Параметры создания отчетов для управления паролями Microsoft Entra

После развертывания многие организации хотят знать, как использовать самостоятельный сброс пароля (SSPR) и действительно ли используется эта функция. Функция создания отчетов, которую предоставляет идентификатор Microsoft Entra, помогает ответить на вопросы с помощью предварительно созданных отчетов. При наличии соответствующей лицензии можно также создавать пользовательские запросы.

Следующие вопросы можно ответить на отчеты, которые существуют в Центре администрирования Microsoft Entra:

Примечание.

Вы должны быть глобальным Администратор istrator, и вы должны принять участие в этом сборе данных от имени вашей организации. Чтобы дать согласие, необходимо по крайней мере один раз посетить вкладку Отчеты или просмотреть журналы аудита. Пока это не сделано, данные для вашей организации не собираются.

• Сколько пользователей зарегистрировалось для сброса пароля?
• Кто зарегистрировался для сброса пароля?
• Какие данные регистрируют пользователи?
• Сколько пользователей сбросило пароли за последние 7 дней?
• Каковы наиболее распространенные способы, применяемые пользователями или администраторами для сброса своих паролей?
• С какими наиболее распространенными проблемами сталкиваются пользователи или администраторы при попытке использовать сброс пароля?
• Какие администраторы часто сбрасывают свои пароли?
• Наблюдается ли какая-либо подозрительная активность по сбросу паролей?

Просмотр отчетов об управлении паролями

Совет

Действия, описанные в этой статье, могут немного отличаться на портале, с который вы начинаете работу.

Чтобы просмотреть эти события, сделайте следующее.

1. Войдите в Центр администрирования Microsoft Entra в качестве глобального Администратор istrator.
2. Перейдите к пользователям удостоверений>.
3. В колонке Пользователи выберите Журналы аудита. Здесь отображаются все события аудита, выполняемые в отношении всех пользователей в каталоге. Чтобы просмотреть все связанные с паролем события, это представление можно фильтровать.
4. В меню Фильтр в верхней части панели в раскрывающемся списке Служба выберите Самостоятельное управление паролями.
5. При необходимости этот список можно отфильтровать по определенному действию.

Объединенная регистрация

Объединенные события регистрации и управления сведениями о безопасности можно найти в журналах аудита в разделе "Методы проверки подлинности безопасности>".

Описание столбцов отчета

В следующем списке подробно описан каждый из столбцов отчета:

• Пользователь — пользователь, который предпринял попытку регистрации сброса пароля.
• Роль — роль пользователя в каталоге.
• Дата и время — дата и время попытки.
• Зарегистрированные данные — какие данные для проверки подлинности предоставил пользователь в ходе регистрации сброса пароля.

Описание значений отчета

В следующей таблице описаны различные значения, которые можно задать для каждого столбца:

Column

Допустимые значения и их описание

Зарегистрированные данные

Альтернативный адрес электронной почты — пользователь использовал для аутентификации альтернативный адрес электронной почты или адрес электронной почты для аутентификации. Рабочий телефон — пользователь использовал для аутентификации рабочий телефон. Мобильный телефон — пользователь использовал для аутентификации мобильный телефон или телефон для аутентификации. Контрольные вопросы — пользователь использовал для аутентификации контрольные вопросы. Любое сочетание указанного выше (например, альтернативный адрес электронной почты и мобильный телефон) — отображается, если настроена двухфакторная политика. Показывает, какие два метода применил пользователь для аутентификации своего запроса на сброс пароля.

Типы действий самостоятельного управления паролями

Ниже приведены типы действий, которые отображаются после выбора категории событий аудита Self-Service Password Management (Самостоятельное управление паролями).

• Blocked from self-service password reset (Блокировка самостоятельного сброса пароля). Указывает, что пользователь пытался сбросить пароль, использовать определенный шлюз или проверить телефонный номер более 5 раз подряд за 24 часа.
• Change password (self-service) (Изменение пароля (самостоятельное)). Указывает, что пользователь добровольно или принудительно (из-за истечения срока действия) изменил пароль.
• Сброс пароля (по администратору): указывает, что администратор выполнил сброс пароля от имени пользователя.
• Сброс пароля (самообслуживания) — указывает, что пользователь успешно сбрасывает пароль из сброса пароля Microsoft Entra.
• Ход выполнения самостоятельного сброса пароля. Указывает каждый этап, выполняемый пользователем в рамках процесса сброса пароля (например, прохождение определенного этапа аутентификации для сброса пароля).
• Разблокировка учетной записи пользователя (самообслуживания): указывает, что пользователь успешно разблокировал свою учетную запись Active Directory без сброса пароля из Microsoft Entra с помощью функции разблокировки учетной записи Active Directory без сброса.
• User registered for self-service password reset (Регистрация пользователей для самостоятельного сброса пароля). Указывает, что пользователь зарегистрировал всю информацию, необходимую для сброса пароля в соответствии с указанной политикой сброса пароля клиента.

Тип действия: Blocked from self-service password reset (Блокировка самостоятельного сброса пароля)

В приведенном ниже списке подробно описано это действие.

• Описание действия. Указывает, что пользователь пытался сбросить пароль, использовать определенный шлюз или проверить телефонный номер более 5 раз подряд за 24 часа.
• Субъект действия. Пользователь, не имеющий прав на выполнение дополнительных операций сброса. Это может быть пользователь или администратор.
• Целевой объект действия. Пользователь, не имеющий прав на выполнение дополнительных операций сброса. Это может быть пользователь или администратор.
• Состояние действия:
  • Успешно. Указывает, что пользователь не сможет выполнять дополнительные сбросы, применять любые дополнительные методы аутентификации и проверять любые дополнительные телефонные номера в течение следующих 24 часов.
• Причина сбоя состояния действия. Не применяется.

Тип действия: Change password (self-service) (Изменение пароля (самостоятельное))

В приведенном ниже списке подробно описано это действие.

• Описание действия. Указывает, что пользователь добровольно или принудительно (из-за истечения срока действия) изменил пароль.
• Субъект действия. Пользователь, изменивший свой пароль. Это может быть пользователь или администратор.
• Целевой объект действия. Пользователь, изменивший свой пароль. Это может быть пользователь или администратор.
• Состояния действий:
  • Успешно. Указывает, что пользователь успешно изменил свой пароль.
  • Сбой. Указывает, что во время изменения пароля произошел сбой. Чтобы узнать больше о причине сбоя, щелкните строку и просмотрите категорию Activity Status Reason (Причина состояния действия).
• Причина сбоя состояния действия:
  • FuzzyPolicyViolationInvalidPassword. Пользователь выбрал пароль, автоматически заблокированный функцией обнаружения запрещенных паролей Майкрософт (распространенных или ненадежных паролей).

Тип действия: Reset password (by admin) (Сброс пароля (администратор))

В приведенном ниже списке подробно описано это действие.

• Описание действия. Указывает, что администратор выполнил сброс пароля от имени пользователя.
• Субъект действия. Администратор, сбросивший пароль от имени другого пользователя или администратора. Это должен быть администратор паролей, администратор пользователей или администратор службы технической поддержки.
• Целевой объект действия. Пользователь, чей пароль сброшен. Это может быть пользователь или другой администратор.
• Состояния действий:
  • Успешно. Указывает, что администратор успешно сбросил пароль пользователя.
  • Сбой. Указывает, что во время сброса администратором пароля произошел сбой. Чтобы узнать больше о причине сбоя, щелкните строку и просмотрите категорию Activity Status Reason (Причина состояния действия).
• Дополнительные сведения о действии OnPremisesAgent:
  • Нет. Указывает на сброс только в облаке.
  • Microsoft Entra Подключение: указывает, что пароль был сброшен локально с помощью агента обратной записи Microsoft Entra Подключение.
  • CloudSync: указывает, что пароль был сброшен локально с помощью агента обратной записи Microsoft Entra CloudSync.

Тип действия: Reset password (self-service) (Сброс пароля (самостоятельный))

В приведенном ниже списке подробно описано это действие.

• Описание действия. Указывает, что пользователь успешно сбрасывает пароль из сброса пароля Microsoft Entra.
• Субъект действия. Пользователь, сбросивший свой пароль. Это может быть пользователь или администратор.
• Целевой объект действия. Пользователь, сбросивший свой пароль. Это может быть пользователь или администратор.
• Состояния действий:
  • Успешно. Указывает, что пользователь успешно сбросил свой пароль.
  • Сбой. Указывает, что во время сброса собственного пароля произошел сбой. Чтобы узнать больше о причине сбоя, щелкните строку и просмотрите категорию Activity Status Reason (Причина состояния действия).
• Причина сбоя состояния действия:
  • FuzzyPolicyViolationInvalidPassword. Администратор выбрал пароль, автоматически заблокированный функцией обнаружения запрещенных паролей Майкрософт (распространенных или ненадежных паролей).

Тип действия: ход выполнения самостоятельного сброса пароля

В приведенном ниже списке подробно описано это действие.

• Описание действия. Указывает каждый этап, выполняемый пользователем в рамках процесса сброса пароля (например, прохождение определенного этапа аутентификации для сброса пароля).
• Субъект действия. Пользователь, сбросивший пароль. Это может быть пользователь или администратор.
• Целевой объект действия. Пользователь, сбросивший пароль. Это может быть пользователь или администратор.
• Состояния действий:
  • Успешно. Указывает, что пользователь успешно завершил определенный этап сброса пароля.
  • Сбой. Указывает, что при выполнении определенного этапа сброса пароля произошел сбой. Чтобы узнать больше о причине сбоя, щелкните строку и просмотрите категорию Activity Status Reason (Причина состояния действия).
• Причины состояния действия. Ознакомьтесь со следующей таблицей, содержащей все причины допустимых состояний действий сброса.

Тип действия: "Unlock user account (self-service)" (Разблокирование учетной записи пользователя (самостоятельное))

В приведенном ниже списке подробно описано это действие.

• Описание действия. Указывает, что пользователь успешно разблокировал свою учетную запись Active Directory, не сбрасывая пароль из сброса пароля Microsoft Entra с помощью функции разблокировки учетной записи Active Directory без сброса.
• Субъект действия. Пользователь, разблокировавший свою учетную запись, не сбрасывая пароль. Это может быть пользователь или администратор.
• Целевой объект действия. Пользователь, разблокировавший свою учетную запись, не сбрасывая пароль. Это может быть пользователь или администратор.
• Допустимые состояния действий:
  • Успешно. Указывает, что пользователь успешно разблокировал свою учетную запись.
  • Сбой. Указывает, что во время разблокирования учетной записи произошел сбой. Чтобы узнать больше о причине сбоя, щелкните строку и просмотрите категорию Activity Status Reason (Причина состояния действия).

Тип действия: User registered for self-service password reset (Регистрация пользователей для самостоятельного сброса пароля)

В приведенном ниже списке подробно описано это действие.

• Описание действия. Указывает, что пользователь зарегистрировал всю информацию, необходимую для сброса пароля в соответствии с указанной политикой сброса пароля клиента.
• Субъект действия. Пользователь, зарегистрировавшийся для сброса пароля. Это может быть пользователь или администратор.
• Целевой объект действия. Пользователь, зарегистрировавшийся для сброса пароля. Это может быть пользователь или администратор.
• Допустимые состояния действий:

  • Успешно. Указывает, что пользователь успешно зарегистрировался для сброса пароля в соответствии с текущей политикой.

  • Сбой. Указывает, что во время регистрации для сброса пароля произошел сбой. Чтобы узнать больше о причине сбоя, щелкните строку и просмотрите категорию Activity Status Reason (Причина состояния действия).

    Примечание.

    Сбой не означает, что пользователь не может сбросить свой пароль. Он означает, что пользователь не завершил процесс регистрации. Если в учетной записи содержатся непроверенные, но правильные данные (например, непроверенный телефонный номер), их по-прежнему можно использовать для сброса пароля.

Следующие шаги

• Отчеты об использовании самостоятельного сброса пароля (SSPR) и многофакторной проверки подлинности (MFA) и аналитические отчеты
• Как развернуть самостоятельный сброс пароля?
• Сброс или изменение пароля
• Регистрация для самостоятельного сброса пароля
• Требования к лицензированию самостоятельного сброса пароля в Azure AD
• Какие данные используются для SSPR и какие сведения нужно указывать для пользователей
• Доступные пользователям методы проверки подлинности
• Параметры политики для SSPR
• Что такое обратная запись паролей и каково ее назначение
• Обзор всех параметров SSPR и их значение
• Как устранить неполадки самостоятельного сброса пароля
• Вопросы, не вошедшие в другие статьи