Microsoft Entra 标记的登录
作为 IT 管理员,你想要尽快解决登录问题,以解除对用户的阻止操作。 由于登录日志中有大量可用数据,因此找到正确的信息可能是一项挑战。
本文概述了标记的登录功能,该功能可通过降低查找相关问题的难度,显著缩短解决用户登录问题所需的时间。
什么是标记的登录?
Microsoft Entra 登录事件对于了解用户登录的情况以及租户中的身份验证配置至关重要。 但是,Microsoft Entra ID 每天要处理超过 80 亿次身份验证,这可能会导致登录事件过多,以至于管理员难以找到重要的登录事件。
标记的登录功能旨在改善需要支持的用户登录的信噪比。 此功能允许用户提高对其需要帮助的登录错误的认识。 管理员和技术支持工作人员还可以从更高效地查找正确的事件中受益。 标记的登录事件包含与其他登录事件相同的信息,但这些事件还表明用户标记了该事件供审核。
你可以将标记的登录用于以下用途:
使用户能够主动指出哪些登录错误需要 IT 管理员支持。
简化查找登录错误的过程。
使技术支持人员能够发现登录错误,而无需最终用户除了标记事件之外执行任何其他操作。
工作原理
当用户看到登录错误时,其可以选择启用标记。 在接下来的 20 分钟内,该用户在同一浏览器和客户端设备或计算机上的任何登录事件都将在登录日志中显示为“已标记为待审阅:是”。 20 分钟后,标记会自动关闭。
用户:如何标记错误
用户在登录期间收到错误。
用户在错误页中选择“查看详细信息”。
在“疑难解答详细信息”部分中,用户选择“启用标记”。
- 文本将更改为“禁用标记”,并且标记功能现已启用。
- 用户必须使用相同的浏览器和客户端,否则事件不会被标记。
打开新的浏览器窗口(在同一浏览器应用程序中),尝试之前失败的登录。
如果重现登录错误,则标记的诊断信息将发送到登录日志。
管理员:在报告中查找标记的事件
登录日志可能需要几分钟才能显示标记的登录事件。
至少以报告读取者身份登录到 Microsoft Entra 管理中心。
浏览到“标识”>“监视和运行状况”>“登录日志”。
打开“添加筛选器”菜单,然后选择“已标记为待审阅”。 将显示所有已标记的事件。
可根据需要应用更多筛选器,以优化事件视图。
选择事件以查看具体情况。
管理员或开发人员:使用 Microsoft Graph 查找标记的事件
可以使用 Microsoft Graph API 找到标记的登录。 有关更多信息,请参阅 signIn 资源类型 Microsoft Graph 文档。
显示所有已标记的登录:
https://graph.microsoft.com/beta/auditLogs/signIns?&$filter=flaggedforReview eq true
按 UPN(例如 user@contoso.com)标记特定用户的登录查询:
https://graph.microsoft.com/beta/auditLogs/signIns?&$filter=flaggedforReview eq true and userPrincipalname eq 'user@contoso.com'
标记特定用户此日期以后的登录查询:
https://graph.microsoft.com/beta/auditLogs/signIns?&$filter=flaggedforReview eq true and createdDateTime ge 2021-10-01 and userPrincipalname eq 'user@contoso.com'
谁可以创建标记的登录?
登录 Microsoft Entra ID 的任何用户(包括成员和来宾用户)都可以标记登录以供审阅。
谁可以审阅标记的登录?
审阅标记的登录事件需要具有在 Microsoft Entra 管理中心内读取登录报告事件的权限。 有关详细信息,请参阅如何访问活动日志。
要点
虽然“标记的登录”和“风险登录”的名称相似,但它们具有不同的功能:
- 标记的登录是用户请求帮助解决的登录错误事件。
- 风险登录是一项 Microsoft Entra ID 保护功能。 有关详细信息,请参阅什么是 Microsoft Entra ID 保护?。