Monitorování a řešení potíží s nepřetržitým vyhodnocováním přístupu

  • Článek

Správa istrátory můžou monitorovat a řešit potíže s událostmi přihlašování, ve kterých se používá průběžné vyhodnocování přístupu (CAE) několika způsoby.

Generování sestav přihlášení k nepřetržitému vyhodnocování přístupu

Správa istrátory můžou monitorovat přihlášení uživatelů, u kterých se používá průběžné vyhodnocování přístupu (CAE). Tyto informace najdete v protokolech přihlašování Microsoft Entra:

  1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň čtenář zabezpečení.
  2. Přejděte do protokolů přihlášení k monitorování identit>a stavu>.
  3. Použijte filtr tokenů CAE.

Screenshot showing how to add a filter to the sign-in log to see where CAE is being applied or not.

Odsud se správcům zobrazí informace o přihlašovacích událostech uživatele. Výběrem libovolného přihlášení zobrazíte podrobnosti o relaci, například které zásady podmíněného přístupu se použily, a pokud je povolená funkce CAE.

Pro každé ověřování existuje více žádostí o přihlášení. Některé jsou na interaktivní kartě, zatímco jiné jsou na neinteraktivní kartě. CaE je označená jako true pouze pro jeden z požadavků, které může být na interaktivní kartě nebo na neinteraktivní kartě. Správa musí zkontrolovat obě karty a ověřit, jestli je ověřování uživatele povolené nebo ne.

Hledání konkrétních pokusů o přihlášení

Protokoly přihlášení obsahují informace o úspěšných a neúspěšných událostech. Pomocí filtrů můžete hledání zúžit. Pokud se například uživatel přihlásil k Teams, použijte filtr aplikace a nastavte ho na Teams. Správa možná bude potřeba zkontrolovat přihlášení z interaktivních i neinteraktivních karet a vyhledat konkrétní přihlášení. Pokud chcete hledání dále zúžit, můžou správci použít více filtrů.

Sešity nepřetržitého vyhodnocování přístupu

Sešit přehledů průběžného vyhodnocování přístupu umožňuje správcům zobrazit a monitorovat přehledy využití CAE pro své tenanty. V tabulce se zobrazují pokusy o ověření s neshodou IP adres. Tento sešit najdete jako šablonu v kategorii Podmíněný přístup.

Přístup k šabloně sešitu CAE

Integrace Log Analytics musí být dokončena před zobrazením sešitů. Další informace o tom, jak streamovat protokoly přihlašování Microsoft Entra do pracovního prostoru služby Log Analytics, najdete v článku Integrace protokolů Microsoft Entra s protokoly služby Azure Monitor.

  1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň čtenář zabezpečení.
  2. Přejděte do sešitů monitorování a stavu>identit>.
  3. V části Veřejné šablony vyhledejte přehledy průběžného vyhodnocování přístupu.

Sešit přehledů průběžného vyhodnocování přístupu obsahuje následující tabulku:

Potenciální neshoda IP adres mezi ID Microsoft Entra a poskytovatelem prostředků

Potenciální neshoda IP adres mezi tabulkou zprostředkovatele prostředků Microsoft Entra ID a poskytovatelem prostředků umožňuje správcům prozkoumat relace, ve kterých IP adresa zjištěná ID Microsoft Entra neodpovídá IP adrese zjištěné poskytovatelem prostředků.

Tato tabulka sešitu se v těchto scénářích rozsvítí zobrazením příslušných IP adres a toho, jestli se během relace vystavil token CAE.

Přehledy průběžného vyhodnocování přístupu na přihlášení

Přehledy průběžného vyhodnocování přístupu na přihlašovací stránku v sešitu připojí několik požadavků z protokolů přihlašování a zobrazí jeden požadavek, ve kterém byl vydán token CAE.

Tento sešit může být užitečný například v těchto případech: Uživatel otevře Outlook na počítači a pokusí se získat přístup k prostředkům v Exchangi Online. Tato akce přihlašování se může mapovat na více interaktivních a neinteraktivních žádostí o přihlášení v protokolech, které ztěžují diagnostiku problémů.

Konfiguraci IP adresy

Váš poskytovatel identity a poskytovatelé prostředků můžou vidět různé IP adresy. K této neshodě může dojít z následujících příkladů:

  • Vaše síť implementuje rozdělené tunelové propojení.
  • Váš poskytovatel prostředků používá adresu IPv6 a ID Microsoft Entra používá adresu IPv4.
  • Vzhledem k konfiguracím sítě uvidí ID Microsoft Entra jednu IP adresu od klienta a poskytovatel prostředků uvidí jinou IP adresu od klienta.

Pokud tento scénář ve vašem prostředí existuje, aby se zabránilo nekonečným smyčkám, microsoft Entra ID vydá token CAE po dobu jedné hodiny a během tohoto hodinového období nevynucuje změnu umístění klienta. I v tomto případě se zabezpečení v porovnání s tradičními hodinami tokenů vylepšuje, protože stále vyhodnocujeme další události kromě událostí změn umístění klienta.

Správa mohou zobrazit záznamy filtrované podle časového rozsahu a aplikace. Správa můžou porovnat počet neodpovídajících IP adres zjištěných s celkovým počtem přihlášení během zadaného časového období.

Pokud chcete uživatele odblokovat, můžou správci přidat konkrétní IP adresy do důvěryhodného pojmenovaného umístění.

  1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň podmíněný přístup Správa istrator.
  2. Přejděte k pojmenovaným umístěním> podmíněného přístupu ochrany.> Tady můžete vytvořit nebo aktualizovat důvěryhodná umístění IP adres.

Poznámka:

Před přidáním IP adresy jako důvěryhodného pojmenovaného umístění ověřte, že IP adresa ve skutečnosti patří do zamýšlené organizace.

Další informace o pojmenovaných umístěních najdete v článku Použití podmínky umístění.

Související obsah