Überwachung und Problembehandlung von fortlaufender Zugriffsevaluierung
Administratoren können Anmeldeereignisse überwachen und Probleme beheben, bei denen die fortlaufende Zugriffsevaluierung (Continuous Access Evaluation, CAE) auf verschiedene Weise angewendet wird.
Berichterstellung für die Anmeldung bei der fortlaufenden Zugriffsevaluierung
Administratoren können Benutzeranmeldungen überwachen, bei denen eine kontinuierliche Zugriffsauswertung (Continuous Access Evaluation, CAE) angewendet wird. Diese Informationen finden Sie in den Microsoft Entra-Anmeldeprotokollen:
- Melden Sie sich beim Microsoft Entra Admin Center mindestens als Sicherheitsleseberechtigter an.
- Browsen Sie zu Identität>Überwachung und Integrität>Anmeldeprotokolle.
- Wenden Sie den Filter Is CAE Token (Ist ein CAE-Token) an.
Von hier aus erhalten die Administratoren Informationen über die Anmeldeereignisse ihrer Benutzer. Wählen Sie eine beliebige Anmeldung aus, um Details zur Sitzung anzuzeigen, z. B. welche Richtlinien für bedingten Zugriff angewendet wurden und ob CAE aktiviert ist.
Es gibt mehrere Anmeldeanforderungen für jede Authentifizierung. Einige befinden sich auf der interaktiven Registerkarte, während andere sich auf der nicht interaktiven Registerkarte befinden. CAE ist nur für eine der Anforderungen als TRUE gekennzeichnet, die sich auf der interaktiven Registerkarte oder nicht interaktiven Registerkarte befindet. Administratoren müssen beide Registerkarten überprüfen, um zu bestätigen, ob die Authentifizierung des Benutzers für CAE aktiviert ist oder nicht.
Suchen nach bestimmten Anmeldeversuchen
Die Anmeldeprotokolle enthalten Informationen über Erfolgs- und Fehlerereignisse. Verwenden Sie Filter, um Ihre Suche einzugrenzen. Wenn sich z. B. ein Benutzer bei Teams angemeldet hat, verwenden Sie den Filter für die Anwendung, und legen Sie ihn auf „Teams“ fest. Administratoren müssen die Anmeldungen möglicherweise sowohl auf interaktiven als auch auf nicht interaktiven Registerkarten überprüfen, um die spezifische Anmeldung zu finden. Um die Suche weiter einzugrenzen, können Administratoren mehrere Filter anwenden.
Arbeitsmappen für die fortlaufende Zugriffsevaluierung
Mit der Arbeitsmappe zu Erkenntnissen der fortlaufenden Zugriffsevaluierung können Administratoren Erkenntnisse zur CAE-Nutzung für ihre Mandanten anzeigen und überwachen. In der Tabelle werden Authentifizierungsversuche mit IP-Konflikten angezeigt. Diese Arbeitsmappe befindet sich als Vorlage unter der Kategorie „Bedingter Zugriff“.
Zugreifen auf die CAE-Arbeitsmappenvorlage
Die Log Analytics-Integration muss abgeschlossen sein, bevor Arbeitsmappen angezeigt werden. Weitere Informationen zum Streamen von Microsoft Entra-Anmeldeprotokollen in einen Log Analytics-Arbeitsbereich finden Sie im Artikel Integrieren von Microsoft Entra-Protokollen mit Azure Monitor-Protokollen.
- Melden Sie sich beim Microsoft Entra Admin Center mindestens als Sicherheitsleseberechtigter an.
- Browsen Sie zu Identität>Überwachung & Integrität>Workbooks.
- Suchen Sie unter Öffentliche Vorlagen nach Erkenntnisse zur fortlaufenden Zugriffsevaluierung.
Die Arbeitsmappe Erkenntnisse zur fortlaufenden Zugriffsevaluierung enthält die folgende Tabelle:
Potenzielle IP-Adresskonflikte zwischen Microsoft Entra ID und Ressourcenanbieter
Die potenziellen IP-Adresskonflikte zwischen Microsoft Entra ID und der Ressourcenanbietertabelle ermöglichen Administrator*innen, Sitzungen zu untersuchen, bei denen die von Microsoft Entra ID erkannte IP-Adresse nicht mit der vom Ressourcenanbieter erkannten IP-Adresse übereinstimmt.
Diese Tabelle in der Arbeitsmappe gibt Aufschluss über diese Szenarien, indem sie die jeweiligen IP-Adressen anzeigt und angibt, ob während der Sitzung ein CAE-Token ausgestellt wurde.
Erkenntnisse zur fortlaufenden Zugriffsevaluierung pro Anmeldung
Auf der Arbeitsmappenseite mit den fortlaufenden Zugriffsevaluierungserkenntnissen pro Anmeldung werden mehrere Anforderungen aus den Anmeldeprotokollen verbunden und eine einzelne Anforderung angezeigt, bei der ein CAE-Token ausgestellt wurde.
Diese Arbeitsmappe kann ganz praktisch sein, wenn z. B. ein Benutzer Outlook auf seinem Desktop öffnet und versucht, auf Ressourcen innerhalb von Exchange Online zuzugreifen. Diese Anmeldeaktion kann möglicherweise mehreren interaktiven und nicht interaktiven Anmeldeanforderungen in den Protokollen zugeordnet werden, was die Diagnose von Probleme erschwert.
IP-Adresskonfiguration
Im Identitäts- und Ressourcenanbieter werden möglicherweise andere IP-Adressen angezeigt. Dieser Konflikt kann aufgrund der folgenden Beispiele vorkommen:
- Ihr Netzwerk implementiert getrenntes Tunneln.
- Ihr Ressourcenanbieter verwendet eine IPv6-Adresse und Microsoft Entra ID eine IPv4-Adresse.
- Aufgrund von Netzwerkkonfigurationen erkennt Microsoft Entra ID eine IP-Adresse vom Client, und Ihr Ressourcenanbieter stellt eine andere IP-Adresse vom Client fest.
Wenn dieses Szenario in Ihrer Umgebung auftritt, stellt Microsoft Entra ID zur Vermeidung von Endlosschleifen ein einstündiges CAE-Token aus und erzwingt während dieses einstündigen Zeitraums keine Änderung des Clientstandorts. Selbst in diesem Fall ist die Sicherheit im Vergleich zu herkömmlichen einstündigen Token verbessert, da neben den Ereignissen der Änderung des Clientstandorts die anderen Ereignisse weiterhin ausgewertet werden.
Administratoren können Datensätze anzeigen, die nach Zeitbereich und Anwendung gefiltert sind. Administratoren können die Anzahl der erkannten nicht übereinstimmenden IP-Adressen mit der Gesamtzahl der Anmeldungen während eines angegebenen Zeitraums vergleichen.
Um die Blockierung von Benutzern aufzuheben, können Administratoren einem vertrauenswürdigen benannten Standort bestimmte IP-Adressen hinzufügen.
- Melden Sie sich beim Microsoft Entra Admin Center mindestens als Administrator für bedingten Zugriff an.
- Browsen Sie zuSchutz>Bedingter Zugriff>Benannte Standorte. Hier können Sie vertrauenswürdige IP-Standorte erstellen oder aktualisieren.
Hinweis
Bevor Sie eine IP-Adresse als vertrauenswürdigen benannten Standort hinzufügen, vergewissern Sie sich, dass die IP-Adresse tatsächlich zur vorgesehenen Organisation gehört.
Weitere Informationen zu benannten Standorten finden Sie im Artikel Verwenden der Standortbedingung.