Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Чтобы просмотреть и понять события многофакторной проверки подлинности Microsoft Entra, можно использовать журналы входа Microsoft Entra. В этом отчете отображаются сведения о проверке подлинности для событий, когда пользователю предлагается многофакторная проверка подлинности, а также о том, используются ли какие-либо политики условного доступа. Подробные сведения о журналах входа см. в обзоре отчетов о действиях входа в идентификаторе Microsoft Entra.
Примечание о интерпретации MFA
Когда пользователь впервые входит в Microsoft Entra в интерактивном режиме, он может использовать любой поддерживаемый метод проверки подлинности (включая строгую проверку подлинности), даже если он не требуется строго. Если пользователь выбирает проверку подлинности через без пароля или другой надежный метод проверки подлинности, пользователь получает утверждение MFA. Чтобы уменьшить задержку и ненужные перенаправления между нашими приложениями и службой проверки подлинности, поставщики ресурсов обычно просматривают все существующие утверждения, уже предоставленные пользователю для проверки подлинности, а не запрашивают новый набор утверждений каждый раз. В результате некоторые входы могут отображаться как использующие только один фактор аутентификации, несмотря на требование MFA для приложения, так как предыдущее подтверждение MFA пользователя было подтверждено. Для этой конкретной проверки подлинности не было запрошено или зарегистрировано требование MFA. Для точного понимания контекста проверки подлинности важно всегда проверять сведения О MFA и корневой метод проверки подлинности, связанный с каждым событием. Не полагайтесь только на поле authenticationRequirement, так как оно не учитывает ранее удовлетворенные утверждения MFA из-за отсутствия необходимости явного использования строгой проверки подлинности.
Просмотр журналов входа в Microsoft Entra
Журналы входа предоставляют сведения об использовании управляемых приложений и действий входа пользователей, включая сведения об использовании многофакторной проверки подлинности. Данные MFA содержат сведения о том, как работает MFA в вашей организации. Ответы на такие вопросы:
- Было ли выполнение входа проверено с помощью MFA?
- Как пользователь завершил многофакторную проверку подлинности?
- Какие методы проверки подлинности использовались во время входа?
- Почему пользователь не смог завершить MFA?
- Сколько пользователей подвергается проверке многофакторной аутентификации?
- Сколько пользователей не удается выполнить задачу MFA?
- Каковы распространенные проблемы MFA, с которыми работают конечные пользователи?
Чтобы просмотреть отчет о действиях входа в Центре администрирования Microsoft Entra, выполните следующие действия. Вы также можете запрашивать данные с помощью API для отчетов .
Войдите в Центр администрирования Microsoft Entra как минимум администратор политики проверки подлинности.
Перейдите к Entra ID>Пользователи в меню слева.
В меню слева выберите журналы входа.
Отображается список событий входа, включая их состояние. Чтобы просмотреть дополнительные сведения, можно выбрать событие.
На вкладке "Условный доступ" сведений о событии показано, какая политика активировала запрос MFA.
При наличии доступных методов, отображаются данные для аутентификации, такие как текстовое сообщение, уведомление приложения Microsoft Authenticator или голосовой вызов.
На вкладке "Сведения о проверке подлинности" приведены следующие сведения для каждой попытки проверки подлинности:
- Список примененных политик аутентификации (например, условного доступа, MFA для каждого пользователя, настройки безопасности по умолчанию) отображается в подробном представлении каждого входа в разделе условного доступа.
- Последовательность методов проверки подлинности, используемых для входа
- Успешно ли выполнена попытка проверки подлинности
- Сведения о том, почему попытка проверки подлинности завершилась успешно или завершилась ошибкой
Эта информация позволяет администраторам устранять неполадки каждого шага входа пользователя и отслеживать следующее:
- Объем входов, защищенных многофакторной проверкой подлинности
- Показатели использования и успешности для каждого метода проверки подлинности
- Использование методов проверки подлинности без пароля (таких как вход без пароля, FIDO2 и Windows Hello для бизнеса)
- Как часто требования к проверке подлинности удовлетворяются утверждениями токенов (где пользователям не нужно вводить пароль, SMS-код и т. д.)
При просмотре журналов входа выберите вкладку "Сведения о проверке подлинности ":
Заметка
Код проверки OATH регистрируется как метод проверки подлинности для аппаратного и программного маркеров OATH (например, приложения Microsoft Authenticator).
Важный
Сведения о проверке подлинности на вкладке могут вначале отображать неполные или неточные данные, пока данные журнала не будут полностью агрегированы. Известные примеры:
- Сообщение "удовлетворено требованием в токене" некорректно отображается, когда события входа первоначально фиксируются в журнале.
- Строка первичной аутентификации изначально не протоколируется.
Следующие сведения отображаются в окне сведений о проверке подлинности для события входа, которое показывает, был ли выполнен или отклонен запрос MFA:
Если многофакторная проверка подлинности была пройдена, этот столбец содержит дополнительные сведения о том, как она была пройдена.
- завершено в облаке
- истек срок действия из-за политик, настроенных в клиенте
- запрос на регистрацию
- удовлетворено заявлением в токене
- удовлетворено заявлением, предоставленным внешним поставщиком
- удовлетворена строгой проверкой подлинности
- Пропущено, потому что использовался процесс входа через брокер Windows
- пропущен из-за пароля приложения
- пропущено из-за расположения
- пропущено из-за регистрации устройства
- пропущено из-за запомненного устройства
- успешно завершено
Если MFA было отклонено, этот столбец предоставит причину отказа.
- аутентификация выполняется
- повторная попытка проверки подлинности
- Введен неправильный код слишком много раз
- недействительная проверка подлинности
- Недопустимый код проверки мобильного приложения
- неправильная настройка
- телефонный звонок перешел на голосовую почту
- Номер телефона имеет недопустимый формат
- Ошибка службы
- Не удается связаться с телефоном пользователя
- Не удается отправить уведомление мобильного приложения на устройство
- Не удается отправить уведомление мобильного приложения
- пользователь отказался от проверки подлинности
- пользователь не ответил на уведомление мобильного приложения
- У пользователя нет методов проверки, зарегистрированных
- введенный пользователем неправильный код
- введенный пользователем неверный ПИН-код
- пользователь завесил телефонный звонок без успешной проверки подлинности
- пользователь заблокирован
- пользователь никогда не вводит код проверки
- пользователь не найден
- Код проверки уже использовался один раз
Отчеты PowerShell о пользователях, зарегистрированных для MFA
Сначала убедитесь, что установлен пакет SDK Microsoft Graph PowerShell .
Определите пользователей, зарегистрировавшихся для MFA, используя следующий скрипт PowerShell. Этот набор команд исключает отключенных пользователей, так как эти учетные записи не могут пройти проверку подлинности в идентификаторе Microsoft Entra:
Get-MgUser -All | Where-Object {$_.StrongAuthenticationMethods -ne $null -and $_.BlockCredential -eq $False} | Select-Object -Property UserPrincipalName
Определите пользователей, которые не зарегистрированы для MFA, выполнив следующие команды PowerShell. Этот набор команд исключает отключенных пользователей, так как эти учетные записи не могут пройти проверку подлинности в идентификаторе Microsoft Entra:
Get-MgUser -All | Where-Object {$_.StrongAuthenticationMethods.Count -eq 0 -and $_.BlockCredential -eq $False} | Select-Object -Property UserPrincipalName
Определите пользователей и методы вывода, зарегистрированные:
Get-MgUser -All | Select-Object @{N='UserPrincipalName';E={$_.UserPrincipalName}},@{N='MFA Status';E={if ($_.StrongAuthenticationRequirements.State){$_.StrongAuthenticationRequirements.State} else {"Disabled"}}},@{N='MFA Methods';E={$_.StrongAuthenticationMethods.methodtype}} | Export-Csv -Path c:\MFA_Report.csv -NoTypeInformation
Дополнительные отчеты MFA
Расширение NPS и адаптер AD FS для активности облачной MFA теперь доступны в журналах входа, а не в конкретном отчете об активности.
События входа с использованием облачной MFA через локальный адаптер AD FS или расширение NPS не будут иметь все поля в журналах входа заполненными из-за того, что локальный компонент возвращает ограниченные данные. Эти события можно определить по идентификатору ресурса adfs или radius в свойствах события. К ним относятся:
- результатПодпись
- идентификатор приложения
- детали устройства
- Статус условного доступа
- контекст аутентификации
- isInteractive
- названиеВыдавателяТокена
- ПодробностиРиска, УровеньРискаАгрегированный, УровеньРискаВоВремяВхода, СостояниеРиска, ТипыСобытийРиска, ТипыСобытийРиска_v2
- протокол аутентификации
- входящийТипТокена
Организации, использующие последнюю версию расширения NPS или Microsoft Entra Connect Health, получат IP-адреса местоположения в событиях.
Дальнейшие действия
В этой статье представлен обзор отчета о действиях при входе. Дополнительные сведения о том, что содержит этот отчет, см. в отчетах о действиях входа в идентификаторе Microsoft Entra.