Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Správci můžou monitorovat a řešit potíže s událostmi přihlášení, ve kterých se používá průběžné vyhodnocování přístupu (CAE) několika způsoby.
Generování sestav přihlášení pro průběžné hodnocení přístupu
Správci můžou monitorovat přihlášení uživatelů, u kterých se používá průběžné vyhodnocování přístupu (CAE). Tyto informace najdete v protokolech přihlašování Microsoft Entra:
- Přihlaste se do Centra pro správu Microsoft Entra minimálně jako Čtenář zabezpečení.
- Přejděte do Entra ID>Monitorování a stavu>protokolů přihlášení.
- Použijte filtr Je token CAE.
Odsud se správcům zobrazí informace o přihlašovacích událostech uživatele. Výběrem libovolného přihlášení zobrazíte podrobnosti o relaci, například které zásady podmíněného přístupu se použily, a pokud je povolená funkce CAE.
Pro každé ověřování existuje více žádostí o přihlášení. Některé jsou na interaktivní kartě, zatímco jiné jsou na neinteraktivní kartě. CAE je označeno jako pravda pouze pro jeden z požadavků, a může být buď na interaktivní, nebo na neinteraktivní kartě. Správci musí zkontrolovat obě karty, aby ověřili, jestli je ověřování uživatele povoleno pro CAE nebo ne.
Hledání konkrétních pokusů o přihlášení
Protokoly přihlášení zobrazují události úspěchu a selhání. Pomocí filtrů můžete hledání zúžit. Pokud se například uživatel přihlásí k Teams, použijte filtr aplikace a nastavte ho na Teams. Správci možná budou muset zkontrolovat přihlášení z interaktivních i neinteraktivních panelů, aby našli specifické přihlášení. Pokud chcete hledání dále zúžit, můžou správci použít více filtrů.
Sešity pro průběžné vyhodnocování přístupu
Sešit přehledů průběžného vyhodnocování přístupu umožňuje správcům zobrazit a monitorovat přehledy využití CAE pro své tenanty. Tabulka ukazuje pokusy o ověření s neshodami IP adres. Tento sešit je k dispozici jako šablona v kategorii Podmíněný přístup.
Přístup k šabloně sešitu CAE
Před zobrazením sešitů je potřeba dokončit integraci Log Analytics. Informace o streamování protokolů přihlašování Microsoft Entra do pracovního prostoru služby Log Analytics najdete v tématu Integrace protokolů Microsoft Entra s protokoly služby Azure Monitor.
- Přihlaste se do Centra pro správu Microsoft Entra minimálně jako Čtenář zabezpečení.
- Přejděte do Entra ID>Monitorování a stavu>Sešity.
- V části Veřejné šablony vyhledejte přehledy průběžného vyhodnocování přístupu.
Sešit přehledů průběžného vyhodnocování přístupu obsahuje následující tabulku:
Potenciální neshoda IP adres mezi ID Microsoft Entra a poskytovatelem prostředků
Potenciální neshoda IP adres mezi microsoft Entra ID a tabulkou poskytovatele prostředků umožňuje správcům prozkoumat relace, ve kterých IP adresa zjištěná ID Microsoft Entra neodpovídá IP adrese zjištěné poskytovatelem prostředků.
Tato tabulka sešitu zvýrazňuje tyto scénáře zobrazením příslušných IP adres a toho, jestli byl během relace vydán token CAE.
Přehled průběžného vyhodnocování přístupu pro každé přihlášení
Přehled informací o průběžném vyhodnocování přístupu na každé přihlašovací stránce v sešitu spojí několik žádostí ze záznamů přihlašování a zobrazí jedinou žádost, ve které byl vydán token CAE.
Tento sešit je užitečný, například když uživatel otevře Outlook na počítači a pokusí se získat přístup k prostředkům v Exchangi Online. Tato akce přihlašování se může mapovat na více interaktivních a neinteraktivních požadavků na přihlášení v protokolech, což ztěžuje diagnostiku problémů.
Konfigurace IP adresy
Váš poskytovatel identity a poskytovatelé prostředků můžou vidět různé IP adresy. K této neshodě může dojít z následujících důvodů:
- Vaše síť implementuje rozdělené tunelové propojení.
- Váš poskytovatel prostředků používá adresu IPv6 a ID Microsoft Entra používá adresu IPv4.
- Vzhledem k konfiguracím sítě uvidí ID Microsoft Entra jednu IP adresu od klienta a poskytovatel prostředků uvidí jinou IP adresu od klienta.
Pokud tento scénář ve vašem prostředí existuje, aby se zabránilo nekonečným smyčkám, microsoft Entra ID vydá token CAE po dobu jedné hodiny a během tohoto hodinového období nevynucuje změnu umístění klienta. I v tomto případě se zabezpečení v porovnání s tradičními jednohodinovými tokeny vylepšuje, protože stále vyhodnocujeme i další události kromě událostí změn umístění klienta.
Správci můžou zobrazit záznamy filtrované podle časového rozsahu a aplikace a porovnat počet neodpovídajících IP adres zjištěných s celkovým počtem přihlášení během zadaného období.
Pokud chcete uživatele odblokovat, můžou správci přidat konkrétní IP adresy do důvěryhodného pojmenovaného umístění.
- Přihlaste se do Centra pro správu Microsoft Entra jako alespoň správce podmíněného přístupu.
- Přejděte do Entra ID>Podmíněný přístup>Pojmenovaná umístění. Tady můžete vytvořit nebo aktualizovat důvěryhodná umístění IP adres.
Poznámka
Před přidáním IP adresy jako důvěryhodného pojmenovaného umístění ověřte, že IP adresa patří do zamýšlené organizace.
Další informace o pojmenovaných umístěních najdete v tématu Použití podmínky umístění.
Související obsah
- Integrace protokolů Microsoft Entra s protokoly služby Azure Monitor
- Přečtěte si další informace o použití podmínky umístění.
- Prozkoumejte průběžné vyhodnocování přístupu.