¿No desea utilizar PowerShell para enumerar el estado de los usuarios de Microsoft 365/Microsoft Entra MFA? En su lugar, desea utilizar una interfaz gráfica de usuario (GUI). No se preocupe porque puede obtener todos los detalles de MFA en el centro de administración de Microsoft Entra. En este artículo, aprenderá cómo obtener métodos de autenticación de usuarios de MFA en Microsoft Entra y PowerShell. portal.
Configurar MFA en el inquilino de Microsoft
Hay dos formas de configurar MFA en su inquilino de Microsoft:
- Configurar MFA con acceso condicional
- Configurar MFA por usuario
recomendamosopción 1porque tienes más control y más funciones para configurar. Pero requiere una licencia de Microsoft Entra ID P1 o Microsoft Entra ID P2. Entonces, si no puede pagar esas ediciones de Entra ID, elija la opción 2, que es gratuita.
Mientras lo hace, lea el artículo Prevenga los ataques de fatiga de MFA en la organización y habilite las configuraciones que se muestran para obtener protección adicional.
Importante:Habilite MFA para cada inquilino porque esCRUCIAL.
Supongamos que tiene Microsoft Entra ID P1 o P2 y MFA por usuario configurado, pero desea pasar a MFA de acceso condicional; lea el artículo Pasar de MFA por usuario a MFA de acceso condicional.
Cómo obtener el estado MFA de todos los usuarios en Microsoft Entra
Compruebe qué usuarios se han registrado para MFA en el centro de administración de Microsoft Entra siguiendo estos pasos:
- Inicie sesión enCentro de administración de Microsoft Entra
- ExpandirIdentidad > Protección
- Hacer clic enMétodos de autenticación
- SeleccionarDetalles de registro de usuario
Nota:Necesita una licencia de Microsoft Entra ID P1 o P2 para ver los detalles de registro del usuario en el centro de administración de Microsoft Entra. Si no lo tiene, use el script en el artículo Exportar usuarios de Microsoft Entra ID a CSV con PowerShell.
- Consulte las columnas siguientes para obtener el estado de la cuenta de usuario de MFA:
- Capacidad de autenticación multifactor
- Método de autenticación multifactor predeterminado
- Métodos registrados
¿Qué sucede si desea obtener el mismo informe pero con PowerShell? Veámoslo en el siguiente paso.
Obtenga el estado de MFA de los usuarios con Microsoft Graph PowerShell
Una excelente manera de obtener todos los métodos de autenticación de los usuarios es con Microsoft Graph PowerShell.
El script Get-AuthenticationMethods.ps1 obtendrá todos los métodos MFA predeterminados de los usuarios y los métodos de autenticación registrados y los exportará a un archivo CSV.
Para cada usuario, recopila la siguiente información:
Lectura sugerida:Cambiar cuenta de Microsoft Entra Connector
- Identificación
- Nombre principal de usuario
- esadmin
- Método Mfa predeterminado
- Métodos Registrados
- EsMfaCapable
- IsMfaRegistrado
- Tiene capacidad sin contraseña
- EsSsprCapable
- IsSsprEnabled
- EstáSsprRegistrado
- IsSystemPreferredAuthenticationMethodEnabled
- Última actualizaciónFechaHora
Paso 1. Prepare el script de PowerShell Get-AuthenticationMethods
Cree dos carpetas en el(DO:)conducir:
- Temperatura
- Guiones
Descargue el script de PowerShell Get-AuthenticationMethods.ps1 y colóquelo enC:guionescarpeta. El script exportará el archivo CSV alC:temperaturacarpeta.
Asegúrese de que el archivo esté desbloqueado para evitar errores al ejecutar el script. Lea más en el artículo Error sin firma digital al ejecutar el script de PowerShell.
Otra opción es copiar y pegar el código siguiente en el Bloc de notas. Dale el nombreGet-AuthenticationMethods.ps1y colóquelo en elC:guionescarpeta.
<#
.SYNOPSIS
Get-AuthenticationMethods.ps1
.DESCRIPTION
Export users authentication methods report from Micrososoft Graph and know which MFA method
is set as default for each user and what MFA methods are registered for each user.
.LINK
www.alitajran.com/get-mfa-status-entra/
.NOTES
Written by: ALI TAJRAN
Website: www.alitajran.com
LinkedIn: linkedin.com/in/alitajran
.CHANGELOG
V1.00, 10/12/2023 - Initial version
V1.10, 11/04/2024 - Added parameters to script
#>
param (
[Parameter(Mandatory = $true)]
[string]$CSVPath,
[string]$GroupId = ""
)
# Connect to Microsoft Graph
Connect-MgGraph -Scopes "AuditLog.Read.All", "Group.Read.All"
try {
# If a GroupId is provided, fetch group members first
if ($GroupId) {
Write-Host "Fetching members for GroupId: $GroupId" -ForegroundColor Cyan
$GroupMembers = Get-MgGroupMember -GroupId $GroupId -All
$GroupMemberIds = $GroupMembers.Id
}
# Fetch user registration detail report from Microsoft Graph
if ($GroupId) {
$Users = Get-MgBetaReportAuthenticationMethodUserRegistrationDetail -All | Where-Object { $GroupMemberIds -contains $_.Id }
}
else {
$Users = Get-MgBetaReportAuthenticationMethodUserRegistrationDetail -All
}
# Create custom PowerShell object and populate it with the desired properties
$Report = foreach ($User in $Users) {
[PSCustomObject]@{
Id = $User.Id
UserPrincipalName = $User.UserPrincipalName
UserDisplayName = $User.UserDisplayName
IsAdmin = $User.IsAdmin
DefaultMfaMethod = $User.DefaultMfaMethod
MethodsRegistered = $User.MethodsRegistered -join ','
IsMfaCapable = $User.IsMfaCapable
IsMfaRegistered = $User.IsMfaRegistered
IsPasswordlessCapable = $User.IsPasswordlessCapable
IsSsprCapable = $User.IsSsprCapable
IsSsprEnabled = $User.IsSsprEnabled
IsSsprRegistered = $User.IsSsprRegistered
IsSystemPreferredAuthenticationMethodEnabled = $User.IsSystemPreferredAuthenticationMethodEnabled
LastUpdatedDateTime = $User.LastUpdatedDateTime
}
}
# Output custom object to GridView
$Report | Out-GridView -Title "Authentication Methods Report"
# Export custom object to CSV file
$Report | Export-Csv -Path $csvPath -NoTypeInformation -Encoding utf8
Write-Host "Script completed. Report exported successfully to $csvPath" -ForegroundColor Green
}
catch {
# Catch errors
Write-Host "An error occurred: $_" -ForegroundColor Red
}Paso 2. Instale Microsoft Graph PowerShell
Ejecute Windows PowerShell como administrador e instale Microsoft Graph PowerShell.
Install-Module Microsoft.Graph -ForceInstall-Module Microsoft.Graph.Beta -AllowClobber -ForceImportante:Instale siempre los módulos Microsoft Graph PowerShell y Microsoft Graph Beta PowerShell. Esto se debe a que algunos cmdlets aún no están disponibles en la versión final y no funcionarán. Actualice ambos módulos a la última versión antes de ejecutar un cmdlet o script para evitar errores y resultados incorrectos.
Paso 3. Conéctese a Microsoft Graph PowerShell
Conéctese a Microsoft Graph PowerShell.
Connect-MgGraph -Scopes "AuditLog.Read.All", "Group.Read.All"Ingrese sus credenciales de administrador global y acepte la solicitud de permisos de Microsoft Graph.
Paso 4. Ejecute el script de PowerShell Get-AuthenticationMethods
Obtenga todos los métodos de autenticación de usuarios con PowerShell.
C:scripts.Get-AuthenticationMethods.ps1 -CSVPath "C:TempAuthenticationReport.csv" Obtenga todos los métodos de autenticación de usuarios de un grupo con PowerShell. Agregue el identificador único del grupo después del-ID de grupoparámetro en el siguiente comando.
C:scripts.Get-AuthenticationMethods.ps1 -CSVPath "C:TempAuthenticationReport.csv" -GroupId "5859108f-0a92-4db3-b779-b9e9f098d4c8"UnVista fuera de la redmostrará columnas con todos los usuarios y su información.
Paso 5. Abrir el informe de Métodos de autenticación
El script de PowerShell Get-AuthenticationMethods.ps1 exporta todos los métodos de autenticación de los usuarios a un archivo CSV. Encuentra el archivoInforme de autenticación.csven el caminoC:temperatura.
Abra el archivo CSV con su aplicación favorita. En nuestro ejemplo, es Microsoft Excel.
¡Eso es todo!
Preguntas frecuentes sobre autenticación multifactor
Habrá preguntas sobre cuándo el estadoCapazyNo capazaparecen para la cuenta de usuario en la lista. Aquí están las principales preguntas que podría tener y sus respuestas.
¿Cuál es la diferencia entre capaz y no capaz?
- Capaz:MFA está configurado para la cuenta de usuario
- No capaz:MFA no está configurado para la cuenta de usuario
¿Cuándo aparece la autenticación multifactor como compatible?
Se mostrará comoCapazsi el usuario completa la configuración del asistente MFA. Entonces, siempre que el usuario no haya terminado la configuración de MFA, aparecerá comoNo capaz.
Si habilita o aplica MFA por usuario para el usuario y el usuario no configuró MFA, todavía se muestra como No compatible. Lo mismo se aplica si configura el acceso condicional de MFA y agrega el usuario a la política. Si el usuario no configura MFA, se muestra comoNo capaz.
¿Aparecen en la lista MFA por usuario y MFA de acceso condicional?
Sí, los usuarios de MFA por usuario y MFA de acceso condicional y sus métodos de autenticación aparecerán en la lista.
Importante:Deshabilite MFA por usuario para todos los usuarios cuando habilite MFA mediante acceso condicional.
Nota:Para las cuentas de usuario que se muestran comoNo capaz, comuníquese con los usuarios y recuérdeles que utilicen el asistente de configuración de MFA.
Conclusión
Aprendió cómo obtener el estado MFA en Microsoft Entra y PowerShell. Tener la sección de métodos de autenticación en el centro de administración de Microsoft Entra es excelente. Esto ayuda a los administradores que desean evitar el uso de PowerShell a obtener la información del estado de MFA.
Cada usuario debe configurar la autenticación multifactor y, al observar los detalles de registro del usuario en los métodos de autenticación, puede identificar rápidamente qué métodos MFA se utilizan y quién aún necesita configurar MFA.
¿Disfrutaste este artículo? También te puede gustar El acceso condicional MFA interrumpe la sincronización de Azure AD Connect. No olvides seguirnos y compartir este artículo.
![Cómo eliminar la supervisión del dispositivo de iPhone/iPad [2024 actualizado]](https://elsefix.com/tech/afton/wp-content/uploads/cache/2025/04/how-to-remove-device-supervision-from-iphone-or-ipad.webp.webp.webp)
