Варианты отчетности для управления паролями Microsoft Entra

После развертывания многие организации хотят знать, как использовать самостоятельный сброс пароля (SSPR) и действительно ли используется эта функция. Функция создания отчетов, которую предоставляет идентификатор Microsoft Entra, помогает ответить на вопросы с помощью предварительно созданных отчетов. При наличии соответствующей лицензии можно также создавать пользовательские запросы.

На следующие вопросы можно найти ответы в отчетах, которые имеются в Центре администрирования Microsoft Entra:

Примечание.

Вы должны принять участие в сборе этих данных от имени вашей организации. Чтобы подключиться, необходимо хотя бы раз посетить вкладку отчетов или журналы аудита. До тех пор данные не собираются для вашей организации.

• Какие изменения были внесены в политику SSPR?
• Сколько пользователей зарегистрировалось для сброса пароля?
• Кто зарегистрировался для сброса пароля?
• Какие данные регистрируют пользователи?
• Сколько пользователей сбросило пароли за последние 7 дней?
• Каковы наиболее распространенные методы, которые используют пользователи или администраторы для сброса паролей?
• С какими наиболее распространенными проблемами сталкиваются пользователи или администраторы при попытке использовать сброс пароля?
• Какие администраторы часто сбрасывают свои пароли?
• Наблюдается ли какая-либо подозрительная активность по сбросу паролей?

Просмотр отчетов об управлении паролями

Чтобы найти события сброса пароля и регистрации сброса пароля, выполните следующие шаги:

1. Войдите в Центр администрирования Microsoft Entra как минимум с ролью читателя отчетов.
2. Перейдите к Идентификация>Пользователи.
3. В колонке Пользователи выберите Журналы аудита. Здесь отображаются все события аудита, выполняемые в отношении всех пользователей в каталоге. Чтобы просмотреть все связанные с паролем события, это представление можно фильтровать.
4. В меню Фильтр в верхней части панели выберите вариант Служба из раскрывающегося списка и измените его на тип сервиса Самостоятельное управление паролями.
5. При необходимости этот список можно отфильтровать по определенному действию.

Объединенная регистрация

Объединенные события регистрации и управления сведениями о безопасности можно найти в журналах аудита в разделе "Методы проверки подлинности безопасности>".

Описание столбцов отчета

В следующем списке подробно описан каждый из столбцов отчета:

• Пользователь — пользователь, который предпринял попытку регистрации сброса пароля.
• Роль — роль пользователя в каталоге.
• Дата и время — дата и время попытки.
• Зарегистрированные данные — какие данные для проверки подлинности предоставил пользователь в ходе регистрации сброса пароля.

Описание значений отчета

В следующей таблице описаны различные значения, которые можно задать для каждого столбца:

Колонка

Допустимые значения и их описание

Зарегистрированные данные

Альтернативный адрес электронной почты — пользователь использовал для аутентификации альтернативный адрес электронной почты или адрес электронной почты для аутентификации. Рабочий телефон — пользователь использовал для аутентификации рабочий телефон. Мобильный телефон — пользователь использовал для аутентификации мобильный телефон или телефон для аутентификации. Контрольные вопросы — пользователь использовал для аутентификации контрольные вопросы. Любое сочетание указанного выше (например, альтернативный адрес электронной почты и мобильный телефон) — отображается, если настроена двухфакторная политика. Показывает, какие два метода применил пользователь для аутентификации своего запроса на сброс пароля.

Типы действий самостоятельного управления паролями

Ниже приведены типы действий, которые отображаются после выбора категории событий аудита Self-Service Password Management (Самостоятельное управление паролями).

• Изменение политики самостоятельного сброса пароля: указывает на любые изменения в политике самостоятельного сброса пароля, включая старое значение и новое значение.
• Блокировка самостоятельного сброса пароля: Указывает, что пользователь пытался сбросить пароль, использовать определенный шлюз или проверить номер телефона более пяти раз в течение 24 часов.
• Change password (self-service) (Изменение пароля (самостоятельное)). Указывает, что пользователь добровольно или принудительно (из-за истечения срока действия) изменил пароль.
• Сброс пароля (по администратору): указывает, что администратор выполнил сброс пароля от имени пользователя.
• Сброс пароля (самообслуживания) — указывает, что пользователь успешно сбросил пароль с помощью Microsoft Entra.
• Ход выполнения самостоятельного сброса пароля. Указывает каждый этап, выполняемый пользователем в рамках процесса сброса пароля (например, прохождение определенного этапа аутентификации для сброса пароля).
• Разблокировка учетной записи пользователя (самообслуживание): указывает, что пользователь успешно разблокировал свою учетную запись в Active Directory без сброса пароля, используя функцию разблокировки учетной записи Active Directory без сброса пароля в системе сброса пароля Microsoft Entra.
• User registered for self-service password reset (Регистрация пользователей для самостоятельного сброса пароля). Указывает, что пользователь зарегистрировал всю информацию, необходимую для сброса пароля в соответствии с указанной политикой сброса пароля клиента.

Тип действия: изменения в политике самостоятельного сброса пароля

В приведенном ниже списке подробно описано это действие.

• описание действия. Указывает, что администратор обновил параметры в политике SSPR.
• субъект действия: отображаемое имя и имя участника-пользователя (UPN) администратора, вносившего изменения.
• Цель действия: обновлены свойства в политике SSPR.
• Статусы активностей:
  • Успех: Указывает, что пользователь успешно изменил параметр в политике SSPR.
  • сбой. Указывает, что пользователь не смог изменить параметр в политике SSPR.
• Причина сбоя состояния действия:
  • Ошибка прав доступа?

Тип действия: Блокировка самостоятельного сброса пароля

В приведенном ниже списке подробно описано это действие.

• Описание действия. Указывает, что пользователь пытался сбросить пароль, использовать определенный шлюз или проверить телефонный номер более 5 раз подряд за 24 часа.
• Субъект действия: Пользователь, которого ограничили в выполнении дополнительных операций сброса. Пользователь может быть конечным пользователем или администратором.
• Цель действия: Пользователь, которому был ограничен доступ для выполнения дополнительных операций сброса. Пользователь может быть конечным пользователем или администратором.
• Статус активности:
  • Успешно. Указывает, что пользователь не сможет выполнять дополнительные сбросы, применять любые дополнительные методы аутентификации и проверять любые дополнительные телефонные номера в течение следующих 24 часов.
• Причина сбоя состояния действия. Не применяется.

Тип действия: Change password (self-service) (Изменение пароля (самостоятельное))

В приведенном ниже списке подробно описано это действие.

• Описание действия. Указывает, что пользователь добровольно или принудительно (из-за истечения срока действия) изменил пароль.
• Субъект действия. Пользователь, изменивший свой пароль. Пользователь может быть как конечным пользователем, так и администратором.
• Целевой объект действия. Пользователь, изменивший свой пароль. Пользователь может быть конечным пользователем или администратором.
• Статусы активности:
  • Успешно. Указывает, что пользователь успешно изменил свой пароль.
  • Сбой. Указывает, что во время изменения пароля произошел сбой. Чтобы узнать больше о причине сбоя, щелкните строку и просмотрите категорию Activity Status Reason (Причина состояния действия).
• Причина сбоя состояния действия:
  • FuzzyPolicyViolationInvalidPassword: Пользователь выбрал пароль, который был автоматически заблокирован из-за возможностей обнаружения запрещенных паролей Майкрософт, поскольку он оказался слишком распространенным или особенно слабым.

Тип действия: Reset password (by admin) (Сброс пароля (администратор))

В приведенном ниже списке подробно описано это действие.

• Описание действия. Указывает, что администратор выполнил сброс пароля от имени пользователя.
• Субъект действия. Администратор, сбросивший пароль от имени другого пользователя или администратора. Это должен быть администратор паролей, администратор пользователей или администратор службы технической поддержки.
• Целевой объект действия. Пользователь, чей пароль сброшен. Пользователь может быть конечным пользователем или другим администратором.
• Статусы действий:
  • Успешно. Указывает, что администратор успешно сбросил пароль пользователя.
  • Сбой: Указывает, что администратору не удалось изменить пароль пользователя. Чтобы узнать больше о причине сбоя, щелкните строку и просмотрите категорию Activity Status Reason (Причина состояния действия).
• Дополнительные сведения о действии OnPremisesAgent:
  • Нет. Указывает на сброс только в облаке.
  • Microsoft Entra Connect: указывает, что пароль был сброшен в локальной инфраструктуре с использованием агента обратной записи Microsoft Entra Connect.
  • CloudSync: указывает, что пароль был сброшен локально с помощью агента обратной записи Microsoft Entra CloudSync.

Тип действия: Reset password (self-service) (Сброс пароля (самостоятельный))

В приведенном ниже списке подробно описано это действие.

• Описание действия: Указывает, что пользователь успешно сбросил пароль с помощью сервиса сброса пароля Microsoft Entra.
• Субъект действия. Пользователь, сбросивший свой пароль. Пользователь может быть конечным пользователем или администратором.
• Целевой объект действия. Пользователь, сбросивший свой пароль. Пользователь может быть как конечным пользователем, так и администратором.
• Статусы активности:
  • Успешно. Указывает, что пользователь успешно сбросил свой пароль.
  • Сбой: Указывает, что пользователь не смог сбросить свой пароль. Чтобы узнать больше о причине сбоя, щелкните строку и просмотрите категорию Activity Status Reason (Причина состояния действия).
• Причина сбоя состояния действия:
  • FuzzyPolicyViolationInvalidPassword. Администратор выбрал пароль, который был автоматически заблокирован из-за способности обнаружения запрещенных паролей Microsoft, так как он оказался слишком распространенным или особенно слабым.

Тип действия: ход выполнения действия самостоятельного сброса пароля

В приведенном ниже списке подробно описано это действие.

• Описание действия. Указывает каждый этап, выполняемый пользователем в рамках процесса сброса пароля (например, прохождение определенного этапа аутентификации для сброса пароля).
• Исполнитель операции: Пользователь, который выполнил часть операции сброса пароля. Пользователь может быть как конечным пользователем, так и администратором.
• Целевой объект действия: Пользователь, который выполнил часть процесса сброса пароля. Пользователь может быть конечным пользователем или администратором.
• Статусы активности:
  • Успешно. Указывает, что пользователь успешно завершил определенный этап сброса пароля.
  • Сбой. Указывает, что при выполнении определенного этапа сброса пароля произошел сбой. Чтобы узнать больше о причине сбоя, щелкните строку и просмотрите категорию Activity Status Reason (Причина состояния действия).
• Причины статуса активности. Ознакомьтесь со следующей таблицей, содержащей все допустимые причины изменения статуса активности.

Тип действия: "Unlock user account (self-service)" (Разблокирование учетной записи пользователя (самостоятельное))

В приведенном ниже списке подробно описано это действие.

• Описание действия: Указывает, что пользователь успешно разблокировал свою учетную запись Active Directory без сброса пароля, используя функцию разблокировки учетной записи Active Directory из Microsoft Entra.
• Субъект действия: Пользователь, без сброса пароля разблокировавший свой аккаунт. Пользователь может быть либо конечным пользователем, либо администратором.
• Цель активности: Пользователь, который разблокировал свою учетную запись без сброса пароля. Пользователь может быть конечным пользователем или администратором.
• Допустимые состояния действий:
  • Успешно. Указывает, что пользователь успешно разблокировал свою учетную запись.
  • Сбой. Указывает, что во время разблокирования учетной записи произошел сбой. Чтобы узнать больше о причине сбоя, щелкните строку и просмотрите категорию Activity Status Reason (Причина состояния действия).

Тип действия: Регистрация пользователя для самостоятельного сброса пароля

В приведенном ниже списке подробно описано это действие.

• Описание действия. Указывает, что пользователь зарегистрировал всю информацию, необходимую для сброса пароля в соответствии с указанной политикой сброса пароля клиента.
• Субъект действия. Пользователь, зарегистрировавшийся для сброса пароля. Пользователь может быть конечным пользователем или администратором.
• Целевой объект действия. Пользователь, зарегистрировавшийся для сброса пароля. Пользователь может быть конечным пользователем или администратором.
• Допустимые состояния действий:

  • Успешно. Указывает, что пользователь успешно зарегистрировался для сброса пароля в соответствии с текущей политикой.

  • Ошибка: Указывает, что пользователь не смог зарегистрироваться для сброса пароля. Чтобы узнать больше о причине сбоя, щелкните строку и просмотрите категорию Activity Status Reason (Причина состояния действия).

    Примечание.

    Сбой не означает, что пользователь не может сбросить свой пароль. Он означает, что пользователь не завершил процесс регистрации. Если в учетной записи есть непроверенные данные, такие как номер телефона, который не проверен, даже если они не проверили этот номер телефона, они по-прежнему могут использовать его для сброса пароля.

Следующие шаги

• Отчеты об использовании самостоятельного сброса пароля (SSPR) и многофакторной проверки подлинности (MFA) и аналитические отчеты
• Как успешно завершить развёртывание функции самостоятельного сброса пароля?
• Сброс или изменение пароля
• Регистрация для самостоятельного сброса пароля
• У вас есть вопрос о лицензировании?
• Какие данные используются для SSPR и какие сведения нужно указывать для пользователей
• Доступные пользователям методы проверки подлинности
• Какие есть варианты политики для SSPR?
• Что такое обратная запись паролей и каково ее назначение
• Обзор всех параметров SSPR и их значение
• Я думаю, что что-то сломалось. Как устранить неполадки в системе самостоятельного сброса пароля (SSPR)?
• Вопросы, не вошедшие в другие статьи