Что такое помеченные входы в идентификатор Microsoft Entra ID?

  • Статья

Если пользователю не удалось войти в систему, ИТ-администратору необходимо устранить проблему как можно скорее, чтобы разблокировать пользователя. Из-за объема доступных данных в журнале входа поиск нужных сведений может быть проблемой.

В этой статье содержатся общие сведения о возможности, значительно сокращающей время, необходимое для решения проблем с входом пользователей, что упрощает поиск связанных проблем.

Что такое помеченные события входа?

События входа в Microsoft Entra критически важны для понимания того, что произошло правильно или неправильно с входами пользователей и конфигурацией проверки подлинности в клиенте. Однако идентификатор Microsoft Entra ID обрабатывает более 8 миллиардов аутентификаций в день, что может привести к тому, что так много событий входа, что администраторы могут найти те, которые имеют значение. Иными словами, из-за большого количества событий входа сигнал пользователей, которым требуется помощь, может затеряться среди огромного количества событий.

Помеченные события входа — это возможность, предназначенная для повышения коэффициента соотношения "сигнал — шум" для событий входа пользователей, которым требуется помощь. С ее помощью пользователи могут сообщать об ошибках входа и запрашивать помощь. Администратор и работники службы поддержки также получают выгоду от поиска правильных событий более эффективно. Помеченные события входа содержат те же сведения, что и другие события входа, но при этом указано, что пользователь пометил событие для просмотра администраторами.

Помеченные входы дают пользователю возможность включить перетаскивание при обнаружении ошибки на странице входа, а затем воспроизвести ошибку. Затем событие ошибки отображается как "Помечено для проверки" в журнале входа Microsoft Entra.

Таким образом, помеченные события входа обеспечивают указанные ниже возможности.

  • Предоставление пользователям возможности указывать ошибки входа, для устранения которых им нужна помощь администраторов арендатора.

  • Упрощение процесса обнаружения ошибок входа, которые пользователю необходимо устранить.

  • Предоставление специалистам службы технической поддержки возможности определять проблемы, для решения которых пользователи хотят получить помощь заранее. При этом пользователю нужно только пометить событие.

Как это работает

Возможность помеченных событий входа позволяет использовать параметр пометки при входе с помощью браузера и получить данные об ошибке проверки подлинности. Когда для пользователя отображается ошибка входа, он может использовать параметр пометки. В течение следующих 20 минут для любого события входа этого пользователя (в том же браузере и на том же клиентском устройстве или компьютере) в отчете о событиях входа будет отображаться "Помечено для рассмотрения: Да". По истечении 20 минут функция пометки автоматически отключается.

Для пользователя: как пометить ошибку

  1. Пользователь получает сообщение об ошибке во время входа в систему.
  2. Пользователь выбирает сведения о просмотре на странице ошибки.
  3. В разделе "Сведения об устранении неполадок" выберите "Включить флаговирование". Текст в параметре изменится на Disable Flagging (Отключить пометку). Параметр пометки теперь включен.
  4. Закройте окно браузера.
  5. Откройте новое окно браузера (в том же приложении браузера) и попытайтесь выполнить тот же вход, который произошел сбоем.
  6. Воспроизведите ошибку входа, которая произошла ранее.

При включенном добавлении тегов необходимо использовать одно и то же приложение браузера и клиент или события не помечены.

Для администратора: поиск помеченных событий в отчетах

  1. Войдите в Центр администрирования Microsoft Entra как минимум глобальный читатель.
  2. Перейдите к журналам мониторинга удостоверений и работоспособности>>входа.
  3. Откройте меню "Добавить фильтры" и выберите "Помечаемый" для проверки. Отобразятся все события, помеченные пользователями.
  4. При необходимости примените дополнительные фильтры для уточнения представления событий.
  5. Выберите событие, чтобы проверить, что произошло.

Для администратора или разработчика: поиск помеченных событий с помощью MS Graph

Помеченные события входа можно найти с помощью отфильтрованного запроса, используя API отчетов по событиям входа.

Отображать все помеченные события входа: https://graph.microsoft.com/beta/auditLogs/signIns?&$filter=flaggedforReview eq true

Помеченный запрос на вход для конкретного пользователя по имени участника-пользователя (например: ): user@contoso.comhttps://graph.microsoft.com/beta/auditLogs/signIns?&$filter=flaggedforReview eq true and userPrincipalname eq 'user@contoso.com'

Помеченные запросы на вход для конкретного пользователя с датой позже указанной: https://graph.microsoft.com/beta/auditLogs/signIns?&$filter=flaggedforReview eq true and createdDateTime ge 2021-10-01 and userPrincipalname eq 'user@contoso.com'

Дополнительные сведения об использовании API Graph для входа в систему см. в статье о типе ресурса signIn.

Кто может создавать помеченные события входа?

Любой пользователь, выполнив вход в Microsoft Entra ID через веб-страницу, может использовать флаги входа для проверки. Пометить ошибки входа для рассмотрения могут как участники, так и гостевые пользователи.

Кто может просматривать помеченные события входа?

Для просмотра помеченных событий входа требуются разрешения на чтение событий отчета о входе в портал Azure. Дополнительные сведения см. в разделе "Доступ к журналам действий".

Чтобы пометить сбои входа, вам не нужны дополнительные разрешения.

Что нужно знать

Хотя имена похожи, помеченные события входа и рискованные входы — это разные возможности:

  • Помеченные события входа — это события ошибок входа, для устранения которых пользователи запрашивают помощь.
  • Рискованный вход — это функциональная возможность для защиты идентификации. Дополнительные сведения см. в статье Общие сведения о защите идентификации.

Следующие шаги