Параметры создания отчетов для управления паролями Microsoft Entra

После развертывания многие организации хотят знать, как или если самостоятельное сброс пароля (SSPR) действительно используется. Функция создания отчетов, которую предоставляет идентификатор Microsoft Entra, помогает ответить на вопросы с помощью предварительно созданных отчетов. Если вы имеете соответствующую лицензию, вы также можете создать настраиваемые запросы.

Отчеты о SSPR с помощью журналов аудита в идентификаторе Microsoft Entra

Следующие вопросы можно ответить на отчеты, которые существуют в Центре администрирования Microsoft Entra:

Заметка

Для управления этой функцией требуется глобальный администратор .

Для сбора этих данных от имени вашей организации необходимо принять участие. Чтобы принять участие, необходимо посетить вкладку "Отчеты " или журналы аудита по крайней мере один раз. До тех пор данные не собираются для вашей организации.

  • Сколько пользователей зарегистрировано для сброса пароля?
  • Кто зарегистрировался для сброса пароля?
  • Какие данные регистрируются?
  • Сколько людей сбрасывают пароли за последние семь дней?
  • Каковы наиболее распространенные методы, которые пользователи или администраторы используют для сброса паролей?
  • Что такое распространенные проблемы, с которыми сталкиваются пользователи или администраторы при попытке сбросить пароль?
  • Какие администраторы часто сбрасывают свои пароли?
  • Происходит ли подозрительное действие с сбросом пароля?

Просмотр отчетов об управлении паролями

Кончик

Действия, описанные в этой статье, могут немного отличаться на портале, с который вы начинаете работу.

Чтобы найти события регистрации сброса пароля и сброса пароля, выполните следующие действия.

  1. Войдите в Центр администрирования Microsoft Entra в качестве глобального администратора.
  2. Перейдите к пользователям удостоверений>.
  3. Выберите журналы аудита в колонке "Пользователи". В этом разделе показаны все события аудита, произошедшие со всеми пользователями в каталоге. Вы можете отфильтровать это представление, чтобы просмотреть все события, связанные с паролем.
  4. В меню "Фильтр" в верхней части области выберите раскрывающийся список службы и измените его на тип службы самообслуживания управления паролями.
  5. Дополнительно отфильтруйте список, выбрав интересующее вас действие .

Объединенная регистрация

Объединенные события регистрации и управления сведениями о безопасности можно найти в журналах аудита в разделе "Методы проверки подлинности безопасности>".

Описание столбцов отчета

В следующем списке подробно описаны все столбцы отчета:

  • Пользователь: пользователь, который попытался выполнить операцию регистрации сброса пароля.
  • Роль: роль пользователя в каталоге.
  • Дата и время: дата и время попытки.
  • Зарегистрированные данные: данные проверки подлинности, предоставленные пользователем во время регистрации сброса пароля.

Описание значений отчета

В следующей таблице описаны различные значения, которые можно задать для каждого столбца:

Столбец Допустимые значения и их значения
Зарегистрированные данные Альтернативное сообщение электронной почты: пользователь использовал альтернативный адрес электронной почты или электронную почту проверки подлинности.

Office phone: пользователь использовал офисный телефон для проверки подлинности.

Мобильный телефон: пользователь использовал мобильный телефон или телефон проверки подлинности для проверки подлинности.

Вопросы безопасности: пользователь использовал вопросы безопасности для проверки подлинности.

Любое сочетание предыдущих методов, например альтернативный адрес электронной почты и мобильный телефон: возникает при указании политики двух шлюзов и показывает, какие два метода пользователь использовал для проверки подлинности запроса на сброс пароля.

Типы действий самостоятельного управления паролями

Следующие типы действий отображаются в категории событий аудита самостоятельного управления паролями :

Тип действия: заблокирован самостоятельный сброс пароля

В следующем списке подробно описано следующее действие:

  • Описание действия. Указывает, что пользователь пытался сбросить пароль, использовать определенный шлюз или проверить номер телефона более пяти раз в течение 24 часов.
  • Субъект действия: пользователь, который был отрегулировал выполнение дополнительных операций сброса. Пользователь может быть конечным пользователем или администратором.
  • Цель действия: пользователь, который был регулированием от выполнения дополнительных операций сброса. Пользователь может быть конечным пользователем или администратором.
  • Состояние действия:
    • Успех. Указывает, что пользователь был отрегулировать любые дополнительные сбросы, попытаться выполнить дополнительные методы проверки подлинности или проверка дополнительных номеров телефонов в течение следующих 24 часов.
  • Причина сбоя состояния действия: неприменимо.

Тип действия: изменение пароля (самообслуживание)

В следующем списке подробно описано следующее действие:

  • Описание действия. Указывает, что пользователь выполнил добровольное или принудительное изменение пароля (из-за истечения срока действия).
  • Субъект действия: пользователь, который изменил свой пароль. Пользователь может быть конечным пользователем или администратором.
  • Цель действия: пользователь, который изменил свой пароль. Пользователь может быть конечным пользователем или администратором.
  • Состояния действий:
    • Успешное выполнение. Указывает, что пользователь успешно изменил свой пароль.
    • Сбой. Указывает, что пользователь не смог изменить пароль. Вы можете выбрать строку, чтобы просмотреть категорию причин состояния действия, чтобы узнать больше о том, почему произошел сбой.
  • Причина сбоя состояния действия:
    • FuzzyPolicyViolationInvalidPassword: пользователь выбрал пароль, который был автоматически запрещен, так как возможности обнаружения запрещенных паролей Майкрософт обнаружили, что это слишком распространено или особенно слабо.

Тип действия: сброс пароля (по администратору)

В следующем списке подробно описано следующее действие:

  • Описание действия. Указывает, что администратор выполнил сброс пароля от имени пользователя.
  • Субъект действия: администратор, который выполнил сброс пароля от имени другого конечного пользователя или администратора. Должен быть администратором паролей, администратором пользователя или администратором службы технической поддержки.
  • Цель действия: пользователь, пароль которого был сброшен. Пользователь может быть конечным пользователем или другим администратором.
  • Состояния действий:
    • Успех. Указывает, что администратор успешно сбрасывает пароль пользователя.
    • Сбой. Указывает, что администратор не смог изменить пароль пользователя. Вы можете выбрать строку, чтобы просмотреть категорию причин состояния действия, чтобы узнать больше о том, почему произошел сбой.
  • Дополнительные сведения о действии OnPremisesAgent:
    • Нет: указывает на сброс только для облака.
    • Microsoft Entra Connect: указывает, что пароль был сброшен локально с помощью агента обратной записи Microsoft Entra Connect.
    • CloudSync: указывает, что пароль был сброшен локально с помощью агента обратной записи Microsoft Entra CloudSync.

Тип действия: сброс пароля (самообслуживание)

В следующем списке подробно описано следующее действие:

  • Описание действия. Указывает, что пользователь успешно сбрасывает пароль из сброса пароля Microsoft Entra.
  • Субъект действия: пользователь, который сбрасывает свой пароль. Пользователь может быть конечным пользователем или администратором.
  • Цель действия: пользователь, который сбрасывает пароль. Пользователь может быть конечным пользователем или администратором.
  • Состояния действий:
    • Успех. Указывает, что пользователь успешно сбрасывает свой пароль.
    • Сбой. Указывает, что пользователь не смог сбросить свой пароль. Вы можете выбрать строку, чтобы просмотреть категорию причин состояния действия, чтобы узнать больше о том, почему произошел сбой.
  • Причина сбоя состояния действия:
    • FuzzyPolicyViolationInvalidPassword: администратор выбрал пароль, который был автоматически запрещен, так как возможности обнаружения запрещенных паролей Майкрософт обнаружили, что это слишком распространено или особенно слабо.

Тип действия: ход выполнения действия самостоятельного сброса пароля

В следующем списке подробно описано следующее действие:

  • Описание действия. Указывает, что каждый конкретный шаг, через который пользователь переходит (например, передача определенного шлюза проверки подлинности сброса пароля) в рамках процесса сброса пароля.
  • Субъект действия: пользователь, который выполнил часть потока сброса пароля. Пользователь может быть конечным пользователем или администратором.
  • Цель действия: пользователь, который выполнил часть потока сброса пароля. Пользователь может быть конечным пользователем или администратором.
  • Состояния действий:
    • Успешное выполнение. Указывает, что пользователь успешно выполнил определенный шаг потока сброса пароля.
    • Сбой. Указывает, что сбой определенного шага потока сброса пароля. Вы можете выбрать строку, чтобы просмотреть категорию причин состояния действия, чтобы узнать больше о том, почему произошел сбой.
  • Причины состояния действия. См. следующую таблицу по всем причинам допустимого сброса состояния действия.

Тип действия: разблокировка учетной записи пользователя (самообслуживание)

В следующем списке подробно описано следующее действие:

  • Описание действия. Указывает, что пользователь успешно разблокировал свою учетную запись Active Directory, не сбрасывая пароль из сброса пароля Microsoft Entra с помощью функции разблокировки учетной записи Active Directory без сброса.
  • Субъект действия: пользователь, который разблокировал свою учетную запись без сброса пароля. Пользователь может быть конечным пользователем или администратором.
  • Цель действия: пользователь, который разблокировал свою учетную запись без сброса пароля. Пользователь может быть конечным пользователем или администратором.
  • Допустимые состояния действий:
    • Успех. Указывает, что пользователь успешно разблокировал свою учетную запись.
    • Сбой. Указывает, что пользователь не смог разблокировать свою учетную запись. Вы можете выбрать строку, чтобы просмотреть категорию причин состояния действия, чтобы узнать больше о том, почему произошел сбой.

Тип действия: пользователь, зарегистрированный для самостоятельного сброса пароля

В следующем списке подробно описано следующее действие:

  • Описание действия. Указывает, что пользователь зарегистрировал все необходимые сведения для сброса пароля в соответствии с политикой сброса пароля в текущем клиенте.
  • Субъект действия: пользователь, зарегистрированный для сброса пароля. Пользователь может быть конечным пользователем или администратором.
  • Цель действия: пользователь, зарегистрированный для сброса пароля. Пользователь может быть конечным пользователем или администратором.
  • Допустимые состояния действий:
    • Успешное выполнение. Указывает, что пользователь успешно зарегистрирован для сброса пароля в соответствии с текущей политикой.

    • Сбой. Указывает, что пользователь не смог зарегистрировать для сброса пароля. Вы можете выбрать строку, чтобы просмотреть категорию причин состояния действия, чтобы узнать больше о том, почему произошел сбой.

      Заметка

      Сбой не означает, что пользователь не может сбросить свой пароль. Это означает, что они не завершили процесс регистрации. Если в учетной записи есть неотверенные данные, такие как номер телефона, который не проверен, даже если они не проверили этот номер телефона, они по-прежнему могут использовать его для сброса пароля.

Дальнейшие действия