Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Para revisar e entender os eventos de autenticação multifator do Microsoft Entra, você pode usar os registros de logon do Microsoft Entra. Este relatório mostra detalhes de autenticação para eventos quando um usuário é solicitado a autenticação multifator e se alguma política de Acesso Condicional estava em uso. Para obter informações detalhadas sobre os registros de login, consulte o relatório de visão geral da atividade de login no Microsoft Entra ID.
Observação sobre a interpretação da MFA
Quando um usuário entra interativamente no Microsoft Entra pela primeira vez, ele pode usar qualquer método de autenticação com suporte (incluindo autenticação forte), mesmo que não seja estritamente necessário. Se um usuário optar por autenticar por meio de um método sem senha ou outro método de autenticação forte, o usuário receberá uma declaração de autenticação multifator. Para reduzir a latência e os redirecionamentos desnecessários entre nossos aplicativos e o serviço de autenticação, os provedores de recursos geralmente analisam quaisquer declarações existentes já fornecidas a um usuário que se autentica em vez de solicitar um novo conjunto de declarações a cada vez. Como resultado, é possível que determinados logins possam aparecer como "fator único", apesar de terem um requisito de MFA no aplicativo porque a afirmação anterior de MFA do usuário foi aceita. Nenhum requisito de MFA foi solicitado ou registrado para essa autenticação específica. Para obter uma compreensão precisa do contexto de autenticação, é importante sempre verificar os detalhes da MFA e o método de autenticação raiz associado a cada evento. Não confie apenas no authenticationRequirement campo, pois ele não leva em conta as declarações de MFA previamente atendidas devido ao uso de autenticação forte não exigido explicitamente.
Exibir os logs de entrada do Microsoft Entra
O logs de entradas fornecem informações sobre o uso de aplicativos gerenciados e atividades de entrada do usuário, que inclui informações sobre o uso da autenticação multifator. Os dados de MFA fornecem insights sobre como a MFA está funcionando em sua organização. Ele responde a perguntas como:
- Foi solicitada a autenticação multifator durante a entrada?
- Como o usuário concluiu a MFA?
- Quais métodos de autenticação foram usados durante uma entrada?
- Por que o usuário não pôde concluir a MFA?
- Quantos usuários serão solicitados a concluir o processo de MFA?
- Quantos usuários não conseguem concluir o desafio de MFA?
- Quais são os problemas comuns de MFA que os usuários finais estão enfrentando?
Para exibir o relatório de atividade de entrada no Centro de administração do Microsoft Entra, conclua as etapas a seguir. Você também pode consultar dados usando a API de relatório.
Entre no Centro de administração do Microsoft Entra como pelo menos um Administrador de Política de Autenticação.
Navegue até Entra ID>Users no menu do lado esquerdo.
No menu à esquerda, selecione Logs de entrada.
Uma lista de eventos de login é mostrada, incluindo seu status. Você pode selecionar um evento para exibir mais detalhes.
A guia Acesso Condicional dos detalhes do evento mostra qual política acionou a solicitação de MFA.
Se disponível, a autenticação será mostrada, como mensagem de texto, notificação do aplicativo Microsoft Authenticator ou chamada telefônica.
A guia Detalhes da Autenticação fornece as seguintes informações para cada tentativa de autenticação:
- Uma lista de políticas de autenticação aplicadas (como Acesso Condicional, MFA por usuário, Padrões de Segurança) é visível dentro da exibição detalhada de cada entrada, na seção Acesso Condicional
- A sequência de métodos de autenticação usados para entrar
- Se a tentativa de autenticação foi ou não bem-sucedida
- Detalhes sobre por que a tentativa de autenticação foi bem-sucedida ou falhou
Essas informações permitem que os administradores solucionem problemas em cada etapa na entrada de um usuário e acompanhem:
- Volume de logins protegidos pela autenticação de múltiplos fatores
- Taxas de uso e êxito para cada método de autenticação
- Uso de métodos de autenticação sem senha (como entrada por telefone sem senha, FIDO2 e Windows Hello para Empresas)
- Com que frequência os requisitos de autenticação são atendidos por declarações de token, onde os usuários não são solicitados de forma interativa a inserir uma senha, inserir um OTP recebido por SMS e assim por diante.
Ao exibir os logs de entrada, selecione a guia Detalhes da autenticação:
Observação
O código de verificação OATH é registrado como o método de autenticação para tokens de hardware e software OATH (como o aplicativo Microsoft Authenticator).
Importante
A guia Detalhes da Autenticação pode inicialmente mostrar dados incompletos ou imprecisos até que as informações de log sejam totalmente agregadas. Exemplos conhecidos incluem:
- Uma mensagem Atendido pela declaração no token é exibida de forma incorreta quando os eventos de entrada são registrados inicialmente.
- A linha Autenticação primária inicialmente não é registrada.
Os detalhes a seguir são mostrados na janela Detalhes da Autenticação para um evento de entrada que mostra se a solicitação de MFA foi atendida ou negada:
Se a MFA tiver sido atendida, esaa coluna fornecerá mais informações sobre como a MFA foi atendida.
- concluído na nuvem
- expirou devido às políticas configuradas no locatário
- aviso de registro
- satisfeito por declaração no token
- satisfeito pela declaração fornecida pelo provedor externo
- satisfeito pela autenticação forte
- ignorado porque o fluxo exercitado era o fluxo de logon do agente do Windows
- ignorado devido à senha de aplicativo
- ignorado devido ao local
- ignorado devido ao dispositivo registrado
- ignorado devido ao dispositivo lembrado
- concluído com êxito
Se a MFA fosse negada, esta coluna forneceria o motivo da negação.
- autenticação em andamento
- tentativa de autenticação duplicada
- digitou código incorreto muitas vezes
- autenticação inválida
- código de verificação de aplicativo móvel inválido
- configuração incorreta
- chamada telefônica caiu na caixa postal
- número de telefone tem um formato inválido
- erro de serviço
- não é possível acessar o telefone do usuário
- não é possível enviar a notificação do aplicativo móvel para o dispositivo
- não é possível enviar a notificação do aplicativo móvel
- o usuário recusou a autenticação
- o usuário não respondeu à notificação do aplicativo móvel
- o usuário não tem nenhum método de verificação registrado
- o usuário inseriu código incorreto
- o usuário inseriu PIN incorreto
- o usuário desligou a chamada telefônica sem ter êxito na autenticação
- o usuário está bloqueado
- o usuário nunca inseriu o código de verificação
- usuário não encontrado
- código de verificação já usado uma vez
Relatórios do PowerShell sobre usuários registrados para MFA
Primeiro, verifique se você tem o SDK do Microsoft Graph PowerShell instalado.
Identifique os usuários que se registraram na MFA usando o PowerShell a seguir. Esse conjunto de comandos exclui usuários desabilitados, pois essas contas não podem se autenticar na ID do Microsoft Entra:
Get-MgUser -All | Where-Object {$_.StrongAuthenticationMethods -ne $null -and $_.BlockCredential -eq $False} | Select-Object -Property UserPrincipalName
Identifique os usuários que não estão registrados para MFA executando os seguintes comandos do PowerShell. Esse conjunto de comandos exclui usuários desabilitados, pois essas contas não podem se autenticar na ID do Microsoft Entra:
Get-MgUser -All | Where-Object {$_.StrongAuthenticationMethods.Count -eq 0 -and $_.BlockCredential -eq $False} | Select-Object -Property UserPrincipalName
Identificar usuários e métodos de saída registrados:
Get-MgUser -All | Select-Object @{N='UserPrincipalName';E={$_.UserPrincipalName}},@{N='MFA Status';E={if ($_.StrongAuthenticationRequirements.State){$_.StrongAuthenticationRequirements.State} else {"Disabled"}}},@{N='MFA Methods';E={$_.StrongAuthenticationMethods.methodtype}} | Export-Csv -Path c:\MFA_Report.csv -NoTypeInformation
Relatórios adicionais de MFA
A extensão NPS e o adaptador do AD FS para a atividade de MFA baseada em nuvem agora estão incluídos nos registros de entrada e não em um relatório de atividade específico.
Eventos de login de MFA na nuvem, provenientes de um adaptador local do AD FS ou de uma extensão NPS, não terão todos os campos nos logs de login preenchidos devido à quantidade limitada de dados retornados pelo componente local. Você pode identificar esses eventos pelo ID de recurso adfs ou radius nas propriedades do evento. Elas incluem:
- resultSignature
- appID
- detalhe do dispositivo
- conditionalAccessStatus
- Contexto de autenticação
- isInteractive
- tokenIssuerName
- riskDetail, riskLevelAggregated,riskLevelDuringSignIn, riskState,riskEventTypes, riskEventTypes_v2
- protocolo de autenticação
- incomingTokenType
As organizações que executam a versão mais recente da extensão NPS ou usam o Microsoft Entra Connect Health terão endereço IP de localização em eventos.
Próximas etapas
Este artigo forneceu uma visão geral do relatório de atividade de acessos. Para obter informações mais detalhadas sobre o que este relatório contém, consulte relatórios de atividade de entrada no Microsoft Entra ID.