在向所有用户推出 MFA 期间,我的一个用户帐户遭到了入侵。
云设置中的 Azure MFA 和适用于所有用户的 O365。
MFA 是分批推出的,被盗用的账户位于其中某一批次之间。我不知道每一批用户都有哪些,我是从其他人手中接管的,但现在已经不在了。
我想要找出的是何时为该用户启用 MFA。
我已经查看了 Azure 审核日志/报告,并且使用 PowerShell 尝试查看数据,但是我所能找到的只是“启用”状态,与启用时间无关。
我已经在 Google 上搜索过,除了找到状态或上次同步时间外,一无所获。
我认为这是不可能的,但希望得到确认。
提前致谢
答案1
不确定你是否能够确定具体用户的 MFA 启用日期,但你可以查看登录日志并按用户和应用程序进行筛选https://docs.microsoft.com/en-us/azure/active-directory/reports-monitoring/concept-sign-ins#sign-ins-report
MFA 必需列将指示是否使用 MFA 登录,MFA 结果将指示验证是否成功通过或失败。