Aracılığıyla paylaş

Birleşik güvenlik bilgileri kaydı sorunlarını giderme

  • Makale

Bu makaledeki bilgiler, birleşik kayıt deneyiminin kullanıcıları tarafından bildirilen sorunları gideren yöneticilere yol göstermeye yöneliktir.

Denetim günlükleri

Birleşik kayıt için günlüğe kaydedilen olaylar, Microsoft Entra denetim günlüklerindeki Kimlik Doğrulama Yöntemleri hizmetindedir.

Kayıt olaylarını gösteren Microsoft Entra denetim günlükleri arabirimi

Aşağıdaki tabloda, birleşik kayıt tarafından oluşturulan tüm denetim olayları listelenir:

Etkinlik Durum Neden Açıklama
Kullanıcı tüm gerekli güvenlik bilgilerini kaydetti Başarılı Kullanıcı tüm gerekli güvenlik bilgilerini kaydetti. Bu olay, kullanıcı kaydı başarıyla tamamladığında oluşur.
Kullanıcı tüm gerekli güvenlik bilgilerini kaydetti Hata Kullanıcı güvenlik bilgileri kaydını iptal etti. Bu olay, kullanıcı kesme modundan kaydı iptal ettiğinde oluşur.
Kullanıcı tarafından kaydedilen güvenlik bilgileri Başarılı Kullanıcı kayıtlı yöntemi. Bu olay, kullanıcı tek bir yöntemi kaydettirdiğinde oluşur. Yöntem Authenticator uygulaması, Telefon, E-posta, Güvenlik soruları, Uygulama parolası, Alternatif telefon vb. olabilir.
Kullanıcı güvenlik bilgilerini gözden geçirdi Başarılı Kullanıcı güvenlik bilgilerini başarıyla gözden geçirdi. Bu olay, bir kullanıcı güvenlik bilgileri gözden geçirme sayfasında İyi görünüyor'ı seçtiğinde gerçekleşir.
Kullanıcı güvenlik bilgilerini gözden geçirdi Hata Kullanıcı güvenlik bilgilerini gözden geçiremedi. Bu olay, bir kullanıcı güvenlik bilgileri gözden geçirme sayfasında İyi görünüyor'ı seçtiğinde ancak arka uçta bir şey başarısız olduğunda oluşur.
Kullanıcı güvenlik bilgilerini sildi Başarılı Kullanıcı silme yöntemi. Bu olay, kullanıcı tek bir yöntemi sildiğinde oluşur. Yöntem Authenticator uygulaması, Telefon, E-posta, Güvenlik soruları, Uygulama parolası, Alternatif telefon vb. olabilir.
Kullanıcı güvenlik bilgilerini sildi Hata Kullanıcı yöntemi silemedi. Bu olay, kullanıcı bir yöntemi silmeye çalıştığında ancak bir nedenden dolayı deneme başarısız olduğunda oluşur. Yöntem Authenticator uygulaması, Telefon, E-posta, Güvenlik soruları, Uygulama parolası, Alternatif telefon vb. olabilir.
Kullanıcı varsayılan güvenlik bilgilerini değiştirdi Başarılı Kullanıcı yöntemi için varsayılan güvenlik bilgilerini değiştirdi. Bu olay, kullanıcı varsayılan yöntemi değiştirdiğinde gerçekleşir. Yöntem Authenticator uygulama bildirimi, Kimlik doğrulayıcı uygulamamdan veya belirtecimden gelen bir kod, +X XXXXXXXXXXX çağrısı, +X XXXXXXXXXX'e kod metinle vb. olabilir.
Kullanıcı varsayılan güvenlik bilgilerini değiştirdi Hata Kullanıcı yöntemi için varsayılan güvenlik bilgilerini değiştiremedi. Bu olay, bir kullanıcı varsayılan yöntemi değiştirmeye çalıştığında ancak bir nedenden dolayı deneme başarısız olduğunda oluşur. Yöntem Authenticator uygulama bildirimi, Kimlik doğrulayıcı uygulamamdan veya belirtecimden gelen bir kod, +X XXXXXXXXXXX çağrısı, +X XXXXXXXXXX'e kod metinle vb. olabilir.

Kesme modu sorunlarını giderme

Belirti Sorun giderme adımları
Görmeyi beklediğim yöntemleri görmüyorum. 1. Kullanıcının Microsoft Entra yönetici rolüne sahip olup olmadığını denetleyin. Evet ise, SSPR yönetici ilkesi farklarını görüntüleyin.
2. Kullanıcının çok faktörlü kimlik doğrulaması kaydı zorlaması veya SSPR kayıt zorlaması nedeniyle kesintiye uğrayıp kesilmediğini belirleyin. Hangi yöntemlerin gösterileceğini belirlemek için "Birleşik kayıt modları" altındaki akış çizelgesine bakın.
3. Çok faktörlü kimlik doğrulaması veya SSPR ilkesinin ne kadar süre önce değiştirildiğini belirleyin. Değişiklik yeni yapıldıysa, güncelleştirilmiş ilkenin yayılması biraz zaman alabilir.

Yönetim modu sorunlarını giderme

Belirti Sorun giderme adımları
Belirli bir yöntem ekleme seçeneğim yok. 1. Yöntemin çok faktörlü kimlik doğrulaması için mi yoksa SSPR için mi etkinleştirildiğini belirleyin.
2. Yöntem etkinse, ilkeleri yeniden kaydedin ve yeniden test etmeden önce 1-2 saat bekleyin.
3. Yöntem etkinleştirilirse, kullanıcının ayarlamasına izin verilen en fazla yöntem sayısını ayarlamadığından emin olun.

Kullanıcıları geri alma

Yönetici olarak bir kullanıcının çok faktörlü kimlik doğrulama ayarlarını sıfırlamak istiyorsanız, sonraki bölümde sağlanan PowerShell betiğini kullanabilirsiniz. Betik, kullanıcının mobil uygulaması ve/veya telefon numarası için StrongAuthenticationMethods özelliğini temizler. Kullanıcılarınız için bu betiği çalıştırırsanız, gerekirse çok faktörlü kimlik doğrulaması için yeniden kaydolmaları gerekir. Etkilenen tüm kullanıcıları geri döndürmeden önce geri alma işlemini bir veya iki kullanıcıyla test etmenizi öneririz.

Aşağıdaki adımlar, bir kullanıcıyı veya kullanıcı grubunu geri almanıza yardımcı olur.

Önkoşullar

Not

Azure AD ve MSOnline PowerShell modülleri 30 Mart 2024 itibarıyla kullanım dışı bırakılmıştır. Daha fazla bilgi edinmek için kullanımdan kaldırma güncelleştirmesini okuyun. Bu tarihten sonra bu modüllere yönelik destek, Microsoft Graph PowerShell SDK'sına geçiş yardımı ve güvenlik düzeltmeleriyle sınırlıdır. Kullanım dışı bırakılan modüller Mart 30 2025'e kadar çalışmaya devam edecektir.

Microsoft Entra ID (eski adıyla Azure AD) ile etkileşime geçmek için Microsoft Graph PowerShell'e geçiş yapmanızı öneririz. Sık sorulan geçiş soruları için Bkz. Geçiş hakkında SSS. Not: MSOnline'ın 1.0.x sürümleri 30 Haziran 2024'den sonra kesintiye neden olabilir.

  1. Uygun Azure AD PowerShell modüllerini yükleyin. PowerShell penceresinde şu komutları çalıştırarak modülleri yükleyin:

    Install-Module -Name MSOnline
Import-Module MSOnline

  2. Etkilenen kullanıcı nesnesi kimliklerinin listesini bilgisayarınıza satır başına bir kimlik içeren bir metin dosyası olarak kaydedin. Dosyanın konumunu not edin.

  3. Aşağıdaki betiği bilgisayarınıza kaydedin ve betiğin konumunu not edin:

    <# 
//********************************************************
//*                                                      *
//*   Copyright (C) Microsoft. All rights reserved.      *
//*                                                      *
//********************************************************
#>

param($path)

# Define Remediation Fn
function RemediateUser {

    param  
    (
        $ObjectId
    )

    $user = Get-MsolUser -ObjectId $ObjectId

    Write-Host "Checking if user is eligible for rollback: UPN: "  $user.UserPrincipalName  " ObjectId: "  $user.ObjectId -ForegroundColor Yellow

    $hasMfaRelyingParty = $false
    foreach($p in $user.StrongAuthenticationRequirements)
    {
        if ($p.RelyingParty -eq "*")
        {
            $hasMfaRelyingParty = $true
            Write-Host "User was enabled for per-user MFA." -ForegroundColor Yellow
        }
    }

    if ($user.StrongAuthenticationMethods.Count -gt 0 -and -not $hasMfaRelyingParty)
    {
        Write-Host $user.UserPrincipalName " is eligible for rollback" -ForegroundColor Yellow
        Write-Host "Rolling back user ..." -ForegroundColor Yellow
        Reset-MsolStrongAuthenticationMethodByUpn -UserPrincipalName $user.UserPrincipalName
        Write-Host "Successfully rolled back user " $user.UserPrincipalName -ForegroundColor Green
    }
    else
    {
        Write-Host $user.UserPrincipalName " is not eligible for rollback. No action required."
    }

    Write-Host ""
    Start-Sleep -Milliseconds 750
}

# Connect
Import-Module MSOnline
Connect-MsolService

foreach($line in Get-Content $path)
{
    RemediateUser -ObjectId $line
}

Geri alma

PowerShell penceresinde aşağıdaki komutu çalıştırarak betiği ve kullanıcı dosyası konumlarını sağlayın. İstendiğinde en az Privileged Authentication Administrator kimlik bilgilerini sağlayın. Betik, her kullanıcı güncelleştirme işleminin sonucunu verir.

<script location> -path <user file location>

Sonraki adımlar