Arbeitsmappe zur Analyse von Authentifizierungsaufforderungen

Als IT-Profi benötigen Sie die richtigen Informationen zu Authentifizierungsaufforderungen in Ihrer Umgebung, um unerwartete Eingabeaufforderungen erkennen und näher untersuchen zu können. Die Arbeitsmappe zur Analyse von Authentifizierungsaufforderungen dient dazu, Ihnen diese Informationen zu liefern.

Voraussetzungen

Um Azure Workbooks für Microsoft Entra ID zu verwenden, benötigen Sie Folgendes:

• Ein Microsoft Entra-Mandant mit einer Premium P1-Lizenz
• Log Analytics-Arbeitsbereich und Zugriff auf diesen Arbeitsbereich
• Die geeigneten Rollen für Azure Monitor und Microsoft Entra ID

Log Analytics-Arbeitsbereich

Sie müssen einen Log Analytics-Arbeitsbereich erstellen, bevor Sie Microsoft Entra-Arbeitsmappen verwenden können. Mehrere Faktoren bestimmen den Zugriff auf Log Analytics-Arbeitsbereiche. Sie benötigen die richtigen Rollen für den Arbeitsbereich und die Ressourcen, die die Daten senden.

Weitere Informationen finden Sie unter Verwalten des Zugriffs auf Log Analytics-Arbeitsbereiche.

Azure Monitor-Rollen

Azure Monitor bietet zwei integrierte Rollen zum Anzeigen von Überwachungsdaten und zum Bearbeiten von Überwachungseinstellungen. Die rollenbasierte Zugriffssteuerung (Role-Based Access Control, RBAC) von Azure bietet außerdem zwei integrierte Log Analytics-Rollen, die ähnlichen Zugriff gewähren.

• Anzeigen:

  • Überwachungsleser
  • Log Analytics-Leser

• Anzeigen und Ändern von Einstellungen:

  • Überwachungsmitwirkender
  • Log Analytics-Mitwirkender

Microsoft Entra-Rollen

Mit dem schreibgeschützten Zugriff können Sie Microsoft Entra ID-Protokolldaten in einer Arbeitsmappe anzeigen, Daten aus Log Analytics abfragen oder Protokolle im Microsoft Entra Admin Center lesen. Der Updatezugriff bietet die Möglichkeit, Diagnoseeinstellungen zu erstellen und zu bearbeiten, um Microsoft Entra-Daten an einen Log Analytics-Arbeitsbereich zu senden.

• Read (Lesen):

  • Berichtleseberechtigter
  • Sicherheitsleseberechtigter
  • Globaler Leser

• Update (Aktualisieren):

  • Sicherheitsadministrator

Weitere Informationen zu in Microsoft Entra integrierten Rollen finden Sie unter integrierte Rollen in Microsoft Entra.

Weitere Informationen zu den RBAC-Rollen für Log Analytics finden Sie unter Integrierte Azure-Rollen.

Beschreibung

Haben sich in letzter Zeit Benutzer über zu viele Authentifizierungsaufforderungen beklagt?

Zu viele Eingabeaufforderungen für Benutzer*innen können die Produktivität Ihrer Benutzer*innen beeinträchtigen und führen häufig zu MFA-Phishing bei Benutzer*innen. Um Missverständnissen vorzubeugen: MFA ist unverzichtbar! Es geht nicht darum, ob Sie MFA verwenden sollten, sondern um die Häufigkeit von Eingabeaufforderungen für Benutzer.

Dieses Szenario hat in der Regel folgende Ursachen:

• Falsch konfigurierte Anwendungen
• Zu aggressive Eingabeaufforderungsrichtlinien
• Cyberangriffe

Die Arbeitsmappe zur Analyse von Authentifizierungsaufforderungen identifiziert verschiedene Arten von Authentifizierungsaufforderungen. Die Arten basieren auf verschiedenen Pivots, einschließlich Benutzern, Anwendungen, Betriebssystemen, Prozessen und Ähnlichem.

Diese Arbeitsmappe kann in folgenden Szenarien verwendet werden:

• Sie haben aggregiertes Feedback zu übermäßig vielen Eingabeaufforderungen erhalten.
• Sie möchten übermäßig viele Anforderungen im Zusammenhang mit einer bestimmten Authentifizierungsmethode, einer bestimmten Richtlinienanwendung oder einem bestimmten Gerät erkennen.
• Sie möchten die Anzahl von Authentifizierungsaufforderungen für wichtige Benutzer anzeigen.
• Sie möchten Details für Legacy-TLS und andere Authentifizierungsprozesse anzeigen.

So greifen Sie auf die Arbeitsmappe zu

1. Melden Sie sich mit einer geeigneten Kombination von Rollen beim Microsoft Entra Admin Center an.

2. Browsen Sie zu Identität>Überwachung und Integrität>Workbooks.

3. Wählen Sie die Arbeitsmappe Authentifizierungsaufforderungsanalyse im Abschnitt Verbrauch aus.

Arbeitsmappenabschnitte

Von dieser Arbeitsmappe werden Authentifizierungsaufforderungen nach folgenden Kriterien aufgeschlüsselt:

• Methode
• Gerätestatus
• Application
• Benutzer
• Status
• Betriebssystem
• Prozessdetail
• Policy

In vielen Umgebungen werden in erster Linie geschäftliche Produktivitäts-Apps verwendet. Alles, was nicht den Erwartungen entspricht, sollte untersucht werden. Die folgenden Diagramme zeigen Authentifizierungsaufforderungen nach Anwendung.

Die Ansicht mit den Eingabeaufforderungen nach Anwendung enthält zusätzliche Informationen wie Zeitstempel und Anforderungs-IDs, die bei Untersuchungen hilfreich sind.

Außerdem erhalten Sie eine Zusammenfassung der durchschnittlichen und mittleren Anzahl von Eingabeaufforderungen für Ihren Mandanten.

Diese Arbeitsmappe ist auch hilfreich bei der Suche nach wirkungsvollen Möglichkeiten zur Verbesserung der Benutzererfahrung sowie zur Verringerung der Eingabeaufforderungen und des relativen Prozentsatzes.

Filter

Nutzen Sie die Filter für eine differenziertere Darstellung der Daten:

Das Filtern nach einem bestimmten Benutzer, der über zahlreiche Authentifizierungsanforderungen verfügt, oder das reine Anzeigen von Anwendungen mit Anmeldefehlern kann auch interessante Ergebnisse für die weitere Behandlung liefern.

Bewährte Methoden

• Sollten Daten nicht oder nicht korrekt angezeigt werden, vergewissern Sie sich, dass Sie den Log Analytics-Arbeitsbereich und die Abonnements auf die richtigen Ressourcen festgelegt haben.

  

• Wenn das Laden der visuellen Elemente zu lange dauert, verringern Sie den Zeitfilter auf maximal 24 Stunden.

  

• Weitere Informationen zu den verschiedenen Richtlinien, die sich auf MFA-Eingabeaufforderungen auswirken, finden Sie unter Optimieren von Aufforderungen zur erneuten Authentifizierung und Grundlegendes zur Sitzungslebensdauer für die Multi-Faktor-Authentifizierung mit Microsoft Entra.

• Informationen zur Migration von Benutzern von telekommunikationsbasierten Methoden zur Authenticator-App finden Sie unter Ausführen einer Registrierungskampagne zum Einrichten von Microsoft Authenticator – Microsoft Authenticator-App.