierze pozycję Wygląda dobrze na stronie przeglądu informacji zabezpieczających.
Użytkownik przeglądał informacje zabezpieczające	Niepowodzenie	Użytkownik nie może przejrzeć informacji zabezpieczających.	To zdarzenie występuje, gdy użytkownik wybierze pozycję Wygląda dobrze na stronie przeglądu informacji zabezpieczających, ale coś kończy się niepowodzeniem w zapleczu.
Informacje zabezpieczające usunięte przez użytkownika	Powodzenie	Metoda usunięta przez użytkownika.	To zdarzenie występuje, gdy użytkownik usunie pojedynczą metodę. Metoda może być aplikacja Authenticator, Telefon, Poczta e-mail, Pytania zabezpieczające, Hasło aplikacji, Alternatywny telefon itd.
Informacje zabezpieczające usunięte przez użytkownika	Niepowodzenie	Użytkownik nie może usunąć metody.	To zdarzenie występuje, gdy użytkownik próbuje usunąć metodę, ale próba nie powiedzie się z jakiegoś powodu. Metoda może być aplikacja Authenticator, Telefon, Poczta e-mail, Pytania zabezpieczające, Hasło aplikacji, Alternatywny telefon itd.
Użytkownik zmienił domyślne informacje zabezpieczające	Powodzenie	Użytkownik zmienił domyślne informacje zabezpieczające dla metody .	To zdarzenie występuje, gdy użytkownik zmieni domyślną metodę. Metoda może być powiadomieniem aplikacji Authenticator, kodem z mojej aplikacji authenticator lub tokenu, wywołanie +X XXXXXXXXXX, tekst kodu do +X XXXXXXXXX itd.
Użytkownik zmienił domyślne informacje zabezpieczające	Niepowodzenie	Użytkownik nie może zmienić domyślnych informacji zabezpieczających dla metody .	To zdarzenie występuje, gdy użytkownik próbuje zmienić metodę domyślną, ale próba zakończy się niepowodzeniem z jakiegoś powodu. Metoda może być powiadomieniem aplikacji Authenticator, kodem z mojej aplikacji authenticator lub tokenu, wywołanie +X XXXXXXXXXX, tekst kodu do +X XXXXXXXXX itd.

Rozwiązywanie problemów z trybem przerwania

Objaw	Kroki rozwiązywania problemów
Nie widzę metod, które spodziewałem się zobaczyć.	1. Sprawdź, czy użytkownik ma rolę administratora firmy Microsoft Entra. Jeśli tak, wyświetl różnice zasad administratora samoobsługowego resetowania hasła. 2. Ustal, czy użytkownik jest przerywany z powodu wymuszania rejestracji uwierzytelniania wieloskładnikowego lub wymuszania rejestracji samoobsługowego resetowania hasła. Zobacz schemat blokowy w obszarze "Tryby rejestracji połączonej", aby określić, które metody powinny być wyświetlane. 3. Określ, jak ostatnio zmieniono zasady uwierzytelniania wieloskładnikowego lub samoobsługowego resetowania hasła. Jeśli zmiana została ostatnio zmieniona, propagacja zaktualizowanych zasad może zająć trochę czasu.

Objaw

Kroki rozwiązywania problemów

Nie widzę metod, które spodziewałem się zobaczyć.

1. Sprawdź, czy użytkownik ma rolę administratora firmy Microsoft Entra. Jeśli tak, wyświetl różnice zasad administratora samoobsługowego resetowania hasła.
2. Ustal, czy użytkownik jest przerywany z powodu wymuszania rejestracji uwierzytelniania wieloskładnikowego lub wymuszania rejestracji samoobsługowego resetowania hasła. Zobacz schemat blokowy w obszarze "Tryby rejestracji połączonej", aby określić, które metody powinny być wyświetlane.
3. Określ, jak ostatnio zmieniono zasady uwierzytelniania wieloskładnikowego lub samoobsługowego resetowania hasła. Jeśli zmiana została ostatnio zmieniona, propagacja zaktualizowanych zasad może zająć trochę czasu.

Rozwiązywanie problemów z trybem zarządzania

Objaw	Kroki rozwiązywania problemów
Nie mam opcji dodania określonej metody.	1. Określ, czy metoda jest włączona na potrzeby uwierzytelniania wieloskładnikowego, czy samoobsługowego resetowania hasła. 2. Jeśli metoda jest włączona, zapisz zasady ponownie i zaczekaj 1–2 godziny przed ponownym testowaniem. 3. Jeśli metoda jest włączona, upewnij się, że użytkownik nie skonfigurował jeszcze maksymalnej liczby tej metody, którą mogą skonfigurować.

Jak wycofać użytkowników

Jeśli jako administrator chcesz zresetować ustawienia uwierzytelniania wieloskładnikowego użytkownika, możesz użyć skryptu programu PowerShell podanego w następnej sekcji. Skrypt wyczyści właściwość StrongAuthenticationMethods dla aplikacji mobilnej użytkownika i/lub numeru telefonu. Jeśli uruchomisz ten skrypt dla użytkowników, będzie on musiał ponownie zarejestrować się w celu uwierzytelniania wieloskładnikowego, jeśli tego potrzebują. Zalecamy przetestowanie wycofywania przy użyciu jednego lub dwóch użytkowników przed wycofaniem wszystkich użytkowników, których dotyczy problem.

Poniższe kroki ułatwią wycofanie użytkownika lub grupy użytkowników.

Wymagania wstępne

Uwaga

Moduły usług Azure AD i MSOnline programu PowerShell są przestarzałe od 30 marca 2024 r. Aby dowiedzieć się więcej, przeczytaj aktualizację o wycofaniu. Po tej dacie obsługa tych modułów jest ograniczona do pomocy dotyczącej migracji do zestawu MICROSOFT Graph PowerShell SDK i poprawek zabezpieczeń. Przestarzałe moduły będą nadal działać do 30 marca 2025 r.

Zalecamy migrację do programu Microsoft Graph PowerShell w celu interakcji z identyfikatorem Entra firmy Microsoft (dawniej Azure AD). W przypadku typowych pytań dotyczących migracji zapoznaj się z często zadawanymi pytaniami dotyczącymi migracji. Uwaga: wersje 1.0.x usługi MSOnline mogą wystąpić zakłócenia po 30 czerwca 2024 r.

Zainstaluj odpowiednie moduły programu PowerShell usługi Azure AD. W oknie programu PowerShell uruchom następujące polecenia, aby zainstalować moduły:
```
Install-Module -Name MSOnline
Import-Module MSOnline
```
Zapisz listę identyfikatorów obiektów użytkownika, których dotyczy problem, na komputerze jako plik tekstowy z jednym identyfikatorem na wiersz. Zanotuj lokalizację pliku.

Zapisz następujący skrypt na komputerze i zanotuj lokalizację skryptu:

<# 
//********************************************************
//*                                                      *
//*   Copyright (C) Microsoft. All rights reserved.      *
//*                                                      *
//********************************************************
#>

param($path)

# Define Remediation Fn
function RemediateUser {

    param  
    (
        $ObjectId
    )

    $user = Get-MsolUser -ObjectId $ObjectId

    Write-Host "Checking if user is eligible for rollback: UPN: "  $user.UserPrincipalName  " ObjectId: "  $user.ObjectId -ForegroundColor Yellow

    $hasMfaRelyingParty = $false
    foreach($p in $user.StrongAuthenticationRequirements)
    {
        if ($p.RelyingParty -eq "*")
        {
            $hasMfaRelyingParty = $true
            Write-Host "User was enabled for per-user MFA." -ForegroundColor Yellow
        }
    }

    if ($user.StrongAuthenticationMethods.Count -gt 0 -and -not $hasMfaRelyingParty)
    {
        Write-Host $user.UserPrincipalName " is eligible for rollback" -ForegroundColor Yellow
        Write-Host "Rolling back user ..." -ForegroundColor Yellow
        Reset-MsolStrongAuthenticationMethodByUpn -UserPrincipalName $user.UserPrincipalName
        Write-Host "Successfully rolled back user " $user.UserPrincipalName -ForegroundColor Green
    }
    else
    {
        Write-Host $user.UserPrincipalName " is not eligible for rollback. No action required."
    }

    Write-Host ""
    Start-Sleep -Milliseconds 750
}

# Connect
Import-Module MSOnline
Connect-MsolService

foreach($line in Get-Content $path)
{
    RemediateUser -ObjectId $line
}

Wycofywanie

W oknie programu PowerShell uruchom następujące polecenie, podając lokalizacje skryptu i pliku użytkownika. Po wyświetleniu monitu podaj co najmniej poświadczenia administratora uwierzytelniania uprzywilejowanego. Skrypt wyświetli wynik każdej operacji aktualizacji użytkownika.

<script location> -path <user file location>

Następne kroki

Dowiedz się więcej na temat rejestracji połączonej na potrzeby samoobsługowego resetowania haseł i uwierzytelniania wieloskładnikowego firmy Microsoft

Udostępnij za pośrednictwem