Utilizar os registos de início de sessão para rever os eventos de autenticação multifator do Microsoft Entra
Para rever e compreender os eventos de autenticação multifator do Microsoft Entra, pode utilizar os registos de início de sessão do Microsoft Entra. Este relatório mostra detalhes de autenticação para eventos quando um usuário é solicitado para autenticação multifator e se alguma política de Acesso Condicional estava em uso. Para obter informações detalhadas sobre os logs de entrada, consulte a visão geral dos relatórios de atividade de entrada no Microsoft Entra ID.
Exibir os logs de entrada do Microsoft Entra
Os registos de início de sessão fornecem informações sobre o uso de aplicações geridas e atividades de início de sessão do utilizador, que incluem informações sobre o uso da autenticação multifator. Os dados de MFA fornecem informações sobre como a MFA está funcionando em sua organização. Ele responde a perguntas como:
- O início de sessão foi desafiado com autenticação multifator?
- Como o usuário completou o MFA?
- Que métodos de autenticação foram utilizados durante um início de sessão?
- Por que o usuário não conseguiu concluir o MFA?
- Quantos utilizadores são desafiados para a autenticação multifator?
- Quantos usuários não conseguem concluir o desafio de MFA?
- Quais são os problemas comuns de MFA que os usuários finais estão enfrentando?
Para visualizar o relatório de atividade de entrada no Centro de Administração do Microsoft Entra , conclua as etapas a seguir. Você também pode consultar dados usando a API de relatório .
Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Política de Autenticação .
Navegue até Identidade>, depois escolha Utilizadores>Todos os utilizadores no menu no lado esquerdo.
No menu do lado esquerdo, selecione Registos de início de sessão.
Mostra-se uma lista de eventos de início de sessão, incluindo o estado. Você pode selecionar um evento para ver mais detalhes.
A guia Acesso Condicional dos detalhes do evento mostra qual política acionou o pedido de MFA.
Se disponível, a autenticação é mostrada, como mensagem de texto, notificação do aplicativo Microsoft Authenticator ou chamada telefônica.
A guia Detalhes de Autenticação fornece as seguintes informações, para cada tentativa de autenticação:
- Uma lista de políticas de autenticação aplicadas (como Acesso Condicional, MFA por usuário, Padrões de Segurança)
- A sequência de métodos de autenticação usados para entrar
- Se a tentativa de autenticação foi bem-sucedida ou não
- Detalhes sobre por que a tentativa de autenticação foi bem-sucedida ou falhou
Essas informações permitem que os administradores solucionem problemas em cada etapa do login de um usuário e rastreiem:
- Volume de inícios de sessão protegidos por autenticação multifator
- Taxas de uso e sucesso para cada método de autenticação
- Uso de métodos de autenticação sem senha (como Login por Telefone sem Senha, FIDO2 e Windows Hello for Business)
- Com que frequência os requisitos de autenticação são atendidos pelas declarações de token (onde os usuários não são solicitados interativamente a inserir uma senha, inserir uma OTP SMS e assim por diante)
Ao visualizar os registos de entrada, selecione o separador Detalhes de autenticação:
Observação
O código de verificação OATH é registado como método de autenticação para tokens de hardware e software OATH (como a aplicação Microsoft Authenticator).
Importante
A guia Detalhes da Autenticação pode inicialmente mostrar dados incompletos ou imprecisos, até que as informações de log sejam totalmente agregadas. Exemplos conhecidos incluem:
- Uma satisfeita pela declaração na mensagem de de token é exibida incorretamente quando os eventos de entrada são inicialmente registrados.
- A linha autenticação primária não é registada inicialmente.
Os seguintes detalhes são mostrados na janela Detalhes de Autenticação para um evento de entrada que mostra se a solicitação de MFA foi atendida ou negada:
Se a AMF foi satisfeita, esta coluna fornece mais informações sobre como a AMF foi satisfeita.
- Concluído na nuvem
- expirou devido às políticas configuradas no ambiente de arrendamento
- Pedido de registo
- satisfeito por reivindicação no token
- satisfeita por reclamação apresentada por fornecedor externo
- Satisfeito por autenticação forte
- O fluxo foi ignorado, pois o fluxo exercido era o de logon do corretor do Windows.
- ignorado devido à senha do aplicativo
- ignorado devido à localização
- omitido devido a um dispositivo registado
- ignorado devido ao dispositivo previamente reconhecido
- concluída com sucesso
Se o MFA fosse negado, esta coluna forneceria o motivo da negação.
- Autenticação em curso
- Tentativa de autenticação duplicada
- inseriu código incorreto muitas vezes
- Autenticação inválida
- Código de verificação de aplicativo móvel inválido
- configuração incorreta
- telefonema foi para o correio de voz
- O número de telefone tem um formato inválido
- erro de serviço
- Não é possível alcançar o telefone do usuário
- Não é possível enviar a notificação do aplicativo móvel para o dispositivo
- Não é possível enviar a notificação do aplicativo móvel
- O usuário recusou a autenticação
- O usuário não respondeu à notificação do aplicativo móvel
- o utilizador não tem quaisquer métodos de verificação registados
- usuário inseriu código incorreto
- o usuário inseriu o PIN incorreto
- O usuário desligou a chamada telefônica sem ter êxito na autenticação
- o usuário está bloqueado
- O usuário nunca inseriu o código de verificação
- usuário não encontrado
- código de verificação já utilizado uma vez
Relatórios do PowerShell sobre usuários registrados para MFA
Primeiro, certifique-se de ter o Instalar o SDK do Microsoft Graph PowerShell instalado.
Identifique os usuários que se registraram para MFA usando o PowerShell a seguir. Este conjunto de comandos exclui utilizadores com deficiência, uma vez que estas contas não podem autenticar-se no Microsoft Entra ID:
Get-MgUser -All | Where-Object {$_.StrongAuthenticationMethods -ne $null -and $_.BlockCredential -eq $False} | Select-Object -Property UserPrincipalName
Identifique os usuários que não estão registrados para MFA executando os seguintes comandos do PowerShell. Este conjunto de comandos exclui utilizadores com deficiência, uma vez que estas contas não podem autenticar-se no Microsoft Entra ID:
Get-MgUser -All | Where-Object {$_.StrongAuthenticationMethods.Count -eq 0 -and $_.BlockCredential -eq $False} | Select-Object -Property UserPrincipalName
Identificar usuários e métodos de saída registrados:
Get-MgUser -All | Select-Object @{N='UserPrincipalName';E={$_.UserPrincipalName}},@{N='MFA Status';E={if ($_.StrongAuthenticationRequirements.State){$_.StrongAuthenticationRequirements.State} else {"Disabled"}}},@{N='MFA Methods';E={$_.StrongAuthenticationMethods.methodtype}} | Export-Csv -Path c:\MFA_Report.csv -NoTypeInformation
Relatórios adicionais de MFA
As seguintes informações e relatórios adicionais estão disponíveis para eventos de MFA, incluindo aqueles para o MFA Server:
| Relatório | Localização | Descrição |
|---|---|---|
| Histórico do usuário bloqueado | Microsoft Entra ID > Security > MFA > Bloquear/desbloquear utilizadores | Mostra o histórico de solicitações para bloquear ou desbloquear usuários. |
| Uso para componentes em instalações locais | Relatório de atividades do Microsoft Entra ID > Security > MFA > | Fornece informações sobre o uso geral do MFA Server. A extensão NPS e os logs do AD FS para atividade de MFA na nuvem agora estão incluídos no de logs de entrada doe não são mais publicados neste relatório. |
| Histórico de usuários ignorado | Microsoft Entra ID > Segurança > MFA > Isenção única | Fornece um histórico de solicitações do MFA Server para contornar o MFA para um utilizador. |
| Estado do servidor | Status do Servidor Microsoft Entra ID > Security > MFA > | Exibe o status dos Servidores MFA associados à sua conta. |
Os eventos de entrada do Cloud MFA de um adaptador AD FS local ou extensão NPS não terão todos os campos nos logs de entrada preenchidos devido aos dados limitados retornados pelo componente local. Você pode identificar estes eventos pelo resourceID adfs ou radius nas propriedades do evento. Entre eles contam-se:
- assinatura do resultado
- appID
- detalheDoDispositivo
- estadoDeAcessoCondicional
- contextoDeAutenticação
- isInteractive
- nomeDoEmissorDoToken
- riskDetail, riskLevelAggregated,riskLevelDuringSignIn, riskState,riskEventTypes, riskEventTypes_v2
- protocolo de autenticação
- tipoDeTokenDeEntrada
As organizações que executam a versão mais recente da extensão NPS ou usam o Microsoft Entra Connect Health terão o endereço IP de localização em eventos.
Próximos passos
Este artigo forneceu uma visão geral do relatório de atividades de entrada. Para obter informações mais detalhadas sobre o que este relatório contém, consulte relatórios de atividade de entrada no Microsoft Entra ID.