确定登录失败原因可能会迅速成为一项具有挑战性的任务。 需要分析登录尝试期间发生的情况,并研究可用的建议来解决问题。 理想情况下,你希望能够自行解决问题,而无需 Microsoft 支持人员等其他人的帮助。 如果遇到这种情况,可以使用 Microsoft Entra ID 中的登录诊断,该工具可帮助调查 Microsoft Entra ID 中的登录情况。
本文概述登录诊断的定义以及如何使用登录诊断来解决与登录相关的错误。
先决条件
- 通过“支持请求”或“诊断并解决问题”使用登录诊断的最低特权角色是“计费管理员”。
- 若要通过登录日志使用登录诊断,还需要“报告读取者”角色。
- 有关角色的完整列表,请参阅 按任务列出的最低特权角色。
- 还可以从登录诊断中查看已标记的登录事件。
- 用户在其登录体验期间启用标记后,系统将捕获已标记的登录事件。
- 有关详细信息,请参阅已标记的登录。
工作原理
在 Microsoft Entra ID 中,登录尝试由以下项控制:
- 谁执行了登录尝试。
- 如何进行登录尝试。
例如,可以配置条件访问策略,使管理员能够在从公司网络登录时配置租户的所有方面。 但是,当同一用户从不受信任的网络登录同一帐户时,可能会遭到阻止。
由于系统可以更灵活地响应登录尝试,因此可能最终需要解决登录问题。登录诊断是一种工具,旨在通过以下方式自助诊断登录问题:
- 分析登录事件和已标记的登录中的数据。
- 显示有关所发生情况的信息。
- 提供解决问题的建议。
如何访问登录诊断
可以通过三种方式访问 Microsoft Entra ID 中的登录诊断。 选择一个选项卡,了解每个方法。
可以从 Microsoft Entra ID 的“诊断并解决问题”区域启动登录诊断。 在“诊断和解决问题”中,可以查看任何已标记的登录事件或搜索特定的登录事件。 也可以从“条件访问诊断和解决问题”区域启动此进程。
至少以全局读者身份登录到 Microsoft Entra 管理中心。
浏览到左侧导航顶部的“诊断并解决问题”。
- 你还可以从条件访问、使用者、组、标识保护和多重身份验证访问诊断和解决问题。
选择“登录诊断”磁贴上的“故障排除”链接。
选择“所有登录事件”选项卡以开始搜索。
- 某些情况下,系统会自动开始查找已标记的登录事件。 如果找不到任何事件,则会重定向到“所有登录事件”选项卡。
在搜索字段中输入尽可能多的详细信息。
- 用户:提供登录尝试的人员的姓名或电子邮件地址。
- 应用程序:提供应用程序显示名称或应用程序 ID。
- correlationId 或 requestId:可以在错误报告或登录日志详细信息中找到这些详细信息。
- 日期和时间:提供日期和时间以查找在 48 小时内发生的登录事件。
选择“下一步”按钮。
浏览结果并根据需要采取措施。
如何使用诊断结果
登录诊断完成搜索后,屏幕上会显示一些内容。
“身份验证摘要”列出了与你提供的详细信息匹配的所有事件。 选择摘要右上角的“查看列”选项以更改显示的列。
“诊断结果”描述了登录事件期间发生的情况。
方案可能包括条件访问策略的 MFA 要求、可能需要应用条件访问策略的登录事件,或过去 48 小时内大量失败的登录尝试。
可能会提供故障排除工具的相关内容和链接。
通读结果以确定可以执行的任何操作。
由于并非总是可以在不借助其他帮助的情况下解决问题,因此可能建议创建支持工单。
常见方案
查看以下部分中的提示,了解登录诊断可以提供有用的故障排除信息的一些常见场景。
条件访问
条件访问策略用于在必要时应用适当的访问控制来确保组织的安全。 由于条件访问策略可用于授予或阻止对资源的访问权限,因此它们通常会在登录诊断中显示。
条件访问阻止:条件访问策略阻止用户登录。
失败的条件访问:条件访问策略可能过于严格。 查看完整的用户、组和应用集的配置。 确保你了解限制某些类型设备访问的含义。
条件访问中的多重身份验证(MFA):条件访问策略触发了用户的 MFA 过程。
B2B 因条件访问而阻止登录:已设置条件访问策略来阻止外部标识登录。
多重身份验证
可以使用登录诊断工具对多个多重身份验证 (MFA) 相关事件进行故障排除。
来自其他要求的 MFA:如果结果显示 MFA 来自非条件访问的要求,则可能基于单用户启用了 MFA。 建议将每用户 MFA 转换为条件访问。 登录诊断提供有关 MFA 中断源和交互结果的详细信息。
MFA "proofup":MFA 中断了登录尝试,因此诊断结果中提供了有关“proofup”的信息。 当用户首次设置 MFA 且未完成设置或未提前设置其配置时,会出现此错误。
正确和不正确的凭据:有时用户只是输入了错误的凭据。 登录诊断工具可以帮助区分人为错误以及其他问题。
成功登录:在某些情况下,你想了解应该被条件访问或 MFA 中断的登录事件是否未被中断。 登录诊断工具会提供有关应中断但未中断的登录事件的详细信息。
帐户已锁定:用户尝试使用错误的凭证登录的次数过多。 诊断结果有助于确定登录尝试的来源位置,以及这些用户登录尝试是否合法。 有关应用、尝试次数、所用设备、操作系统和 IP 地址的详细信息。 有关详细信息,请参阅 Microsoft Entra Smart Lockout。
用户名或密码无效:用户尝试使用无效的用户名或密码登录时,登录诊断提供了有关应用、尝试次数、所用设备、操作系统和 IP 地址的详细信息。 此信息有助于确定用户是否输入了不正确的凭证,或者应用程序是否缓存了旧密码,并且是否正在重新提交。
企业应用
在企业应用程序中,标识提供者 (Microsoft Entra ID) 应用程序配置或服务提供程序(应用程序服务,也称为 SaaS 应用程序)配置可能会出现问题
企业应用服务提供程序:如果登录由于登录流的服务提供程序(应用程序)端出现问题而失败,则可通过修复应用程序服务上的问题来解决该问题。 需要登录到其他服务,并根据诊断指导更改某些配置。
企业应用配置:如果登录由于应用程序 Microsoft Entra ID 端的配置问题而失败,则需要在企业应用程序中查看和更新应用程序的配置。
安全默认值
由于安全默认设置,登录事件可能会中断。 安全默认值为组织强制实施安全最佳做法。 其中一种最佳做法是要求配置并使用 MFA 来防止密码喷射、重播攻击和网络钓鱼尝试成功。
有关详细信息,请参阅什么是安全默认值?
错误代码见解
如果某个事件在登录诊断中不提供上下文分析数据,则可能会显示更新的错误代码解释和相关内容。 错误代码见解包含有关方案、如何修正问题以及要阅读的有关该问题的任何内容的详细文本。
旧式身份验证
此方案涉及因客户端尝试使用旧式(或基本)身份验证而被阻止或中断的登录事件。
作为确保安全性的最佳做法,建议阻止使用旧式身份验证登录。 旧式身份验证协议(如 POP、SMTP、IMAP 和 MAPI)无法强制执行 MFA,这使它们成为攻击者攻击组织的首选入口点。
有关详细信息,请参阅如何使用条件访问来阻止 Microsoft Entra ID 上的旧式身份验证。
B2B 因条件访问而阻止了登录
此诊断方案检测由于用户来自其他组织而被阻止或中断的登录。 例如 B2B 登录,其中条件访问策略要求将客户端的设备加入资源租户。
有关详细信息,请参阅 B2B 协作用户的条件访问。
被风险策略阻止
在这种情况下,基于风险的条件访问策略会阻止登录尝试,因为登录尝试被识别为有风险。
有关详细信息,请参阅 如何配置和启用风险策略。
直通身份验证
由于直通身份验证是本地和云身份验证技术的集成,因此很难确定问题出自哪里。 此诊断旨在使这些场景更易于诊断和解决。
如果使用的身份验证方法是直通身份验证 (PTA),并且存在 PTA 特定错误,此诊断方案会识别用户特定的登录问题。 由于其他问题而导致的错误,即使正在使用 PTA 身份验证,仍会被正确诊断。
诊断结果显示有关失败和用户登录的上下文信息。 结果可能会显示登录失败的其他原因,以及管理员可采取来解决问题的建议操作。 有关详细信息,请参阅 Microsoft Entra Connect:排查直通身份验证问题。
无缝单一登录
无缝单一登录将 Kerberos 身份验证与云身份验证集成。 由于此方案涉及两种身份验证协议,因此在出现登录问题时,可能很难理解故障点所在。 此诊断旨在使这些场景更易于诊断和解决。
此诊断方案会检查登录失败的上下文和特定失败原因。 诊断结果可能包括有关登录尝试的上下文信息,以及管理员可以采取的建议操作。 有关详细信息,请参阅 Microsoft Entra 无缝单一登录疑难解答。