Поделиться через

Помеченные входы в систему Microsoft Entra

  • Статья

Как ИТ-администратор вы хотите устранить проблемы входа как можно скорее, чтобы разблокировать пользователей. Из-за объема доступных данных в журнале входа поиск нужных сведений может быть проблемой.

В этой статье представлен обзор функции помеченных входов, которая может значительно улучшить время, необходимое для устранения проблем входа пользователей, упрощая поиск связанных проблем.

Что такое помеченные входы?

События входа в Microsoft Entra критически важны для понимания того, что произошло с входами в систему пользователей и конфигурациями проверки подлинности в вашем клиенте. Однако Microsoft Entra ID обрабатывает более 8 миллиардов аутентификаций в день, что может привести к такому количеству событий входа, что администраторам будет сложно найти те, которые действительно важны.

Функция помеченных входов предназначена для улучшения соотношения сигнал/шум для пользовательских входов, которые требуют вашей поддержки. Эта функция позволяет пользователям повысить осведомленность об ошибках входа, с которыми им нужна помощь. Администраторы и сотрудники службы технической поддержки также выигрывают, более эффективно находя нужные события. Помеченные события входа содержат те же сведения, что и другие события входа, но также указывают, что пользователь помечает событие для проверки.

Для этого можно использовать помеченные входы:

  • Предоставьте пользователям возможность заранее указать, какие ошибки входа требуют поддержки ИТ-администратора.

  • Упрощение процесса поиска ошибок входа.

  • Позвольте персоналу службы технической поддержки находить ошибки входа без необходимости пользователю делать что-либо, кроме как отметь событие.

Принцип работы

Когда пользователи видят ошибку входа, они могут включить флагирование. В течение следующих 20 минут любое событие входа от этого пользователя на одном браузере и клиентском устройстве или компьютере отображает флаг для проверки: Да в журналах входа. По истечении 20 минут функция пометки автоматически отключается.

Для пользователя: как пометить ошибку

  1. Пользователь получает сообщение об ошибке во время входа в систему.

  2. Пользователь выбирает посмотреть сведения на странице ошибки.

  3. В разделе "Сведения об устранении неполадок" пользователь выбирает включение тегов.

    • Теперь текст изменяется на Отключить метки, и метки теперь включены.
    • Пользователь должен использовать тот же браузер и клиент, или события не помечены.

    Снимок экрана сообщений об ошибках на странице входа в учетную запись Microsoft Entra ID.

  4. Откройте новое окно браузера (в той же программе) и попытайтесь войти тем же способом, который не удался.

Если ошибка входа воспроизводится, помеченная диагностика отправляется в журналы регистрации.

Для администратора: поиск помеченных событий в отчетах

Журналы входа могут занять несколько минут, прежде чем помеченные события входа начнут отображаться.

  1. Войдите в Центр администрирования Microsoft Entra как по крайней мере читатель отчетов.

  2. Перейдите к Удостоверение личности>Мониторинг и работоспособность>Журналы входа.

  3. Откройте меню "Добавить фильтры" и выберите "Отмечено для проверки". Отображаются все помеченные события.

    Снимок экрана журналов входа в систему Microsoft Entra ID с выбранным фильтром

  4. При необходимости примените дополнительные фильтры для уточнения представления событий.

  5. Выберите событие, чтобы проверить, что произошло.

Администратор или разработчик: поиск помеченных событий с помощью Microsoft Graph

Помеченные входы в систему можно найти с помощью интерфейса Microsoft Graph API. Для получения дополнительной информации см. документацию по типу ресурса signIn в Microsoft Graph.

Показать все помеченные входы:

  • https://graph.microsoft.com/beta/auditLogs/signIns?&$filter=flaggedforReview eq true

Запрос на вход с пометкой для конкретного пользователя по UPN (например: user@contoso.com):

  • https://graph.microsoft.com/beta/auditLogs/signIns?&$filter=flaggedforReview eq true and userPrincipalname eq 'user@contoso.com'

Помеченный запрос входа для конкретного пользователя и даты больше:

  • https://graph.microsoft.com/beta/auditLogs/signIns?&$filter=flaggedforReview eq true and createdDateTime ge 2021-10-01 and userPrincipalname eq 'user@contoso.com'

Кто может создавать помеченные входы?

Любой пользователь, входящий в Microsoft Entra ID, может пометить входы для проверки, включая членов и гостевых пользователей.

Кто может просматривать помеченные события входа?

Для просмотра помеченных событий входа требуются разрешения на чтение событий отчета о входе в Центре администрирования Microsoft Entra. Дополнительные сведения см. в разделе "Доступ к журналам действий".

Что нужно знать

Хотя названия похожи, помеченные события входа и рискованные входы — это разные функции.

  • Помеченные события входа — это события ошибок входа, для устранения которых пользователи запрашивают помощь.
  • Рискованный вход — это функция Microsoft Entra ID Protection. Дополнительные сведения см. в разделе "Что такое Защита идентификации Microsoft Entra".

Следующие шаги