次の方法で共有


サインイン レポートを使って Microsoft Entra 多要素認証イベントを確認する

Microsoft Entra 多要素認証イベントを確認して理解するには、Microsoft Entra サインイン レポートを使用できます。 このレポートには、ユーザーが多要素認証を要求された場合と、条件付きアクセスポリシーが使用されていた場合のイベントの認証詳細が表示されます。 サインイン レポートの詳細については、Microsoft Entra ID でのサインイン アクティビティ レポートの概要に関するページを参照してください。

Microsoft Entra サインイン レポートを表示する

ヒント

この記事の手順は、開始するポータルによって若干異なる場合があります。

サインイン レポートを確認すると、多要素認証の使用状況に関する情報を含め、マネージド アプリケーションの使用状況とユーザーのサインイン アクティビティに関する情報を把握できます。 また、MFA データから、組織内の MFA の動作状況を洞察することができます。 次のような質問に答えます。

  • MFA を使用したサインイン チャレンジが実行されたかどうか。
  • ユーザーが MFA を完了した方法。
  • どの認証方法でサインインしたか。
  • ユーザーが MFA を完了できなかった理由。
  • MFA チャレンジを受けているユーザー数。
  • MFA チャレンジを完了できないユーザー数。
  • エンド ユーザーが経験している一般的な MFA の問題。

Microsoft Entra 管理センターでサインイン アクティビティ レポートを表示するには、次の手順を実行します。 Reporting API を使用してデータのクエリを実行することもできます。

  1. 少なくとも認証ポリシー管理者として Microsoft Entra 管理センターにサインインします。

  2. [ID] を参照し、左側にあるメニューから [ユーザー]>[All users]\(すべてのユーザー\) を選択します。

  3. 左側のメニューで [サインイン ログ] を選択します。

  4. 状態を含むサインイン イベントの一覧が表示されます。 イベントを選択して詳細を表示することができます。

    イベントの詳細の [条件付きアクセス] タブには、MFA プロンプトをトリガーしたポリシーが表示されます。

    Screenshot of example Microsoft Entra sign-ins report

使用可能な場合は、テキスト メッセージ、Microsoft Authenticator アプリの通知、電話などの認証が表示されます。

[認証の詳細] タブでは、認証の各試行について、次の情報を表示します。

  • 適用される認証ポリシーの一覧 (条件付きアクセス、ユーザーごとの MFA、セキュリティの既定値など)
  • サインインに使用される認証方法のシーケンス
  • 認証試行が成功したかどうか
  • 認証試行が成功または失敗した理由の詳細

こうした情報によって、管理者はユーザーのサインインの各ステップのトラブルシューティングを行い、次の情報を追跡できます。

  • 多要素認証によって保護されるサインインの回数
  • 各認証方法の使用状況と成功率
  • パスワードレス認証方法の使用 (パスワードレス電話サインイン、FIDO2、Windows Hello for Business など)
  • トークン要求によって認証要件が満たされる頻度 (ユーザーが対話形式でパスワードの入力や SMS OTP の入力を求められない場合など)

サインイン レポートを表示しているときに、 [認証の詳細] タブをクリックします。

Screenshot of the Authentication Details tab

Note

OATH 検証コードは、OATH ハードウェア トークンとソフトウェア トークン (Microsoft Authenticator アプリの認証など) の両方で認証方法として記録されます。

重要

[認証の詳細] タブでは、ログ情報が完全に集計されるまでの最初のうちは、不完全または不正確なデータが表示されることがあります。 たとえば、次のような場合が確認されています。

  • サインイン イベントが最初にログに記録された場合、 [トークンの要求によって満たされました] というメッセージが正しく表示されません。
  • [プライマリ認証] の行が最初はログに記録されません。

次の詳細は、サインイン イベントの [認証の詳細] ウィンドウに表示され、MFA 要求が満たされたか拒否されたかを示します。

  • MFA が満たされた場合は、MFA がどのように満たされたかに関する情報がこの列に表示されます。

    • completed in the cloud (クラウドで完了しました)
    • has expired due to the policies configured on tenant (テナントに構成されているポリシーのため期限が切れました)
    • registration prompted (登録がプロンプトされました)
    • satisfied by claim in the token (トークンの要求によって満たされました)
    • satisfied by claim provided by external provider (外部プロバイダーから送信された要求によって満たされました)
    • satisfied by strong authentication (強力な認証によって満たされました)
    • skipped as flow exercised was Windows broker logon flow (実行されたフローが Windows ブローカー ログオン フローのためスキップされました)
    • skipped due to app password (アプリ パスワードによりスキップされました)
    • skipped due to location (場所によりスキップされました)
    • skipped due to registered device (登録済みデバイスによりスキップされました)
    • skipped due to remembered device (記憶済みデバイスによりスキップされました)
    • successfully completed (正常に完了しました)
  • MFA が拒否された場合は、この列に拒否の理由が表示されます。

    • authentication in-progress (認証が進行中)
    • duplicate authentication attempt (重複する認証試行)
    • entered incorrect code too many times (不適切なコードが何度も入力されました)
    • invalid authentication (無効な認証)
    • invalid mobile app verification code (無効なモバイル アプリ確認コード)
    • misconfiguration (構成の誤り)
    • phone call went to voicemail (ボイスメールに対する電話の呼び出し)
    • phone number has an invalid format (電話番号の形式が正しくありません)
    • service error (サービス エラー)
    • unable to reach the user’s phone (ユーザーの電話にアクセスできません)
    • unable to send the mobile app notification to the device (モバイル アプリ通知をデバイスに送信できません)
    • unable to send the mobile app notification (モバイル アプリ通知を送信できません)
    • user declined the authentication (ユーザーが認証を拒否しました)
    • user did not respond to mobile app notification (ユーザーがモバイル アプリ通知に応答しませんでした)
    • user does not have any verification methods registered (ユーザーが確認方法を登録していません)
    • user entered incorrect code (ユーザーが不適切なコードを入力しました)
    • user entered incorrect PIN (ユーザーが不適切な PIN を入力しました)
    • user hung up the phone call without succeeding the authentication (ユーザーが認証に成功しないまま電話を切りました)
    • user is blocked (ユーザーはブロックされています)
    • user never entered the verification code (ユーザーは確認コードを入力しませんでした)
    • user not found (ユーザーが見つかりません)
    • verification code already used once (確認コードは既に使用されています)

MFA に登録されているユーザーを PowerShell がレポート

まず、Microsoft Graph PowerShell SDK インストールのがインストールされていることを確認します。

以下の PowerShell を使用して、MFA に登録しているユーザーを識別します。 この一連のコマンドでは、無効になっているユーザーは、Microsoft Entra ID に対して認証を行うことができないため、除外されます。

Get-MgUser -All | Where-Object {$_.StrongAuthenticationMethods -ne $null -and $_.BlockCredential -eq $False} | Select-Object -Property UserPrincipalName

次の PowerShell コマンドを実行して、MFA に登録されていないユーザーを特定します。 この一連のコマンドでは、無効になっているユーザーは、Microsoft Entra ID に対して認証を行うことができないため、除外されます。

Get-MgUser -All | Where-Object {$_.StrongAuthenticationMethods.Count -eq 0 -and $_.BlockCredential -eq $False} | Select-Object -Property UserPrincipalName

登録されているユーザーと出力方法を識別します。

Get-MgUser -All | Select-Object @{N='UserPrincipalName';E={$_.UserPrincipalName}},@{N='MFA Status';E={if ($_.StrongAuthenticationRequirements.State){$_.StrongAuthenticationRequirements.State} else {"Disabled"}}},@{N='MFA Methods';E={$_.StrongAuthenticationMethods.methodtype}} | Export-Csv -Path c:\MFA_Report.csv -NoTypeInformation

追加の MFA レポート

MFA サーバーのものを含め、MFA イベントでは次の追加情報とレポートを使用できます。

レポート 場所 説明
ユーザーのブロックの履歴 Microsoft Entra ID > [セキュリティ] > [MFA] > [ユーザーのブロック/ブロック解除] ユーザーのブロックまたはブロック解除の要求履歴を表示します。
オンプレミス コンポーネントの利用状況 Microsoft Entra ID > [セキュリティ] > [MFA] > [アクティビティ レポート] MFA サーバーの全体的な使用状況に関する情報を提供します。 クラウド MFA アクティビティの NPS 拡張機能と AD FS のログがサインイン ログに含まれるようになり、このレポートには発行されなくなります。
ユーザーの認証バイパスの履歴 Microsoft Entra ID > [セキュリティ] > [MFA] > [ワンタイム バイパス] MFA Server 要求の履歴を提供して、ユーザーの MFA をバイパスします。
サーバーの状態 Microsoft Entra ID > [セキュリティ] > [MFA] > [サーバーの状態] アカウントに関連付けられている MFA Server の状態を示します。

オンプレミスの AD FS アダプターまたは NPS 拡張機能からのクラウド MFA サインイン イベントでは、オンプレミス コンポーネントによって返されるデータが制限されているため、サインイン ログにすべてのフィールドが設定されるわけではありません。 これらのイベントは、イベント プロパティの resourceID adfs または radius によって識別できます。 これには次のようなものがあります。

  • resultSignature
  • appID
  • deviceDetail
  • conditionalAccessStatus
  • authenticationContext
  • isInteractive
  • tokenIssuerName
  • riskDetail、riskLevelAggregated、riskLevelDuringSignIn、riskState、riskEventTypes、riskEventTypes_v2
  • authenticationProtocol
  • incomingTokenType

最新バージョンの NPS 拡張機能を実行している組織、または Microsoft Entra Connect Health を使用している組織は、イベントで場所の IP アドレスを取得します。

次のステップ

この記事では、サインイン アクティビティ レポートの概要について説明しました。 このレポートの内容について詳しくは、Microsoft Entra ID でのサインイン アクティビティ レポートに関するページを参照してください。