Diagnostische aanmeldingsgegevens voor Microsoft Entra-scenario's

U kunt de diagnostische aanmeldingsfunctie voor Microsoft Entra ID gebruiken om te analyseren wat er is gebeurd tijdens een aanmeldingspoging en aanbevelingen te krijgen voor het oplossen van problemen zonder dat hiervoor Microsoft-ondersteuning nodig is.

In dit artikel vindt u een overzicht van de typen scenario's die u kunt identificeren en oplossen wanneer u dit hulpprogramma gebruikt.

Toegang krijgen tot de diagnostische aanmeldingsgegevens

Er zijn drie manieren om toegang te krijgen tot het hulpprogramma Diagnostische aanmeldingen: vanuit het gebied Problemen vaststellen en oplossen, de aanmeldingslogboeken van Microsoft Entra en bij het maken van een nieuwe ondersteuningsaanvraag. Zie De diagnostische aanmeldingsgegevens gebruiken voor meer informatie.

Voorwaardelijke toegang

Beleidsregels voor voorwaardelijke toegang worden gebruikt om de juiste besturingselementen voor toegang toe te passen wanneer dat nodig is om uw organisatie veilig te houden. Omdat beleidsregels voor voorwaardelijke toegang kunnen worden gebruikt om toegang tot resources te verlenen of te blokkeren, worden ze vaak weergegeven in de diagnostische aanmeldingsfunctie.

Meervoudige verificatie

Er zijn verschillende MFA-gerelateerde gebeurtenissen die u kunt oplossen met behulp van het diagnostische hulpprogramma voor aanmelding.

MFA vanwege andere vereisten

Als in de diagnostische resultaten voor aanmelding MFA wordt weergegeven op basis van een andere vereiste dan voorwaardelijke toegang, is MFA mogelijk per gebruiker ingeschakeld. U wordt aangeraden MFA per gebruiker te converteren naar voorwaardelijke toegang. De diagnostische aanmelding biedt details over de bron van de MFA-onderbreking en het resultaat van de interactie.

MFA 'proofup'

Een ander veelvoorkomend scenario treedt op wanneer MFA aanmeldingspogingen onderbreekt. Wanneer u de diagnostische aanmelding uitvoert, wordt informatie over 'proofup' gegeven in de diagnostische resultaten. Deze fout wordt weergegeven wanneer gebruikers MFA voor het eerst instellen en de installatie niet voltooien of hun configuratie niet van tevoren is ingesteld.

Screenshot of the diagnostic results for MFA proofup.

Juiste en onjuiste referenties

Soms voeren gebruikers alleen de verkeerde referenties in. Het diagnostische hulpprogramma voor aanmelding kan helpen onderscheid te maken tussen menselijke fouten en andere problemen.

Geslaagde aanmelding

In sommige gevallen wilt u weten of aanmeldingsgebeurtenissen niet worden onderbroken door voorwaardelijke toegang of MFA, maar dat moet wel het geval zijn. Het diagnostische hulpprogramma voor aanmelding biedt details over aanmeldingsgebeurtenissen die moeten worden onderbroken, maar niet.

Account vergrendeld

Een ander veelvoorkomend scenario is wanneer een gebruiker zich te vaak probeert aan te melden met onjuiste referenties. Deze fout treedt op wanneer er te veel aanmeldingspogingen op basis van een wachtwoord zijn opgetreden met onjuiste referenties. De diagnostische resultaten bevatten informatie voor de beheerder om te bepalen waar de pogingen vandaan komen en of ze legitieme aanmeldingspogingen van gebruikers zijn of niet. Het uitvoeren van de diagnostische aanmeldingsdiagnose bevat details over de apps, het aantal pogingen, het gebruikte apparaat, het besturingssysteem en het IP-adres. Zie Microsoft Entra Smart Lockout voor meer informatie.

De gebruikersnaam of het wachtwoord is ongeldig

Als een gebruiker zich probeert aan te melden met een ongeldige gebruikersnaam of wachtwoord, helpt de beheerder de oorzaak van het probleem te bepalen met behulp van de diagnostische aanmeldingsdiagnose. De bron kan een gebruiker zijn die onjuiste referenties invoert, of een client en/of toepassing(en) die een oud wachtwoord in de cache heeft opgeslagen en opnieuw verzendt. De diagnostische aanmeldingsgegevens bevatten details over de apps, het aantal pogingen, het gebruikte apparaat, het besturingssysteem en het IP-adres.

Enterprise-apps

In bedrijfstoepassingen zijn er twee punten waar problemen kunnen optreden:

  • De configuratie van de id-provider (Microsoft Entra ID)
  • De configuratie van de serviceprovider (toepassingsservice, ook wel SaaS-toepassing genoemd)

Diagnostische gegevens voor deze problemen hebben betrekking op welke kant van het probleem moet worden bekeken voor oplossing en wat u moet doen

Serviceprovider voor Enterprise-apps

Als de fout is opgetreden toen een gebruiker zich probeerde aan te melden bij een toepassing, is de aanmelding mislukt vanwege een probleem met de serviceprovider (toepassingszijde) van de aanmeldingsstroom. Problemen die zijn gedetecteerd door de aanmeldingsdiagnose, moeten doorgaans worden opgelost door de configuratie te wijzigen of problemen in de toepassingsservice op te lossen. Oplossing voor dit scenario betekent dat u zich moet aanmelden bij de andere service en een configuratie moet wijzigen volgens de diagnostische richtlijnen.

Configuratie van Enterprise-apps

Aanmelden kan mislukken vanwege een probleem met de toepassingsconfiguratie voor de Microsoft Entra-id-zijde van de toepassing. In deze situaties moet de oplossing de configuratie van de toepassing controleren en bijwerken op de pagina Bedrijfstoepassingen voor de toepassing.

Andere scenario's

De diagnostische aanmeldingsdiagnose kan ook in verschillende scenario's worden gebruikt.

Standaardinstellingen voor beveiliging

Aanmeldingsgebeurtenissen kunnen worden onderbroken vanwege de standaardinstellingen voor beveiliging. Standaardinstellingen voor beveiliging dwingen best practice-beveiliging af voor uw organisatie. Een best practice is om te vereisen dat MFA wordt geconfigureerd en gebruikt om wachtwoordsprays, herhalingsaanvallen en phishingpogingen te voorkomen.

Zie Wat zijn de standaardinstellingen voor beveiliging? voor meer informatie.

Inzichten in foutcodes

Wanneer een gebeurtenis geen contextuele analyse heeft in de diagnostische aanmelding, kan er een bijgewerkte uitleg van foutcodes en relevante inhoud worden weergegeven. De inzichten in foutcodes bevatten gedetailleerde tekst over het scenario, het oplossen van het probleem en eventuele inhoud die moet worden gelezen met betrekking tot het probleem.

Verouderde verificatie

Dit scenario omvat een aanmeldingsgebeurtenis die is geblokkeerd of onderbroken omdat de client verouderde verificatie (of basisverificatie) probeerde te gebruiken.

Het wordt vanwege de veiligheid aanbevolen het aanmelden met verouderde verificatie te voorkomen. Verouderde verificatieprotocollen zoals POP, SMTP, IMAP en MAPI kunnen MFA niet afdwingen, waardoor ze voorkeursinvoerpunten hebben voor kwaadwillende personen om uw organisatie aan te vallen.

Zie Verouderde verificatie voor Microsoft Entra-id blokkeren met voorwaardelijke toegang voor meer informatie.

B2B geblokkeerde aanmelding vanwege voorwaardelijke toegang

In dit diagnostische scenario wordt een geblokkeerde of onderbroken aanmelding gedetecteerd omdat de gebruiker afkomstig is van een andere organisatie. Bijvoorbeeld een B2B-aanmelding, waarbij een beleid voor voorwaardelijke toegang vereist dat het apparaat van de client is gekoppeld aan de resourcetenant.

Zie Voorwaardelijke toegang voor gebruikers van B2B-samenwerking voor meer informatie.

Geblokkeerd door risicobeleid

In dit scenario blokkeert Identity Protection-beleid een aanmeldingspoging omdat de aanmeldingspoging is geïdentificeerd als riskant.

Zie Procedure: Risicobeleid configureren en inschakelen voor meer informatie.

Passthrough-verificatie

Omdat passtrough-verificatie een integratie is van on-premises en cloudverificatietechnologieën, kan het lastig zijn om te bepalen waar het probleem zich bevindt. Deze diagnose is bedoeld om deze scenario's gemakkelijker te diagnosticeren en op te lossen.

In dit diagnostische scenario worden gebruikersspecifieke aanmeldingsproblemen geïdentificeerd wanneer de gebruikte verificatiemethode wordt doorgegeven via verificatie (PTA) en er is een specifieke PTA-fout. Fouten als gevolg van andere problemen, zelfs wanneer PTA-verificatie wordt gebruikt, worden nog steeds correct gediagnosticeerd.

De diagnostische resultaten bevatten contextuele informatie over de fout en de gebruiker die zich aanmeldt. De resultaten kunnen andere redenen hebben waarom de aanmelding is mislukt en aanbevolen acties die de beheerder kan ondernemen om het probleem op te lossen. Zie Microsoft Entra Verbinding maken voor meer informatie: Problemen met passthrough-verificatie oplossen.

Naadloze eenmalige aanmelding

Naadloze eenmalige aanmelding integreert Kerberos-verificatie met cloudverificatie. Omdat dit scenario twee verificatieprotocollen omvat, kan het lastig zijn om te begrijpen waar een storingspunt zich bevindt wanneer aanmeldingsproblemen optreden. Deze diagnose is bedoeld om deze scenario's gemakkelijker te diagnosticeren en op te lossen.

In dit diagnostische scenario wordt de context van de aanmeldingsfout en specifieke foutoorzaak onderzocht. De diagnostische resultaten kunnen contextuele informatie bevatten over de aanmeldingspoging en voorgestelde acties die de beheerder kan uitvoeren. Zie Problemen met naadloze eenmalige aanmelding van Microsoft Entra oplossen voor meer informatie.