使用登入報告來檢閱 Microsoft Entra 多重要素驗證事件
若要檢閱並了解 Microsoft Entra 多重要素驗證事件,您可使用 Microsoft Entra 登入報告。 當系統提示使用者進行多重要素驗證時,以及如果有任何條件式存取原則正在使用,則此報告可顯示事件的驗證詳細資料。 如需登入報告的詳細資訊,請參閱 Microsoft Entra ID 中的登入活動報告概觀。
檢視 Microsoft Entra 登入報告
提示
本文中的步驟可能會根據您開始使用的入口網站而稍有不同。
登入報告提供受控應用程式使用方式和使用者登入活動的資訊,包括多重要素驗證 (MFA) 使用方式的資訊。 MFA 資料可讓您深入了解 MFA 如何在您的組織中運作。 其會回答下列問題:
- 是否以 MFA 挑戰登入?
- 使用者如何完成 MFA?
- 在登入期間會使用哪些驗證方法?
- 為何使用者無法完成 MFA?
- 有多少使用者經過 MFA 挑戰?
- 有多少使用者無法完成 MFA 挑戰?
- 使用者會遇到的常見 MFA 問題是什麼?
若要在 Microsoft Entra 系統管理中心中檢視登入活動報告,請完成下列步驟。 您也可以使用報告 API 來查詢資料。
至少以驗證原則管理員的身分登入 Microsoft Entra 系統管理中心。
瀏覽至 [身分識別]> 然後從左側功能表中選擇 [使用者]>[所有使用者]。
從左側的功能表中,選取 [安全性]。
登入事件清單會隨即顯示,其中包含狀態。 您可選取事件來檢視更多詳細資料。
事件詳細資料的 [條件式存取] 索引標籤會顯示已觸發 MFA 提示的原則。
在適用的情況下,會顯示驗證方式,例如簡訊、Microsoft Authenticator 應用程式通知或撥打電話。
[驗證詳細資料] 索引標籤會提供下列資訊,以進行每個驗證嘗試:
- 套用的驗證原則清單 (例如條件式存取、每個使用者的 MFA、安全性預設值)
- 用於登入的驗證方法順序
- 驗證嘗試是否成功
- 驗證嘗試成功或失敗的原因詳細資料
這項資訊可讓管理員針對使用者登入中的每個步驟進行疑難排解,並追蹤:
- 受到多重要素驗證保護的登入數量
- 每個驗證方法的使用方式和成功率
- 無密碼驗證方法的使用方式 (例如無密碼電話登入、FIDO2 和 Windows Hello 企業版)
- 權杖宣告滿足驗證需求的頻率 (不會以互動方式提示使用者輸入密碼、輸入 SMS OTP 等等)
檢視登入報表時,請選取 [驗證詳細資料] 索引標籤:
![[驗證詳細資料] 索引標籤的螢幕擷取畫面](media/howto-mfa-reporting/auth-details-tab.png)
注意
OATH 驗證碼 會記錄為 OATH 硬體和軟體權杖的驗證方法 (例如 Microsoft Authenticator 應用程式)。
重要
[驗證詳細資料] 索引標籤一開始會顯示不完整或不正確的資料,直到記錄資訊完全彙總為止。 已知範例包括:
- 一開始記錄登入事件時,會不正確地顯示由權杖中宣告滿足訊息。
- 一開始不會記錄 [主要驗證] 資料列。
下列詳細資料會顯示在登入事件的 [驗證詳細資料] 視窗中,指出已滿足或拒絕 MFA 要求:
如果已滿足 MFA,此資料行提供如何滿足 MFA 的詳細資訊。
- 在雲端中完成
- 由於租用戶上設定的原則所以已過期
- 註冊提示
- 因為在權杖中宣告而滿足
- 因為外部提供者提供的宣告而滿足
- 因為強式驗證而滿足
- 因為運用的流程是 Windows 訊息代理程式登入流程而略過
- 因為應用程式密碼而略過
- 因為位置而略過
- 因為已註冊的裝置而略過
- 因為已記住的裝置而略過
- 已成功完成
如果已拒絕 MFA,此資料行會提供拒絕的原因。
- 驗證進行中
- 重複的驗證嘗試
- 輸入太多次不正確的代碼
- 無效的驗證
- 無效的行動應用程式驗證碼
- 設定錯誤
- 撥打電話轉到語音信箱
- 電話號碼的格式無效
- 服務錯誤
- 無法接通使用者的電話
- 無法將行動應用程式通知傳送到裝置
- 無法傳送行動應用程式通知
- 使用者拒絕驗證
- 使用者未回應行動應用程式通知
- 使用者沒有任何已註冊的驗證方法
- 使用者輸入不正確的代碼
- 使用者輸入不正確的 PIN
- 使用者未成功驗證即掛斷電話
- 使用者遭到封鎖
- 使用者從未輸入驗證碼
- 找不到使用者
- 驗證碼已使用過一次
PowerShell 報告已註冊 MFA 的使用者
首先,請確定您已安裝 安裝 Microsoft Graph PowerShell SDK。
識別已使用下列 Powershell 註冊 MFA 的使用者。 這組命令會排除已停用的使用者,因為這些帳戶無法針對 Microsoft Entra ID 進行驗證:
Get-MgUser -All | Where-Object {$_.StrongAuthenticationMethods -ne $null -and $_.BlockCredential -eq $False} | Select-Object -Property UserPrincipalName
執行下列 PowerShell 命令,藉此識別未註冊 MFA 的使用者。 這組命令會排除已停用的使用者,因為這些帳戶無法針對 Microsoft Entra ID 進行驗證:
Get-MgUser -All | Where-Object {$_.StrongAuthenticationMethods.Count -eq 0 -and $_.BlockCredential -eq $False} | Select-Object -Property UserPrincipalName
識別已註冊的使用者和輸出方法:
Get-MgUser -All | Select-Object @{N='UserPrincipalName';E={$_.UserPrincipalName}},@{N='MFA Status';E={if ($_.StrongAuthenticationRequirements.State){$_.StrongAuthenticationRequirements.State} else {"Disabled"}}},@{N='MFA Methods';E={$_.StrongAuthenticationMethods.methodtype}} | Export-Csv -Path c:\MFA_Report.csv -NoTypeInformation
其他 MFA 報告
下列為針對 MFA 事件 (包括 MFA 伺服器的事件) 提供的其他資訊和報告:
| 報告 | Location | 描述 |
|---|---|---|
| 已封鎖的使用者歷程記錄 | Microsoft Entra ID > 安全性 > MFA > 封鎖/解除封鎖使用者 | 顯示使用者封鎖或解除封鎖要求的歷程記錄。 |
| 內部部署元件的使用方式 | Microsoft Entra ID > 安全性 > MFA > 活動報告 | 提供 MFA Server 整體使用方式的相關資訊。 雲端 MFA 活動的 NPS 延伸模組和 AD FS 記錄目前已包含在登入記錄中,並且不再發佈在此報告中。 |
| 已略過的使用者歷程記錄 | Microsoft Entra ID > 安全性 > MFA > 一次性略過 | 提供針對使用者許可 MFA 的 MFA 伺服器要求歷程記錄。 |
| 伺服器狀態 | Microsoft Entra ID > 安全性 > MFA > 伺服器狀態 | 顯示與帳戶建立關聯的 MFA 伺服器狀態。 |
來自內部部署 AD FS 配接器或 NPS 擴充功能的雲端 MFA 登入事件不會在登入記錄中填入所有欄位,因為內部部署元件傳回的資料有限。 您可以藉由事件屬性中的 resourceID adfs 或 radius 來識別這些事件。 其中包含:
- resultSignature
- appID
- deviceDetail
- conditionalAccessStatus
- authenticationContext
- isInteractive
- tokenIssuerName
- riskDetail, riskLevelAggregated,riskLevelDuringSignIn, riskState,riskEventTypes, riskEventTypes_v2
- authenticationProtocol
- incomingTokenType
執行最新版本 NPS 延伸模組或使用 Microsoft Entra Connect Health 的組織,在事件中會具有位置 IP 位址。
下一步
本文提供了登入活動報告概觀。 如需此報告所包含內容的詳細資訊,請參閱 Microsoft Entra ID 中的登入活動報告。