Использование журналов входа для просмотра событий многофакторной проверки подлинности Microsoft Entra
Чтобы просмотреть и понять события многофакторной проверки подлинности Microsoft Entra, можно использовать журналы входа Microsoft Entra. В этом отчете отображаются сведения о проверке подлинности для событий, когда пользователю предлагается многофакторная проверка подлинности, а также о том, используются ли какие-либо политики условного доступа. Подробные сведения о журналах входа см. в обзор отчетов по действиям входа в идентификаторе Microsoft Entra.
Просмотр журналов входа в Microsoft Entra
Журналы входа предоставляют сведения об использовании управляемых приложений и действий входа пользователей, включая сведения об использовании многофакторной проверки подлинности. Данные MFA содержат сведения о том, как работает MFA в вашей организации. Ответы на такие вопросы:
- Было ли выполнение входа проверено с помощью MFA?
- Как пользователь завершил многофакторную проверку подлинности?
- Какие методы проверки подлинности использовались во время входа?
- Почему пользователь не смог завершить MFA?
- Сколько пользователей подвергается проверке многофакторной аутентификации?
- Сколько пользователей не удается выполнить задачу MFA?
- Каковы распространенные проблемы MFA, с которыми работают конечные пользователи?
Чтобы просмотреть отчет о действиях входа в Центре администрирования Microsoft Entra, выполните следующие действия. Вы также можете запрашивать данные с помощью API для отчетов .
Войдите в центр администрирования Microsoft Entra как администратор политики проверки подлинности , по крайней мере.
Перейдите к Identity>, затем выберите Пользователи>Все пользователи в меню слева.
В меню слева выберите журналы входа.
Отображается список событий входа, включая их состояние. Чтобы просмотреть дополнительные сведения, можно выбрать событие.
На вкладке условный доступ сведений о событии показано, какая политика активировала запрос MFA.
При наличии доступных методов, отображаются данные для аутентификации, такие как текстовое сообщение, уведомление приложения Microsoft Authenticator или голосовой вызов.
На вкладке сведений о проверке подлинности приведены следующие сведения для каждой попытки аутентификации:
- Список примененных политик проверки подлинности (таких как условный доступ, MFA для каждого пользователя, параметры безопасности по умолчанию)
- Последовательность методов проверки подлинности, используемых для входа
- Успешно ли выполнена попытка проверки подлинности
- Сведения о том, почему попытка проверки подлинности завершилась успешно или завершилась ошибкой
Эта информация позволяет администраторам устранять неполадки каждого шага входа пользователя и отслеживать следующее:
- Объем входов, защищенных многофакторной проверкой подлинности
- Показатели использования и успешности для каждого метода проверки подлинности
- Использование методов проверки подлинности без пароля (таких как вход без пароля, FIDO2 и Windows Hello для бизнеса)
- Как часто требования к проверке подлинности удовлетворяются утверждениями токенов (где пользователям не нужно вводить пароль, SMS-код и т. д.)
При просмотре журналов входа выберите вкладку Детали аутентификации:
Заметка
верификационный код OATH регистрируется как метод проверки подлинности для аппаратных и программных токенов OATH (например, приложения Microsoft Authenticator).
Важный
Сведения о проверке подлинности на вкладке могут вначале отображать неполные или неточные данные, пока данные журнала не будут полностью агрегированы. Известные примеры:
- , удовлетворенный утверждением в сообщении маркера, отображается неправильно при первоначальном журнале событий входа.
- Строка первичной проверки подлинности изначально не записывается в журнал.
Следующие сведения отображаются в окне "сведения об аутентификации" для события входа, показывающем, был ли запрос MFA удовлетворен или отклонен:
Если многофакторная проверка подлинности была пройдена, этот столбец содержит дополнительные сведения о том, как она была пройдена.
- завершено в облаке
- истек срок действия из-за политик, настроенных в клиенте
- запрос на регистрацию
- удовлетворено заявлением в токене
- удовлетворено заявлением, предоставленным внешним поставщиком
- удовлетворена строгой проверкой подлинности
- Пропущено, потому что использовался процесс входа через брокер Windows
- пропущен из-за пароля приложения
- пропущено из-за расположения
- пропущено из-за зарегистрированного устройства
- пропущено из-за запомненного устройства
- успешно завершено
Если MFA было отклонено, этот столбец предоставит причину отказа.
- аутентификация выполняется
- повторная попытка проверки подлинности
- Введен неправильный код слишком много раз
- недействительная проверка подлинности
- Недопустимый код проверки мобильного приложения
- неправильная настройка
- телефонный звонок перешел на голосовую почту
- Номер телефона имеет недопустимый формат
- Ошибка службы
- Не удается связаться с телефоном пользователя
- Не удается отправить уведомление мобильного приложения на устройство
- Не удается отправить уведомление мобильного приложения
- пользователь отказался от проверки подлинности
- пользователь не ответил на уведомление мобильного приложения
- У пользователя нет методов проверки, зарегистрированных
- введенный пользователем неправильный код
- введенный пользователем неверный ПИН-код
- пользователь завесил телефонный звонок без успешной проверки подлинности
- пользователь заблокирован
- пользователь никогда не вводит код проверки
- пользователь не найден
- Код проверки уже использовался один раз
Отчеты PowerShell о пользователях, зарегистрированных для MFA
Сначала убедитесь, что установить пакет SDK Microsoft Graph PowerShell.
Определите пользователей, зарегистрировавшихся для MFA, используя следующий скрипт PowerShell. Этот набор команд исключает отключенных пользователей, так как эти учетные записи не могут пройти проверку подлинности в идентификаторе Microsoft Entra:
Get-MgUser -All | Where-Object {$_.StrongAuthenticationMethods -ne $null -and $_.BlockCredential -eq $False} | Select-Object -Property UserPrincipalName
Определите пользователей, которые не зарегистрированы для MFA, выполнив следующие команды PowerShell. Этот набор команд исключает отключенных пользователей, так как эти учетные записи не могут пройти проверку подлинности в идентификаторе Microsoft Entra:
Get-MgUser -All | Where-Object {$_.StrongAuthenticationMethods.Count -eq 0 -and $_.BlockCredential -eq $False} | Select-Object -Property UserPrincipalName
Определите пользователей и методы вывода, зарегистрированные:
Get-MgUser -All | Select-Object @{N='UserPrincipalName';E={$_.UserPrincipalName}},@{N='MFA Status';E={if ($_.StrongAuthenticationRequirements.State){$_.StrongAuthenticationRequirements.State} else {"Disabled"}}},@{N='MFA Methods';E={$_.StrongAuthenticationMethods.methodtype}} | Export-Csv -Path c:\MFA_Report.csv -NoTypeInformation
Дополнительные отчеты MFA
Для событий MFA доступны следующие дополнительные сведения и отчеты, в том числе для сервера MFA:
События входа с использованием облачной MFA через локальный адаптер AD FS или расширение NPS не будут иметь все поля в журналах входа заполненными из-за того, что локальный компонент возвращает ограниченные данные. Эти события можно определить по идентификатору ресурса adfs или радиусу в свойствах события. К ним относятся:
- результатПодпись
- appID
- детали устройства
- Статус условного доступа
- контекст аутентификации
- isInteractive
- названиеВыдавателяТокена
- ПодробностиРиска, УровеньРискаАгрегированный, УровеньРискаВоВремяВхода, СостояниеРиска, ТипыСобытийРиска, ТипыСобытийРиска_v2
- протокол аутентификации
- входящийТипТокена
Организации, выполняющие последнюю версию расширения NPS или использующие Microsoft Entra Connect Health, будут иметь IP-адрес расположения в событиях.
Дальнейшие действия
В этой статье представлен обзор отчета о действиях при входе. Для получения более подробной информации о содержимом этого отчета см. в отчетах о действиях входа в систему видентификаторе Microsoft Entra.