Варианты отчетности для управления паролями Microsoft Entra
После развертывания многие организации хотят знать, как использовать самостоятельный сброс пароля (SSPR) и действительно ли используется эта функция. Функция создания отчетов, которую предоставляет идентификатор Microsoft Entra, помогает ответить на вопросы с помощью предварительно созданных отчетов. При наличии соответствующей лицензии можно также создавать пользовательские запросы.
На следующие вопросы можно найти ответы в отчетах, которые имеются в Центре администрирования Microsoft Entra:
Примечание.
Вы должны принять участие в сборе этих данных от имени вашей организации. Чтобы подключиться, необходимо хотя бы раз посетить вкладку отчетов или журналы аудита. До тех пор данные не собираются для вашей организации.
- Какие изменения были внесены в политику SSPR?
- Сколько пользователей зарегистрировалось для сброса пароля?
- Кто зарегистрировался для сброса пароля?
- Какие данные регистрируют пользователи?
- Сколько пользователей сбросило пароли за последние 7 дней?
- Каковы наиболее распространенные методы, которые используют пользователи или администраторы для сброса паролей?
- С какими наиболее распространенными проблемами сталкиваются пользователи или администраторы при попытке использовать сброс пароля?
- Какие администраторы часто сбрасывают свои пароли?
- Наблюдается ли какая-либо подозрительная активность по сбросу паролей?
Просмотр отчетов об управлении паролями
Чтобы найти события сброса пароля и регистрации сброса пароля, выполните следующие шаги:
- Войдите в Центр администрирования Microsoft Entra как минимум с ролью читателя отчетов.
- Перейдите к Идентификация>Пользователи.
- В колонке Пользователи выберите Журналы аудита. Здесь отображаются все события аудита, выполняемые в отношении всех пользователей в каталоге. Чтобы просмотреть все связанные с паролем события, это представление можно фильтровать.
- В меню Фильтр в верхней части панели выберите вариант Служба из раскрывающегося списка и измените его на тип сервиса Самостоятельное управление паролями.
- При необходимости этот список можно отфильтровать по определенному действию.
Объединенная регистрация
Объединенные события регистрации и управления сведениями о безопасности можно найти в журналах аудита в разделе "Методы проверки подлинности безопасности>".
Описание столбцов отчета
В следующем списке подробно описан каждый из столбцов отчета:
- Пользователь — пользователь, который предпринял попытку регистрации сброса пароля.
- Роль — роль пользователя в каталоге.
- Дата и время — дата и время попытки.
- Зарегистрированные данные — какие данные для проверки подлинности предоставил пользователь в ходе регистрации сброса пароля.
Описание значений отчета
В следующей таблице описаны различные значения, которые можно задать для каждого столбца:
Колонка | Допустимые значения и их описание |
---|---|
Зарегистрированные данные |
Альтернативный адрес электронной почты — пользователь использовал для аутентификации альтернативный адрес электронной почты или адрес электронной почты для аутентификации. Рабочий телефон — пользователь использовал для аутентификации рабочий телефон. Мобильный телефон — пользователь использовал для аутентификации мобильный телефон или телефон для аутентификации. Контрольные вопросы — пользователь использовал для аутентификации контрольные вопросы. Любое сочетание указанного выше (например, альтернативный адрес электронной почты и мобильный телефон) — отображается, если настроена двухфакторная политика. Показывает, какие два метода применил пользователь для аутентификации своего запроса на сброс пароля. |
Типы действий самостоятельного управления паролями
Ниже приведены типы действий, которые отображаются после выбора категории событий аудита Self-Service Password Management (Самостоятельное управление паролями).
- Изменение политики самостоятельного сброса пароля: указывает на любые изменения в политике самостоятельного сброса пароля, включая старое значение и новое значение.
- Блокировка самостоятельного сброса пароля: Указывает, что пользователь пытался сбросить пароль, использовать определенный шлюз или проверить номер телефона более пяти раз в течение 24 часов.
- Change password (self-service) (Изменение пароля (самостоятельное)). Указывает, что пользователь добровольно или принудительно (из-за истечения срока действия) изменил пароль.
- Сброс пароля (по администратору): указывает, что администратор выполнил сброс пароля от имени пользователя.
- Сброс пароля (самообслуживания) — указывает, что пользователь успешно сбросил пароль с помощью Microsoft Entra.
- Ход выполнения самостоятельного сброса пароля. Указывает каждый этап, выполняемый пользователем в рамках процесса сброса пароля (например, прохождение определенного этапа аутентификации для сброса пароля).
- Разблокировка учетной записи пользователя (самообслуживание): указывает, что пользователь успешно разблокировал свою учетную запись в Active Directory без сброса пароля, используя функцию разблокировки учетной записи Active Directory без сброса пароля в системе сброса пароля Microsoft Entra.
- User registered for self-service password reset (Регистрация пользователей для самостоятельного сброса пароля). Указывает, что пользователь зарегистрировал всю информацию, необходимую для сброса пароля в соответствии с указанной политикой сброса пароля клиента.
Тип действия: изменения в политике самостоятельного сброса пароля
В приведенном ниже списке подробно описано это действие.
- описание действия. Указывает, что администратор обновил параметры в политике SSPR.
- субъект действия: отображаемое имя и имя участника-пользователя (UPN) администратора, вносившего изменения.
- Цель действия: обновлены свойства в политике SSPR.
-
Статусы активностей:
- Успех: Указывает, что пользователь успешно изменил параметр в политике SSPR.
- сбой. Указывает, что пользователь не смог изменить параметр в политике SSPR.
-
Причина сбоя состояния действия:
- Ошибка прав доступа?
Тип действия: Блокировка самостоятельного сброса пароля
В приведенном ниже списке подробно описано это действие.
- Описание действия. Указывает, что пользователь пытался сбросить пароль, использовать определенный шлюз или проверить телефонный номер более 5 раз подряд за 24 часа.
- Субъект действия: Пользователь, которого ограничили в выполнении дополнительных операций сброса. Пользователь может быть конечным пользователем или администратором.
- Цель действия: Пользователь, которому был ограничен доступ для выполнения дополнительных операций сброса. Пользователь может быть конечным пользователем или администратором.
-
Статус активности:
- Успешно. Указывает, что пользователь не сможет выполнять дополнительные сбросы, применять любые дополнительные методы аутентификации и проверять любые дополнительные телефонные номера в течение следующих 24 часов.
- Причина сбоя состояния действия. Не применяется.
Тип действия: Change password (self-service) (Изменение пароля (самостоятельное))
В приведенном ниже списке подробно описано это действие.
- Описание действия. Указывает, что пользователь добровольно или принудительно (из-за истечения срока действия) изменил пароль.
- Субъект действия. Пользователь, изменивший свой пароль. Пользователь может быть как конечным пользователем, так и администратором.
- Целевой объект действия. Пользователь, изменивший свой пароль. Пользователь может быть конечным пользователем или администратором.
-
Статусы активности:
- Успешно. Указывает, что пользователь успешно изменил свой пароль.
- Сбой. Указывает, что во время изменения пароля произошел сбой. Чтобы узнать больше о причине сбоя, щелкните строку и просмотрите категорию Activity Status Reason (Причина состояния действия).
-
Причина сбоя состояния действия:
- FuzzyPolicyViolationInvalidPassword: Пользователь выбрал пароль, который был автоматически заблокирован из-за возможностей обнаружения запрещенных паролей Майкрософт, поскольку он оказался слишком распространенным или особенно слабым.
Тип действия: Reset password (by admin) (Сброс пароля (администратор))
В приведенном ниже списке подробно описано это действие.
- Описание действия. Указывает, что администратор выполнил сброс пароля от имени пользователя.
- Субъект действия. Администратор, сбросивший пароль от имени другого пользователя или администратора. Это должен быть администратор паролей, администратор пользователей или администратор службы технической поддержки.
- Целевой объект действия. Пользователь, чей пароль сброшен. Пользователь может быть конечным пользователем или другим администратором.
-
Статусы действий:
- Успешно. Указывает, что администратор успешно сбросил пароль пользователя.
- Сбой: Указывает, что администратору не удалось изменить пароль пользователя. Чтобы узнать больше о причине сбоя, щелкните строку и просмотрите категорию Activity Status Reason (Причина состояния действия).
-
Дополнительные сведения о действии OnPremisesAgent:
- Нет. Указывает на сброс только в облаке.
- Microsoft Entra Connect: указывает, что пароль был сброшен в локальной инфраструктуре с использованием агента обратной записи Microsoft Entra Connect.
- CloudSync: указывает, что пароль был сброшен локально с помощью агента обратной записи Microsoft Entra CloudSync.
Тип действия: Reset password (self-service) (Сброс пароля (самостоятельный))
В приведенном ниже списке подробно описано это действие.
- Описание действия: Указывает, что пользователь успешно сбросил пароль с помощью сервиса сброса пароля Microsoft Entra.
- Субъект действия. Пользователь, сбросивший свой пароль. Пользователь может быть конечным пользователем или администратором.
- Целевой объект действия. Пользователь, сбросивший свой пароль. Пользователь может быть как конечным пользователем, так и администратором.
-
Статусы активности:
- Успешно. Указывает, что пользователь успешно сбросил свой пароль.
- Сбой: Указывает, что пользователь не смог сбросить свой пароль. Чтобы узнать больше о причине сбоя, щелкните строку и просмотрите категорию Activity Status Reason (Причина состояния действия).
-
Причина сбоя состояния действия:
- FuzzyPolicyViolationInvalidPassword. Администратор выбрал пароль, который был автоматически заблокирован из-за способности обнаружения запрещенных паролей Microsoft, так как он оказался слишком распространенным или особенно слабым.
Тип действия: ход выполнения действия самостоятельного сброса пароля
В приведенном ниже списке подробно описано это действие.
- Описание действия. Указывает каждый этап, выполняемый пользователем в рамках процесса сброса пароля (например, прохождение определенного этапа аутентификации для сброса пароля).
- Исполнитель операции: Пользователь, который выполнил часть операции сброса пароля. Пользователь может быть как конечным пользователем, так и администратором.
- Целевой объект действия: Пользователь, который выполнил часть процесса сброса пароля. Пользователь может быть конечным пользователем или администратором.
-
Статусы активности:
- Успешно. Указывает, что пользователь успешно завершил определенный этап сброса пароля.
- Сбой. Указывает, что при выполнении определенного этапа сброса пароля произошел сбой. Чтобы узнать больше о причине сбоя, щелкните строку и просмотрите категорию Activity Status Reason (Причина состояния действия).
- Причины статуса активности. Ознакомьтесь со следующей таблицей, содержащей все допустимые причины изменения статуса активности.
Тип действия: "Unlock user account (self-service)" (Разблокирование учетной записи пользователя (самостоятельное))
В приведенном ниже списке подробно описано это действие.
- Описание действия: Указывает, что пользователь успешно разблокировал свою учетную запись Active Directory без сброса пароля, используя функцию разблокировки учетной записи Active Directory из Microsoft Entra.
- Субъект действия: Пользователь, без сброса пароля разблокировавший свой аккаунт. Пользователь может быть либо конечным пользователем, либо администратором.
- Цель активности: Пользователь, который разблокировал свою учетную запись без сброса пароля. Пользователь может быть конечным пользователем или администратором.
-
Допустимые состояния действий:
- Успешно. Указывает, что пользователь успешно разблокировал свою учетную запись.
- Сбой. Указывает, что во время разблокирования учетной записи произошел сбой. Чтобы узнать больше о причине сбоя, щелкните строку и просмотрите категорию Activity Status Reason (Причина состояния действия).
Тип действия: Регистрация пользователя для самостоятельного сброса пароля
В приведенном ниже списке подробно описано это действие.
- Описание действия. Указывает, что пользователь зарегистрировал всю информацию, необходимую для сброса пароля в соответствии с указанной политикой сброса пароля клиента.
- Субъект действия. Пользователь, зарегистрировавшийся для сброса пароля. Пользователь может быть конечным пользователем или администратором.
- Целевой объект действия. Пользователь, зарегистрировавшийся для сброса пароля. Пользователь может быть конечным пользователем или администратором.
-
Допустимые состояния действий:
Успешно. Указывает, что пользователь успешно зарегистрировался для сброса пароля в соответствии с текущей политикой.
Ошибка: Указывает, что пользователь не смог зарегистрироваться для сброса пароля. Чтобы узнать больше о причине сбоя, щелкните строку и просмотрите категорию Activity Status Reason (Причина состояния действия).
Примечание.
Сбой не означает, что пользователь не может сбросить свой пароль. Он означает, что пользователь не завершил процесс регистрации. Если в учетной записи есть непроверенные данные, такие как номер телефона, который не проверен, даже если они не проверили этот номер телефона, они по-прежнему могут использовать его для сброса пароля.
Следующие шаги
- Отчеты об использовании самостоятельного сброса пароля (SSPR) и многофакторной проверки подлинности (MFA) и аналитические отчеты
- Как успешно завершить развёртывание функции самостоятельного сброса пароля?
- Сброс или изменение пароля
- Регистрация для самостоятельного сброса пароля
- У вас есть вопрос о лицензировании?
- Какие данные используются для SSPR и какие сведения нужно указывать для пользователей
- Доступные пользователям методы проверки подлинности
- Какие есть варианты политики для SSPR?
- Что такое обратная запись паролей и каково ее назначение
- Обзор всех параметров SSPR и их значение
- Я думаю, что что-то сломалось. Как устранить неполадки в системе самостоятельного сброса пароля (SSPR)?
- Вопросы, не вошедшие в другие статьи