使用登入記錄來檢閱Microsoft Entra 多重要素驗證事件
若要檢閱並瞭解Microsoft Entra 多重要素驗證事件,您可以使用 Microsoft Entra 登入記錄。 當系統提示用戶進行多重要素驗證,以及是否使用任何條件式存取原則時,此報告會顯示事件的驗證詳細數據。 如需登入記錄的詳細資訊,請參閱 Microsoft Entra ID 中的登入活動報告概觀。
檢視Microsoft Entra 登入記錄
登入記錄提供受控應用程式和使用者登入活動使用方式的相關信息,其中包括多重要素驗證使用方式的相關信息。 MFA 數據可讓您深入瞭解 MFA 在組織中的運作方式。 它會回答如下的問題:
- 登入時遇到 MFA 驗證挑戰嗎?
- 使用者如何完成 MFA?
- 登入期間使用了哪些驗證方法?
- 為什麼用戶無法完成 MFA?
- 多因素驗證(MFA)有多少使用者被挑戰?
- 有多少用戶無法完成 MFA 挑戰?
- 使用者遇到哪些常見的 MFA 問題?
若要在 Microsoft Entra 系統管理中心中檢視登入活動報告,請完成下列步驟。 您也可以使用 報告 API查詢數據。
至少以 驗證原則系統管理員的身分登入 Microsoft Entra 系統管理中心。
流覽至 [身分識別]>,然後從左側功能表中選擇 [使用者]>[所有使用者]。
從左側的選單中,選取 登入記錄。
顯示登入事件清單,包括狀態。 您可以選取事件以檢視更多詳細數據。
事件詳細數據的 [條件式存取] 索引標籤會顯示觸發 MFA 提示的原則。
的螢幕快照
如果有的話,會顯示驗證,例如簡訊、Microsoft Authenticator 應用程式通知或通話。
驗證詳細資料 索引標籤會針對每個驗證嘗試提供下列資訊:
- 套用的驗證原則清單(例如條件式存取、每個使用者 MFA、安全性預設值)
- 用來登入的驗證方法序列
- 驗證嘗試是否成功
- 驗證嘗試成功或失敗原因的詳細數據
這項資訊可讓系統管理員針對使用者登入中的每個步驟進行疑難解答,並追蹤:
- 受多重要素驗證保護的登入數量
- 每個驗證方法的使用方式和成功率
- 使用無密碼驗證方法(例如無密碼電話登入、FIDO2 和 Windows Hello 企業版)
- 權杖宣告滿足驗證需求的頻率(使用者未以互動方式提示輸入密碼、輸入SMS OTP 等等)
檢視登入記錄檔時,選取 [驗證詳細資料] 索引標籤:
![[認證詳細資訊] 標籤頁的螢幕快照](media/howto-mfa-reporting/auth-details-tab.png)
注意
OATH 驗證碼 被記錄為 OATH 硬體和軟體令牌的驗證方法(例如 Microsoft Authenticator 應用程式)。
重要
驗證詳細數據 索引標籤一開始會顯示不完整或不正確的數據,直到完整匯總記錄信息為止。 已知範例包括:
- 最初記錄登入事件時,令牌 訊息中的 建構式所滿足的宣告顯示不正確。
- 主要驗證列 最初不會被記錄。
下列詳細資訊會顯示在 [驗證詳細資料] 視窗中,登入事件將顯示 MFA 要求是否已滿足或被拒絕:
如果 MFA 已經滿足,此欄會提供有關 MFA 如何達成的詳細資訊。
- 在雲端中完成
- 依據租戶所設定的原則已過期
- 註冊提示
- 令牌中的宣告滿足
- 由外部提供者提供的索賠已獲滿足
- 通過強身份驗證得到滿足
- 已略過,因為所執行的流程是 Windows 經紀人登入流程
- 因為應用程式密碼而略過
- 因為位置而略過
- 因為已註冊的裝置而略過
- 因為裝置已被記住而被略過
- 成功完成
如果 MFA 遭到拒絕,則此欄會說明拒絕的原因。
- 驗證進行中
- 重複驗證嘗試
- 輸入不正確的程式代碼太多次
- 無效的驗證
- 無效的行動應用程式驗證碼
- 錯誤配置
- 電話轉到語音信箱
- 電話號碼的格式無效
- 服務錯誤
- 無法連線到用戶的電話
- 無法將行動應用程式通知傳送至裝置
- 無法傳送行動應用程式通知
- 使用者拒絕驗證
- 使用者未回應行動應用程式通知
- 用戶沒有任何註冊的驗證方法
- 使用者輸入不正確的代碼
- 使用者輸入不正確的 PIN
- 用戶沒有成功驗證就掛斷了電話
- 使用者遭到封鎖
- 用戶從未輸入驗證碼
- 找不到使用者
- 驗證碼已被使用過一次
PowerShell 報告已註冊 MFA 的使用者
首先,請確定您已安裝 Microsoft Graph PowerShell SDK 。
使用下列 PowerShell 識別已註冊 MFA 的使用者。 這組命令會排除停用的使用者,因為這些帳戶無法驗證 Microsoft Entra ID。
Get-MgUser -All | Where-Object {$_.StrongAuthenticationMethods -ne $null -and $_.BlockCredential -eq $False} | Select-Object -Property UserPrincipalName
執行下列 PowerShell 命令來識別未註冊 MFA 的使用者。 這組命令會排除停用的使用者,因為這些帳戶無法針對 Microsoft Entra ID 進行驗證。
Get-MgUser -All | Where-Object {$_.StrongAuthenticationMethods.Count -eq 0 -and $_.BlockCredential -eq $False} | Select-Object -Property UserPrincipalName
識別已註冊的使用者和輸出方法:
Get-MgUser -All | Select-Object @{N='UserPrincipalName';E={$_.UserPrincipalName}},@{N='MFA Status';E={if ($_.StrongAuthenticationRequirements.State){$_.StrongAuthenticationRequirements.State} else {"Disabled"}}},@{N='MFA Methods';E={$_.StrongAuthenticationMethods.methodtype}} | Export-Csv -Path c:\MFA_Report.csv -NoTypeInformation
其他 MFA 報告
下列其他資訊和報告可用於 MFA 事件,包括 MFA Server 的資訊和報告:
| 報告 | 位置 | 描述 |
|---|---|---|
| 封鎖的用戶歷程記錄 | Microsoft Entra ID > 安全性 > 多重驗證 (MFA) > 封鎖/解除封鎖使用者 | 顯示封鎖或解除封鎖使用者的要求歷程記錄。 |
| 內部部署元件的使用方式 | Microsoft Entra ID > 安全性 > MFA > 活動報告 | 提供 MFA Server 整體使用量的相關信息。 雲端 MFA 活動的 NPS 擴充功能和 AD FS 記錄現在包含在 登入記錄中,而且不再在此報告中發佈。 |
| 略過的用戶歷程記錄 | Microsoft Entra 身分識別 > 安全性 > 多重身份驗證 > 一次性略過 | 提供關於某位使用者在 MFA Server 上略過 MFA 要求的歷程記錄。 |
| 伺服器狀態 | Microsoft Entra ID > 安全性 > 多因素身份驗證 > 伺服器狀態 | 顯示與您的帳戶相關聯的 MFA 伺服器狀態。 |
來自內部部署 AD FS 配接器或 NPS 擴充功能的雲端 MFA 登入事件不會在登入記錄中填入所有字段,因為內部部署元件傳回的數據有限。 您可以透過事件屬性中的 resourceID adfs 或 radius 來識別這些事件。 其中包括:
- 結果簽章
- appID
- 設備詳細資訊
- 條件式存取狀態
- authenticationContext
- isInteractive
- 代幣發行者名稱
- riskDetail, riskLevelAggregated, riskLevelDuringSignIn, riskState, riskEventTypes, riskEventTypes_v2
- 驗證協議
- incomingTokenType
執行最新版 NPS 擴充功能或使用 Microsoft Entra Connect Health 的組織將會有事件中的位置 IP 位址。
後續步驟
本文提供登入活動報告的概觀。 如需此報表包含之內容的詳細資訊,請參閱 Microsoft Entra ID 中的登入活動報告。