Zkoumání přihlášení vyžadujících vícefaktorové ověřování
Monitorování služby Microsoft Entra Health poskytuje sadu metrik stavu na úrovni tenanta, které můžete monitorovat a výstrahy při zjištění potenciálního problému nebo stavu selhání. Existuje několik scénářů stavu, které je možné monitorovat, včetně vícefaktorového ověřování (MFA).
Tento scénář:
- Agreguje počet uživatelů, kteří úspěšně dokončili přihlášení vícefaktorového ověřování pomocí cloudové služby MFA Microsoft Entra.
- Zaznamenává interaktivní přihlášení pomocí vícefaktorového ověřování a agreguje úspěšné i neúspěšné operace.
- Vyloučí se, když uživatel aktualizuje relaci bez dokončení interaktivního vícefaktorového ověřování nebo pomocí metod přihlašování bez hesla.
Tento článek popisuje tyto metriky stavu a postup řešení potenciálního problému při příjmu výstrahy.
Požadavky
Existují různé role, oprávnění a licenční požadavky, které umožňují zobrazit signály monitorování stavu a konfigurovat a přijímat výstrahy. K zajištění souladu s pokyny k nulová důvěra (Zero Trust) doporučujeme použít roli s přístupem s nejnižšími oprávněními.
- Tenant s licencí Microsoft Entra P1 nebo P2 se vyžaduje k zobrazení monitorovacích signálů scénáře stavu Microsoft Entra.
- Tenant s licencí Microsoft Entra P1 nebo P2 a nejméně 100 měsíčních aktivních uživatelů se vyžaduje k zobrazení výstrah a přijímání oznámení o upozorněních.
- Role Čtenář sestav je nejméně privilegovaná role potřebná k zobrazení signálů monitorování scénářů, výstrah a konfigurací výstrah.
- Správce helpdesku je nejméně privilegovaná role potřebná k aktualizaci konfigurací upozornění a upozornění na aktualizaci.
- Oprávnění
HealthMonitoringAlert.Read.All
se vyžaduje k zobrazení upozornění pomocí rozhraní Microsoft Graph API. - Oprávnění
HealthMonitoringAlert.ReadWrite.All
se vyžaduje k zobrazení a úpravě upozornění pomocí rozhraní Microsoft Graph API. - Úplný seznam rolí najdete v tématu Nejméně privilegovaná role podle úkolu.
Shromáždit data
Zkoumání výstrahy začíná shromažďováním dat.
- Shromážděte podrobnosti o signálu a souhrn dopadu.
- Další informace najdete v tématu Přehled monitorování stavu v Microsoft Graphu.
- Zkontrolujte protokoly přihlašování.
- Zkontrolujte podrobnosti protokolu přihlašování.
- Hledejte, že se uživatelé nemůžou přihlašovat a mají zásady podmíněného přístupu, které vyžadují použití vícefaktorového ověřování.
- Zkontrolujte nedávné změny zásad v protokolech auditu.
- K řešení potíží se změnami zásad podmíněného přístupu použijte protokoly auditu.
Zmírnění běžných problémů
Následující běžné problémy můžou způsobit špičku při přihlašování k vícefaktorovým ověřováním. Tento seznam není vyčerpávající, ale poskytuje výchozí bod pro vaše šetření.
Problémy s konfigurací aplikací
Zvýšení počtu přihlášení vyžadujících vícefaktorové ověřování může znamenat změnu zásad nebo zavedení nové funkce potenciálně aktivovalo velký počet uživatelů, kteří se přihlašují přibližně ve stejnou dobu.
Prošetření:
- Pokud je v souhrnu
resourceType
dopadu uvedená jenom jedna nebo dvě aplikace, zkontrolujte v protokolech auditu změny v uvedených aplikacích. - V protokolech auditu použijte sloupec Cíl k filtrování aplikace nebo otevřete protokoly auditu z podnikových aplikací, takže filtr je už nastavený.
- Zjistěte, jestli byla aplikace nedávno přidána nebo rekonfigurována.
- V protokolech přihlašování použijte sloupec Aplikace k filtrování stejné aplikace nebo rozsahu kalendářních dat, abyste hledali jakékoli jiné vzory.
Problémy s ověřováním uživatelů
Zvýšení počtu přihlášení vyžadujících vícefaktorové ověřování může znamenat útok hrubou silou, kdy se na účet uživatele provede několik pokusů o neoprávněné přihlášení.
Prošetření:
- Pokud je v souhrnu
resourceType
dopadu "uživatel" aimpactedCount
hodnota zobrazuje malou podmnožinu uživatelů, může být problém specifický pro uživatele. - V protokolech přihlašování použijte následující filtry:
- Stav: Selhání
- Požadavek na ověření: Vícefaktorové ověřování
- Upravte datum tak, aby odpovídalo časovému rámci uvedenému v souhrnu dopadu.
- Pocházejí neúspěšné pokusy o přihlášení ze stejné IP adresy?
- Došlo k neúspěšným pokusům o přihlášení od stejného uživatele?
- Spuštěním diagnostiky přihlašování vyloučíte standardní problémy s chybami uživatelů nebo počáteční problémy s nastavením vícefaktorového ověřování.
Problémy se sítí
Může dojít k výpadku místního systému, který vyžaduje, aby se současně přihlásil velký počet uživatelů.
Prošetření:
- Pokud je v souhrnu
resourceType
dopadu "uživatel" aimpactedCount
hodnota zobrazuje velké procento uživatelů vaší organizace, můžete se podívat na rozsáhlý problém. - Zkontrolujte stav systému a sítě a zjistěte, jestli výpadek nebo aktualizace odpovídá stejnému časovému rámci jako anomálie.