サインイン ログを使用して Microsoft Entra 多要素認証イベントを確認する

Microsoft Entra 多要素認証イベントを確認して理解するには、Microsoft Entra サインイン ログを使用できます。 このレポートには、ユーザーが多要素認証を求められた場合や、条件付きアクセス ポリシーが使用されていた場合のイベントの認証の詳細が表示されます。 サインイン ログの詳細については、 Microsoft Entra ID でのサインイン アクティビティ レポートの概要を参照してください。

Microsoft Entra サインイン ログを表示する

サインイン ログには、マネージド アプリケーションとユーザー サインイン アクティビティの使用状況に関する情報が提供されます。これには、多要素認証の使用状況に関する情報が含まれます。 MFA データを使用すると、組織での MFA の動作に関する分析情報が得られます。 次のような質問に答えます。

• サインインは多要素認証で確認されましたか?
• ユーザーはどのように MFA を完了しましたか?
• サインイン中に使用された認証方法はどれですか?
• ユーザーが MFA を完了できなかったのはなぜですか?
• MFA に対してチャレンジされるユーザーの数はいくつですか?
• MFA チャレンジを完了できないユーザーの数
• エンド ユーザーが実行している MFA の一般的な問題は何ですか?

Microsoft Entra 管理センターでサインイン アクティビティ レポートを表示するには、次の手順を実行します。 レポート API を使用してデータのクエリを実行することもできます。

1. 少なくとも認証ポリシー管理者として Microsoft Entra 管理センターにサインインします。

2. 左側のメニューから Entra ID>Users に移動します。

3. 左側のメニューから、[ サインイン ログ] を選択します。

4. 状態を含むサインイン イベントの一覧が表示されます。 イベントを選択すると、詳細を表示できます。

   イベントの詳細の [条件付きアクセス ] タブには、MFA プロンプトをトリガーしたポリシーが表示されます。

   

使用可能な場合は、テキスト メッセージ、Microsoft Authenticator アプリ通知、電話呼び出しなどの認証が表示されます。

[ 認証の詳細 ] タブには、認証の試行ごとに次の情報が表示されます。

• 適用される認証ポリシーの一覧 (条件付きアクセス、ユーザーごとの MFA、セキュリティの既定値など)
• サインインに使用される認証方法のシーケンス
• 認証の試行が成功したかどうか
• 認証の試行が成功または失敗した理由の詳細

この情報により、管理者はユーザーのサインインの各手順のトラブルシューティングを行い、次の情報を追跡できます。

• 多要素認証によって保護されるサインインの量
• 各認証方法の使用状況と成功率
• パスワードレス認証方法の使用 (パスワードレス電話サインイン、FIDO2、Windows Hello for Business など)
• トークン要求によって認証要件が満たされる頻度 (ユーザーが対話形式でパスワードの入力や SMS OTP の入力などを求められることはありません)

サインイン ログを表示しているときに、[ 認証の詳細 ] タブを選択します。

MFA 要求が満たされたか拒否されたかを示すサインイン イベントの [ 認証の詳細] ウィンドウに、次の詳細が表示されます。

• MFA が満たされた場合、この列には MFA が満たされた方法に関する詳細情報が表示されます。

  • クラウドで完了
  • テナントで設定されたポリシーにより期限切れとなりました
  • 登録のプロンプトが表示される
  • トークン内の要求によって満たされる
  • 外部プロバイダーによって提供された請求によって満たされています。
  • 強力な認証によって満たされる
  • フローの実行が Windows ブローカーのログオン フローであった場合にスキップされました
  • アプリのパスワードが原因でスキップされました
  • 場所が原因でスキップされました
  • 登録済みデバイスが原因でスキップされました
  • 記憶されたデバイスが原因でスキップされた
  • 正常に完了しました

• MFA が拒否された場合、この列は拒否の理由を示します。

  • 認証の進行中
  • 重複する認証の試行
  • 正しくないコードが何度も入力されました
  • 無効な認証
  • 無効なモバイル アプリ検証コード
  • 誤設定
  • 留守番電話に転送されました
  • 電話番号の形式が無効です
  • サービス エラー
  • ユーザーの電話に接続できない
  • モバイル アプリ通知をデバイスに送信できない
  • モバイル アプリ通知を送信できない
  • ユーザーが認証を拒否した
  • ユーザーがモバイル アプリの通知に応答しなかった
  • ユーザーに認証方法が登録されていない
  • ユーザーが正しくないコードを入力した
  • ユーザーが正しくない PIN を入力しました
  • ユーザーが認証に成功せずに電話を切った
  • ユーザーがブロックされている
  • ユーザーが確認コードを入力しなかった
  • ユーザーが見つかりません
  • 検証コードは既に 1 回使用されています

MFA に登録されているユーザーに関する PowerShell レポート

まず、 Microsoft Graph PowerShell SDK のインストール がインストールされていることを確認します。

次の PowerShell を使用して、MFA に登録したユーザーを特定します。 これらのアカウントは Microsoft Entra ID に対して認証できないため、この一連のコマンドは無効なユーザーを除外します。

Get-MgUser -All | Where-Object {$_.StrongAuthenticationMethods -ne $null -and $_.BlockCredential -eq $False} | Select-Object -Property UserPrincipalName

次の PowerShell コマンドを実行して、MFA に登録されていないユーザーを特定します。 これらのアカウントは Microsoft Entra ID に対して認証できないため、この一連のコマンドは無効なユーザーを除外します。

Get-MgUser -All | Where-Object {$_.StrongAuthenticationMethods.Count -eq 0 -and $_.BlockCredential -eq $False} | Select-Object -Property UserPrincipalName

登録されているユーザーと出力メソッドを識別します。

Get-MgUser -All | Select-Object @{N='UserPrincipalName';E={$_.UserPrincipalName}},@{N='MFA Status';E={if ($_.StrongAuthenticationRequirements.State){$_.StrongAuthenticationRequirements.State} else {"Disabled"}}},@{N='MFA Methods';E={$_.StrongAuthenticationMethods.methodtype}} | Export-Csv -Path c:\MFA_Report.csv -NoTypeInformation

その他の MFA レポート

クラウド MFA アクティビティ用の NPS 拡張機能と AD FS アダプターが、特定のアクティビティ レポートではなくサインイン ログに含まれるようになりました。

オンプレミスの AD FS アダプターまたは NPS 拡張機能からのクラウド MFA サインイン イベントでは、オンプレミス コンポーネントによって返されるデータが制限されているため、サインイン ログにすべてのフィールドが設定されるわけではありません。 これらのイベントは、resourceID adfs またはイベント プロパティ内の 半径 によって識別できます。 これには次のようなものがあります。

• 結果署名
• アプリID
• デバイス詳細
• 条件付きアクセスステータス
• 認証コンテキスト
• インタラクティブかどうか
• トークン発行者名
• riskDetail、riskLevelAggregated、riskLevelDuringSignIn、riskState、riskEventTypes、riskEventTypes_v2
• 認証プロトコル
• 受信トークンタイプ

最新バージョンの NPS 拡張機能を実行している組織、または Microsoft Entra Connect Health を使用している組織には、イベント内の場所の IP アドレスがあります。

次のステップ

この記事では、サインイン アクティビティ レポートの概要について説明しました。 このレポートに含まれる内容の詳細については、 Microsoft Entra ID のサインイン アクティビティ レポートを参照してください。