Sdílet prostřednictvím


Zkoumání přihlášení vyžadujících vícefaktorové ověřování

Monitorování služby Microsoft Entra Health poskytuje sadu metrik stavu na úrovni tenanta, které můžete monitorovat a výstrahy při zjištění potenciálního problému nebo stavu selhání. Existuje několik scénářů stavu, které je možné monitorovat, včetně vícefaktorového ověřování (MFA).

Tento scénář:

  • Agreguje počet uživatelů, kteří úspěšně dokončili přihlášení vícefaktorového ověřování pomocí cloudové služby MFA Microsoft Entra.
  • Zaznamenává interaktivní přihlášení pomocí vícefaktorového ověřování a agreguje úspěšné i neúspěšné operace.
  • Vyloučí se, když uživatel aktualizuje relaci bez dokončení interaktivního vícefaktorového ověřování nebo pomocí metod přihlašování bez hesla.

Tento článek popisuje tyto metriky stavu a postup řešení potenciálního problému při příjmu výstrahy.

Požadavky

Existují různé role, oprávnění a licenční požadavky, které umožňují zobrazit signály monitorování stavu a konfigurovat a přijímat výstrahy. K zajištění souladu s pokyny k nulová důvěra (Zero Trust) doporučujeme použít roli s přístupem s nejnižšími oprávněními.

  • Tenant s licencí Microsoft Entra P1 nebo P2 se vyžaduje k zobrazení monitorovacích signálů scénáře stavu Microsoft Entra.
  • Tenant s licencí Microsoft Entra P1 nebo P2 a nejméně 100 měsíčních aktivních uživatelů se vyžaduje k zobrazení výstrah a přijímání oznámení o upozorněních.
  • Role Čtenář sestav je nejméně privilegovaná role potřebná k zobrazení signálů monitorování scénářů, výstrah a konfigurací výstrah.
  • Správce helpdesku je nejméně privilegovaná role potřebná k aktualizaci konfigurací upozornění a upozornění na aktualizaci.
  • Oprávnění HealthMonitoringAlert.Read.All se vyžaduje k zobrazení upozornění pomocí rozhraní Microsoft Graph API.
  • Oprávnění HealthMonitoringAlert.ReadWrite.All se vyžaduje k zobrazení a úpravě upozornění pomocí rozhraní Microsoft Graph API.
  • Úplný seznam rolí najdete v tématu Nejméně privilegovaná role podle úkolu.

Shromáždit data

Zkoumání výstrahy začíná shromažďováním dat.

  1. Shromážděte podrobnosti o signálu a souhrn dopadu.
    • Další informace najdete v tématu Přehled monitorování stavu v Microsoft Graphu.
  2. Zkontrolujte protokoly přihlašování.
    • Zkontrolujte podrobnosti protokolu přihlašování.
    • Hledejte, že se uživatelé nemůžou přihlašovat a mají zásady podmíněného přístupu, které vyžadují použití vícefaktorového ověřování.
  3. Zkontrolujte nedávné změny zásad v protokolech auditu.

Zmírnění běžných problémů

Následující běžné problémy můžou způsobit špičku při přihlašování k vícefaktorovým ověřováním. Tento seznam není vyčerpávající, ale poskytuje výchozí bod pro vaše šetření.

Problémy s konfigurací aplikací

Zvýšení počtu přihlášení vyžadujících vícefaktorové ověřování může znamenat změnu zásad nebo zavedení nové funkce potenciálně aktivovalo velký počet uživatelů, kteří se přihlašují přibližně ve stejnou dobu.

Prošetření:

  • Pokud je v souhrnu resourceType dopadu uvedená jenom jedna nebo dvě aplikace, zkontrolujte v protokolech auditu změny v uvedených aplikacích.
  • V protokolech auditu použijte sloupec Cíl k filtrování aplikace nebo otevřete protokoly auditu z podnikových aplikací, takže filtr je už nastavený.
  • Zjistěte, jestli byla aplikace nedávno přidána nebo rekonfigurována.
  • V protokolech přihlašování použijte sloupec Aplikace k filtrování stejné aplikace nebo rozsahu kalendářních dat, abyste hledali jakékoli jiné vzory.

Problémy s ověřováním uživatelů

Zvýšení počtu přihlášení vyžadujících vícefaktorové ověřování může znamenat útok hrubou silou, kdy se na účet uživatele provede několik pokusů o neoprávněné přihlášení.

Prošetření:

  • Pokud je v souhrnu resourceType dopadu "uživatel" a impactedCount hodnota zobrazuje malou podmnožinu uživatelů, může být problém specifický pro uživatele.
  • V protokolech přihlašování použijte následující filtry:
    • Stav: Selhání
    • Požadavek na ověření: Vícefaktorové ověřování
    • Upravte datum tak, aby odpovídalo časovému rámci uvedenému v souhrnu dopadu.
  • Pocházejí neúspěšné pokusy o přihlášení ze stejné IP adresy?
  • Došlo k neúspěšným pokusům o přihlášení od stejného uživatele?
  • Spuštěním diagnostiky přihlašování vyloučíte standardní problémy s chybami uživatelů nebo počáteční problémy s nastavením vícefaktorového ověřování.

Problémy se sítí

Může dojít k výpadku místního systému, který vyžaduje, aby se současně přihlásil velký počet uživatelů.

Prošetření:

  • Pokud je v souhrnu resourceType dopadu "uživatel" a impactedCount hodnota zobrazuje velké procento uživatelů vaší organizace, můžete se podívat na rozsáhlý problém.
  • Zkontrolujte stav systému a sítě a zjistěte, jestli výpadek nebo aktualizace odpovídá stejnému časovému rámci jako anomálie.

Další kroky