Kombinált biztonsági információk regisztrációja hibaelhárítása
A cikkben szereplő információk célja, hogy útmutatást nyújtsunk azoknak a rendszergazdáknak, akik elhárítják az egyesített regisztrációs felület felhasználói által jelentett problémákat.
Naplók
A kombinált regisztrációhoz naplózott események a Microsoft Entra naplózási naplóinak Hitelesítési módszerek szolgáltatásában találhatók.
Az alábbi táblázat a kombinált regisztráció által generált összes naplózási eseményt felsorolja:
Tevékenység | Állapot | Ok | Leírás |
---|---|---|---|
A felhasználó regisztrálta az összes szükséges biztonsági információt | Siker | A felhasználó regisztrálta az összes szükséges biztonsági információt. | Ez az esemény akkor fordul elő, ha egy felhasználó sikeresen befejezte a regisztrációt. |
A felhasználó regisztrálta az összes szükséges biztonsági információt | Nem sikerült | A felhasználó megszakította a biztonsági adatok regisztrációt. | Ez az esemény akkor fordul elő, ha egy felhasználó megszakítja a regisztrációt a megszakítási módból. |
Felhasználó által regisztrált biztonsági adatok | Siker | Felhasználó által regisztrált metódus. | Ez az esemény akkor fordul elő, ha egy felhasználó regisztrál egy egyéni metódust. A metódus lehet authenticator alkalmazás, Telefon, e-mail, biztonsági kérdések, alkalmazásjelszó, alternatív telefon stb. |
Felhasználó által áttekintett biztonsági adatok | Siker | A felhasználó sikeresen áttekintette a biztonsági adatokat. | Ez az esemény akkor fordul elő, ha egy felhasználó a Biztonsági adatok áttekintési oldalán a Jól néz ki lehetőséget választja. |
Felhasználó által áttekintett biztonsági adatok | Nem sikerült | A felhasználó nem tudta áttekinteni a biztonsági adatokat. | Ez az esemény akkor fordul elő, ha egy felhasználó a Biztonsági adatok áttekintési oldalán a Jól néz ki lehetőséget választja, de valami meghiúsul a háttérrendszeren. |
Felhasználó által törölt biztonsági adatok | Siker | Felhasználó által törölt metódus. | Ez az esemény akkor fordul elő, ha egy felhasználó töröl egy egyéni metódust. A metódus lehet authenticator alkalmazás, Telefon, e-mail, biztonsági kérdések, alkalmazásjelszó, alternatív telefon stb. |
Felhasználó által törölt biztonsági adatok | Nem sikerült | A felhasználó nem tudta törölni a metódust. | Ez az esemény akkor fordul elő, ha egy felhasználó megpróbál törölni egy metódust, de a kísérlet valamilyen okból meghiúsul. A metódus lehet authenticator alkalmazás, Telefon, e-mail, biztonsági kérdések, alkalmazásjelszó, alternatív telefon stb. |
A felhasználó módosította az alapértelmezett biztonsági adatokat | Siker | A felhasználó módosította a metódus alapértelmezett biztonsági adatait. | Ez az esemény akkor fordul elő, ha egy felhasználó módosítja az alapértelmezett módszert. A metódus lehet az Authenticator alkalmazásértesítés, a hitelesítő alkalmazás vagy jogkivonat kódja, a +X XXXXXXXXXX hívása, a +X XXXXXXXXX kód beírása stb. |
A felhasználó módosította az alapértelmezett biztonsági adatokat | Nem sikerült | A felhasználó nem tudta módosítani a metódus alapértelmezett biztonsági adatait. | Ez az esemény akkor fordul elő, ha egy felhasználó megpróbálja módosítani az alapértelmezett módszert, de a kísérlet valamilyen okból meghiúsul. A metódus lehet az Authenticator alkalmazásértesítés, a hitelesítő alkalmazás vagy jogkivonat kódja, a +X XXXXXXXXXX hívása, a +X XXXXXXXXX kód beírása stb. |
Megszakítási mód hibaelhárítása
Tünet | Hibaelhárítási lépések |
---|---|
Nem látom azokat a módszereket, amit elvártam. | 1. Ellenőrizze, hogy a felhasználó rendelkezik-e Microsoft Entra rendszergazdai szerepkörrel. Ha igen, tekintse meg az SSPR felügyeleti szabályzatok eltéréseit. 2. Állapítsa meg, hogy a felhasználó többtényezős hitelesítés vagy SSPR-regisztráció kényszerítése miatt megszakadt-e. Tekintse meg a folyamatábrát a "Kombinált regisztrációs módok" területen annak meghatározásához, hogy mely módszerek jelenjenek meg. 3. Állapítsa meg, hogy a többtényezős hitelesítés vagy az SSPR-szabályzat milyen közelmúltban módosult. Ha a módosítás legutóbbi volt, a frissített szabályzat propagálása eltarthat egy ideig. |
Felügyeleti mód hibaelhárítása
Tünet | Hibaelhárítási lépések |
---|---|
Nincs lehetőségem egy adott módszer hozzáadására. | 1. Határozza meg, hogy a metódus engedélyezve van-e a többtényezős hitelesítéshez vagy az SSPR-hez. 2. Ha a módszer engedélyezve van, mentse újra a szabályzatokat, és várjon 1–2 órát, mielőtt újra teszteli. 3. Ha a metódus engedélyezve van, győződjön meg arról, hogy a felhasználó még nem állította be a beállított metódus maximális számát. |
Felhasználók visszaállítása
Ha ön rendszergazdaként szeretné visszaállítani a felhasználó többtényezős hitelesítési beállításait, használhatja a következő szakaszban megadott PowerShell-szkriptet. A szkript törli a felhasználó mobilalkalmazásának StrongAuthenticationMethods tulajdonságát és/vagy telefonszámát. Ha ezt a szkriptet futtatja a felhasználók számára, szükség esetén újra regisztrálniuk kell a többtényezős hitelesítésre. Javasoljuk, hogy az összes érintett felhasználó visszaállítása előtt tesztelje a visszaállítást egy vagy két felhasználóval.
Az alábbi lépések segítenek a felhasználók vagy felhasználók csoportjának visszaállításában.
Előfeltételek
Fontos
Az Azure AD PowerShell a tervek szerint 2024. március 30-án elavul. További információkért olvassa el az elavulás frissítését. Javasoljuk, hogy migráljon a Microsoft Graph PowerShellbe a Microsoft Entra ID (korábbi nevén Azure AD) használatához. A Microsoft Graph PowerShell minden Microsoft Graph API-hoz hozzáférést biztosít, és elérhető a PowerShell 7-ben. A gyakori migrálási lekérdezésekre adott válaszokért tekintse meg a migrálással kapcsolatos gyakori kérdéseket.
Telepítse a megfelelő Azure AD PowerShell-modulokat. PowerShell-ablakban futtassa az alábbi parancsokat a modulok telepítéséhez:
Install-Module -Name MSOnline Import-Module MSOnline
Mentse az érintett felhasználói objektumazonosítók listáját a számítógépre szövegfájlként, soronként egy azonosítóval. Jegyezze fel a fájl helyét.
Mentse a következő szkriptet a számítógépre, és jegyezze fel a szkript helyét:
<# //******************************************************** //* * //* Copyright (C) Microsoft. All rights reserved. * //* * //******************************************************** #> param($path) # Define Remediation Fn function RemediateUser { param ( $ObjectId ) $user = Get-MsolUser -ObjectId $ObjectId Write-Host "Checking if user is eligible for rollback: UPN: " $user.UserPrincipalName " ObjectId: " $user.ObjectId -ForegroundColor Yellow $hasMfaRelyingParty = $false foreach($p in $user.StrongAuthenticationRequirements) { if ($p.RelyingParty -eq "*") { $hasMfaRelyingParty = $true Write-Host "User was enabled for per-user MFA." -ForegroundColor Yellow } } if ($user.StrongAuthenticationMethods.Count -gt 0 -and -not $hasMfaRelyingParty) { Write-Host $user.UserPrincipalName " is eligible for rollback" -ForegroundColor Yellow Write-Host "Rolling back user ..." -ForegroundColor Yellow Reset-MsolStrongAuthenticationMethodByUpn -UserPrincipalName $user.UserPrincipalName Write-Host "Successfully rolled back user " $user.UserPrincipalName -ForegroundColor Green } else { Write-Host $user.UserPrincipalName " is not eligible for rollback. No action required." } Write-Host "" Start-Sleep -Milliseconds 750 } # Connect Import-Module MSOnline Connect-MsolService foreach($line in Get-Content $path) { RemediateUser -ObjectId $line }
Visszaállítás
Egy PowerShell-ablakban futtassa a következő parancsot a szkript és a felhasználói fájl helyének megadásával. Amikor a rendszer kéri, adja meg a globális rendszergazdai hitelesítő adatokat. A szkript az egyes felhasználói frissítési műveletek eredményét adja ki.
<script location> -path <user file location>