Kombinált biztonsági információk regisztrációja hibaelhárítása

  • Cikk

A cikkben szereplő információk célja, hogy útmutatást nyújtsunk azoknak a rendszergazdáknak, akik elhárítják az egyesített regisztrációs felület felhasználói által jelentett problémákat.

Naplók

A kombinált regisztrációhoz naplózott események a Microsoft Entra naplózási naplóinak Hitelesítési módszerek szolgáltatásában találhatók.

A Microsoft Entra naplózási naplóinak felülete, amelyen a regisztrációs események láthatók

Az alábbi táblázat a kombinált regisztráció által generált összes naplózási eseményt felsorolja:

Tevékenység Állapot Ok Leírás
A felhasználó regisztrálta az összes szükséges biztonsági információt Siker A felhasználó regisztrálta az összes szükséges biztonsági információt. Ez az esemény akkor fordul elő, ha egy felhasználó sikeresen befejezte a regisztrációt.
A felhasználó regisztrálta az összes szükséges biztonsági információt Nem sikerült A felhasználó megszakította a biztonsági adatok regisztrációt. Ez az esemény akkor fordul elő, ha egy felhasználó megszakítja a regisztrációt a megszakítási módból.
Felhasználó által regisztrált biztonsági adatok Siker Felhasználó által regisztrált metódus. Ez az esemény akkor fordul elő, ha egy felhasználó regisztrál egy egyéni metódust. A metódus lehet authenticator alkalmazás, Telefon, e-mail, biztonsági kérdések, alkalmazásjelszó, alternatív telefon stb.
Felhasználó által áttekintett biztonsági adatok Siker A felhasználó sikeresen áttekintette a biztonsági adatokat. Ez az esemény akkor fordul elő, ha egy felhasználó a Biztonsági adatok áttekintési oldalán a Jól néz ki lehetőséget választja.
Felhasználó által áttekintett biztonsági adatok Nem sikerült A felhasználó nem tudta áttekinteni a biztonsági adatokat. Ez az esemény akkor fordul elő, ha egy felhasználó a Biztonsági adatok áttekintési oldalán a Jól néz ki lehetőséget választja, de valami meghiúsul a háttérrendszeren.
Felhasználó által törölt biztonsági adatok Siker Felhasználó által törölt metódus. Ez az esemény akkor fordul elő, ha egy felhasználó töröl egy egyéni metódust. A metódus lehet authenticator alkalmazás, Telefon, e-mail, biztonsági kérdések, alkalmazásjelszó, alternatív telefon stb.
Felhasználó által törölt biztonsági adatok Nem sikerült A felhasználó nem tudta törölni a metódust. Ez az esemény akkor fordul elő, ha egy felhasználó megpróbál törölni egy metódust, de a kísérlet valamilyen okból meghiúsul. A metódus lehet authenticator alkalmazás, Telefon, e-mail, biztonsági kérdések, alkalmazásjelszó, alternatív telefon stb.
A felhasználó módosította az alapértelmezett biztonsági adatokat Siker A felhasználó módosította a metódus alapértelmezett biztonsági adatait. Ez az esemény akkor fordul elő, ha egy felhasználó módosítja az alapértelmezett módszert. A metódus lehet az Authenticator alkalmazásértesítés, a hitelesítő alkalmazás vagy jogkivonat kódja, a +X XXXXXXXXXX hívása, a +X XXXXXXXXX kód beírása stb.
A felhasználó módosította az alapértelmezett biztonsági adatokat Nem sikerült A felhasználó nem tudta módosítani a metódus alapértelmezett biztonsági adatait. Ez az esemény akkor fordul elő, ha egy felhasználó megpróbálja módosítani az alapértelmezett módszert, de a kísérlet valamilyen okból meghiúsul. A metódus lehet az Authenticator alkalmazásértesítés, a hitelesítő alkalmazás vagy jogkivonat kódja, a +X XXXXXXXXXX hívása, a +X XXXXXXXXX kód beírása stb.

Megszakítási mód hibaelhárítása

Tünet Hibaelhárítási lépések
Nem látom azokat a módszereket, amit elvártam. 1. Ellenőrizze, hogy a felhasználó rendelkezik-e Microsoft Entra rendszergazdai szerepkörrel. Ha igen, tekintse meg az SSPR felügyeleti szabályzatok eltéréseit.
2. Állapítsa meg, hogy a felhasználó többtényezős hitelesítés vagy SSPR-regisztráció kényszerítése miatt megszakadt-e. Tekintse meg a folyamatábrát a "Kombinált regisztrációs módok" területen annak meghatározásához, hogy mely módszerek jelenjenek meg.
3. Állapítsa meg, hogy a többtényezős hitelesítés vagy az SSPR-szabályzat milyen közelmúltban módosult. Ha a módosítás legutóbbi volt, a frissített szabályzat propagálása eltarthat egy ideig.

Felügyeleti mód hibaelhárítása

Tünet Hibaelhárítási lépések
Nincs lehetőségem egy adott módszer hozzáadására. 1. Határozza meg, hogy a metódus engedélyezve van-e a többtényezős hitelesítéshez vagy az SSPR-hez.
2. Ha a módszer engedélyezve van, mentse újra a szabályzatokat, és várjon 1–2 órát, mielőtt újra teszteli.
3. Ha a metódus engedélyezve van, győződjön meg arról, hogy a felhasználó még nem állította be a beállított metódus maximális számát.

Felhasználók visszaállítása

Ha ön rendszergazdaként szeretné visszaállítani a felhasználó többtényezős hitelesítési beállításait, használhatja a következő szakaszban megadott PowerShell-szkriptet. A szkript törli a felhasználó mobilalkalmazásának StrongAuthenticationMethods tulajdonságát és/vagy telefonszámát. Ha ezt a szkriptet futtatja a felhasználók számára, szükség esetén újra regisztrálniuk kell a többtényezős hitelesítésre. Javasoljuk, hogy az összes érintett felhasználó visszaállítása előtt tesztelje a visszaállítást egy vagy két felhasználóval.

Az alábbi lépések segítenek a felhasználók vagy felhasználók csoportjának visszaállításában.

Előfeltételek

Fontos

Az Azure AD PowerShell a tervek szerint 2024. március 30-án elavul. További információkért olvassa el az elavulás frissítését. Javasoljuk, hogy migráljon a Microsoft Graph PowerShellbe a Microsoft Entra ID (korábbi nevén Azure AD) használatához. A Microsoft Graph PowerShell minden Microsoft Graph API-hoz hozzáférést biztosít, és elérhető a PowerShell 7-ben. A gyakori migrálási lekérdezésekre adott válaszokért tekintse meg a migrálással kapcsolatos gyakori kérdéseket.

  1. Telepítse a megfelelő Azure AD PowerShell-modulokat. PowerShell-ablakban futtassa az alábbi parancsokat a modulok telepítéséhez:

    Install-Module -Name MSOnline
Import-Module MSOnline

  2. Mentse az érintett felhasználói objektumazonosítók listáját a számítógépre szövegfájlként, soronként egy azonosítóval. Jegyezze fel a fájl helyét.

  3. Mentse a következő szkriptet a számítógépre, és jegyezze fel a szkript helyét:

    <# 
//********************************************************
//*                                                      *
//*   Copyright (C) Microsoft. All rights reserved.      *
//*                                                      *
//********************************************************
#>

param($path)

# Define Remediation Fn
function RemediateUser {

    param  
    (
        $ObjectId
    )

    $user = Get-MsolUser -ObjectId $ObjectId

    Write-Host "Checking if user is eligible for rollback: UPN: "  $user.UserPrincipalName  " ObjectId: "  $user.ObjectId -ForegroundColor Yellow

    $hasMfaRelyingParty = $false
    foreach($p in $user.StrongAuthenticationRequirements)
    {
        if ($p.RelyingParty -eq "*")
        {
            $hasMfaRelyingParty = $true
            Write-Host "User was enabled for per-user MFA." -ForegroundColor Yellow
        }
    }

    if ($user.StrongAuthenticationMethods.Count -gt 0 -and -not $hasMfaRelyingParty)
    {
        Write-Host $user.UserPrincipalName " is eligible for rollback" -ForegroundColor Yellow
        Write-Host "Rolling back user ..." -ForegroundColor Yellow
        Reset-MsolStrongAuthenticationMethodByUpn -UserPrincipalName $user.UserPrincipalName
        Write-Host "Successfully rolled back user " $user.UserPrincipalName -ForegroundColor Green
    }
    else
    {
        Write-Host $user.UserPrincipalName " is not eligible for rollback. No action required."
    }

    Write-Host ""
    Start-Sleep -Milliseconds 750
}

# Connect
Import-Module MSOnline
Connect-MsolService

foreach($line in Get-Content $path)
{
    RemediateUser -ObjectId $line
}

Visszaállítás

Egy PowerShell-ablakban futtassa a következő parancsot a szkript és a felhasználói fájl helyének megadásával. Amikor a rendszer kéri, adja meg a globális rendszergazdai hitelesítő adatokat. A szkript az egyes felhasználói frissítési műveletek eredményét adja ki.

<script location> -path <user file location>

Következő lépések