你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

使用登录报告查看 Azure AD 多重身份验证事件

  • 项目

若要查看和了解 Azure AD 多重身份验证事件,可使用 Azure Active Directory (Azure AD) 登录报告。 此报告显示提示用户进行多重身份验证时事件的身份验证详细信息,以及是否正在使用任何条件访问策略。 有关登录报告的详细信息,请参阅 Azure AD 中的登录活动报告概述

本文介绍如何查看 Azure 门户中的 Azure AD 登录报告,然后查看 MSOnline V1 PowerShell 模块。

查看 Azure AD 登录报告

登录报告提供托管应用程序的使用和用户登录活动方面的信息,其中包括多重身份验证 (MFA) 使用方面的信息。 可以通过 MFA 数据了解 MFA 在组织中的使用情况。 它使你能够你回答如下问题:

  • 登录时是否进行了 MFA?
  • 用户如何完成 MFA?
  • 登录期间使用了哪些身份验证方法?
  • 用户无法完成 MFA 的原因是什么?
  • 对多少用户进行了 MFA?
  • 无法完成 MFA 质询的用户有多少?
  • 最终用户遇到的常见 MFA 问题有哪些?

若要查看 Azure 门户中的登录活动报告,请完成以下步骤。 还可以使用报告 API 来查询数据。

  1. 使用拥有全局管理员权限的帐户登录到 Azure 门户

  2. 搜索并选择“Azure Active Directory”,然后从左侧菜单中选择“用户” 。

  3. 从左侧菜单中的“活动”下,选择“登录”。

  4. 显示了登录事件的列表,包括状态。 可以选择一个事件以查看更多详细信息。

    事件详细信息的“身份验证详细信息”或“条件访问”选项卡显示状态代码或触发了 MFA 提示的策略 。

    Screenshot of example Azure Active Directory sign-ins report in the Azure portal

如果可用,将显示身份验证,如短信、Microsoft Authenticator 应用通知或电话呼叫。

“身份验证详细信息”选项卡针对每次身份验证尝试提供以下信息:

  • 应用于身份验证策略的列表(例如条件访问、基于用户的 MFA、安全默认值)
  • 用于登录的身份验证方法序列
  • 身份验证尝试是否成功
  • 有关身份验证尝试成功或失败的原因的详细信息

此信息允许管理员排查用户登录中每个步骤的问题,并进行跟踪:

  • 受多重身份验证保护的登录数量
  • 每个身份验证方法的使用情况和成功率
  • 使用无密码身份验证方法(如无密码的手机登录、FIDO2 和 Windows Hello 企业版)
  • 令牌声明满足身份验证要求的频率(不以交互方式提示用户输入密码、输入短信 OTP 等)

查看登录报告,请选择“身份验证详细信息”:

Screenshot of the Authentication Details tab

注意

OATH 验证码作为 OATH 硬件和软件令牌(Microsoft Authenticator 应用)的身份验证方法被记录。

重要

“身份验证详细信息”选项卡最初显示的数据可能不完整或不准确,直到日志信息完全聚合后才会完整且准确。 已知示例包括:

  • 最初记录登录事件时,会错误地显示以下消息:“满足令牌中的声明”。
  • 最初不会记录“主身份验证”行。

以下详细信息显示在登录事件的“身份验证详细信息”窗口上,该事件显示 MFA 请求是得到满足还是遭到拒绝:

  • 如果 MFA 通过,则此列会提供 MFA 如何通过的详细信息。

    • 已在云中完成
    • 已到期,因为在租户上配置了相关策略
    • 系统提示注册
    • 已通过(根据令牌中的声明)
    • 已通过(根据外部提供程序提供的声明)
    • 已通过(采用强身份验证)
    • 已跳过,因为执行的流为 Windows 中转站登录流
    • 已跳过,因为应用密码原因
    • 已跳过,因为位置原因
    • 已跳过,因为设备已注册
    • 已跳过,因为系统已记住该设备
    • 已成功完成

  • 如果 MFA 未通过,则此列会提供未通过的原因。

    • 身份验证正在进行中
    • 重复进行身份验证尝试
    • 输入错误代码次数过多
    • 身份验证无效
    • 移动应用验证码无效
    • 配置错误
    • 电话呼叫转到语音邮件
    • 电话号码格式无效
    • 服务错误
    • 无法接通用户的电话
    • 无法向设备发送移动应用通知
    • 无法发送移动应用通知
    • 用户已拒绝身份验证
    • 用户未响应移动应用通知
    • 用户没有注册任何验证方法
    • 用户输入了不正确的代码
    • 用户输入了不正确的 PIN
    • 用户挂断了电话,没有成功进行身份验证
    • 用户被阻止
    • 用户从未输入验证代码
    • 找不到用户
    • 验证代码已使用过一次

针对已注册 MFA 用户的 PowerShell 报告

首先,请确保已安装 MSOnline V1 PowerShell 模块

使用后面的 PowerShell 标识已注册 MFA 的用户。 这一组命令会排除已禁用的用户,因为这些帐户无法针对 Azure AD 进行身份验证:

Get-MsolUser -All | Where-Object {$_.StrongAuthenticationMethods -ne $null -and $_.BlockCredential -eq $False} | Select-Object -Property UserPrincipalName

使用后面的 PowerShell 标识未注册 MFA 的用户。 这一组命令会排除已禁用的用户,因为这些帐户无法针对 Azure AD 进行身份验证:

Get-MsolUser -All | Where-Object {$_.StrongAuthenticationMethods.Count -eq 0 -and $_.BlockCredential -eq $False} | Select-Object -Property UserPrincipalName

标识已注册的用户和输出方法:

Get-MsolUser -All | Select-Object @{N='UserPrincipalName';E={$_.UserPrincipalName}},@{N='MFA Status';E={if ($_.StrongAuthenticationRequirements.State){$_.StrongAuthenticationRequirements.State} else {"Disabled"}}},@{N='MFA Methods';E={$_.StrongAuthenticationMethods.methodtype}} | Export-Csv -Path c:\MFA_Report.csv -NoTypeInformation

其他 MFA 报告

以下其他信息和报告可用于 MFA 事件,包括可用于 MFA 服务器的信息和报告:

报表 位置 说明
阻止的用户历史记录 Azure AD > 安全性 > MFA > 阻止/解除阻止用户 显示请求阻止或解除阻止用户的历史记录。
本地组件的使用情况 Azure AD > 安全性 > MFA > 活动报告 提供有关通过 NPS 扩展、ADFS 和 MFA 服务器实现的 MFA 服务器的总体使用情况信息。
跳过的用户历史记录 Azure AD > 安全性 > MFA > 免验证一次 提供 MFA 服务器请求历史记录,请求内容为跳过用户 MFA。
服务器状态 Azure AD > 安全性 > MFA > 服务器状态 显示与帐户关联的 MFA 服务器的状态。

后续步骤

本文提供了登录活动报告的概述。 有关此报告所包含内容的更多详细信息,请参阅 Azure AD 中的登录活动报告