Untersuchung von Anmeldevorgängen, die eine Microsoft Entra-Multifaktor-Authentifizierung erfordern

Die Microsoft Entra Health-Überwachung bietet eine Reihe von Integritätsmetriken auf Mandantenebene, die Sie überwachen können und die Sie alarmieren, wenn ein potenzielles Problem oder eine Fehlerbedingung erkannt wird. Es gibt mehrere Gesundheitsszenarien, die überwacht werden können, einschließlich der mehrfaktoriellen Microsoft Entra-Authentifizierung (MFA).

Dieses Szenario:

• Aggregiert die Anzahl der Benutzer, die eine MFA-Anmeldung erfolgreich mit einem Microsoft Entra-Cloud-MFA-Dienst abgeschlossen haben.
• Erfasst interaktive Anmeldungen mit Microsoft Entra MFA, die sowohl Erfolge als auch Fehler aggregieren.
• Schließt aus, wenn ein Benutzer die Sitzung aktualisiert, ohne die interaktive MFA abzuschließen oder die kennwortlose Anmeldemethoden verwendet.

In diesem Artikel werden diese Integritätsmetriken und die Problembehandlung eines potenziellen Problems beschrieben, wenn Sie eine Warnung erhalten. Ausführliche Informationen zur Interaktion mit den Integritätsüberwachungsszenarien und zur Untersuchung aller Warnungen finden Sie unter "Untersuchen von Warnungen im Integritätsszenario".

Wichtig

Die Überwachung von Szenarios und Warnungen für Microsoft Entra Health befinden sich derzeit in der VORSCHAU. Diese Informationen beziehen sich auf eine Vorabversion des Produkts. Wesentliche Änderungen vor dem Release sind vorbehalten. Microsoft übernimmt hinsichtlich der hier bereitgestellten Informationen keine Gewährleistungen, weder ausdrücklich noch konkludent.

Voraussetzungen

Es gibt unterschiedliche Rollen, Berechtigungen und Lizenzanforderungen zum Anzeigen von Signalen zur Systemüberwachung und zum Konfigurieren und Empfangen von Warnungen. Es wird empfohlen, eine Rolle mit geringstmöglichen Berechtigungen zu verwenden, um dem Zero Trust-Leitfaden zu entsprechen.

• Um die Überwachungssignale im Microsoft Entra-Integritätsszenario anzuzeigen, ist ein Mandant mit einer Microsoft Entra P1- oder P2-Lizenz erforderlich.
• Ein Mandant wird benötigt, der sowohl über eine Nicht-Testversion von Microsoft Entra P1- oder P2-Lizenz als auch über mindestens 100 monatlich aktive Benutzer verfügt, um Warnungen anzuzeigen und Benachrichtigungen zu erhalten.
• Die Rolle " Berichtsleser " ist die am wenigsten privilegierte Rolle, die zum Anzeigen von Szenarioüberwachungssignalen, Warnungen und Warnungskonfigurationen erforderlich ist.
• Der Helpdesk-Administrator ist die am wenigsten privilegierte Rolle, die zum Aktualisieren von Warnungs- und Aktualisierungsbenachrichtigungskonfigurationen erforderlich ist.
• Die HealthMonitoringAlert.Read.All Berechtigung ist erforderlich, um die Warnungen mithilfe der Microsoft Graph-API anzuzeigen.
• Die HealthMonitoringAlert.ReadWrite.All Berechtigung ist erforderlich, um die Warnungen mithilfe der Microsoft Graph-API anzuzeigen und zu ändern.
• Eine vollständige Liste der Rollen finden Sie unter "Rolle mit den geringsten Rechten nach Aufgabe".

Untersuchen der Signale und Warnungen

Die Untersuchung einer Warnung beginnt mit dem Sammeln von Daten. Mit Microsoft Entra Health im Microsoft Entra Admin Center können Sie die Signal- und Benachrichtigungsdetails an einer zentralen Stelle anzeigen. Sie können die Signale und Warnungen auch mithilfe der Microsoft Graph-API anzeigen. Weitere Informationen finden Sie unter Untersuchen von Warnungen zu Integritätsszenarios , um Anleitungen zum Sammeln von Daten mithilfe der Microsoft Graph-API zu erhalten.

1. Melden Sie sich mindestens als Berichtsleser beim Microsoft Entra Admin Center an.

2. Navigieren Sie zu Entra ID>Überwachung und Gesundheit>Gesundheit. Die Seite mit den SLA-Ergebnissen (Service Level Agreement, Vereinbarung zum Servicelevel) wird geöffnet.

3. Wählen Sie die Registerkarte "Gesundheitsüberwachung" aus.

4. Wählen Sie das Szenario für Anmeldungen, die Entra ID MFA erfordern, und wählen Sie dann einen aktiven Alarm aus.

   

5. Zeigen Sie das Signal aus dem Abschnitt "Datendiagramm anzeigen " an, um sich mit dem Muster vertraut zu machen und Anomalien zu identifizieren.

   

6. Sie zeigen die Anmeldeprotokolle an.

   • Überprüfen Sie die Anmeldeprotokolldetails.
   • Suchen Sie nach Benutzern, die daran gehindert werden, sich anzumelden , und weisen Sie eine Richtlinie für bedingten Zugriff auf, für die MFA angewendet werden muss.

7. Überprüfen Sie die Überwachungsprotokolle auf kürzliche Richtlinienänderungen.

   • Verwenden Sie die Überwachungsprotokolle, um Probleme mit Richtlinienänderungen für bedingten Zugriff zu beheben.

Beheben häufiger Probleme

Die folgenden häufig auftretenden Probleme können zu einer Spitze bei MFA-Anmeldungen führen. Diese Liste ist nicht vollständig, bietet aber einen Ausgangspunkt für Ihre Untersuchung.

Probleme bei der Anwendungskonfiguration

Ein Anstieg von Anmeldungen, die MFA erfordern, könnte auf eine Richtlinienänderung oder ein neues Featurerollout hinweisen, wodurch sich möglicherweise eine große Anzahl von Benutzern gleichzeitig anmelden möchte.

Zum Untersuchen von:

1. Wählen Sie im Abschnitt "Betroffene Entitäten " des ausgewählten Szenarios "Für Anwendungen anzeigen" aus.

   • Eine Liste der betroffenen Anwendungen wird in einem Bereich angezeigt. Wählen Sie die Anwendung aus, um direkt zu den Details der Anwendung zu navigieren, in denen Sie die Überwachungsprotokolle und andere Details anzeigen können.
   • Suchen Sie mit der Microsoft Graph-API in der Auswirkungszusammenfassung nach der "Anwendung" resourceType.

2. Überprüfen Sie die Überwachungsprotokolle für die Anwendung.

   • Ermitteln Sie, ob die Anwendung kürzlich hinzugefügt oder neu konfiguriert wurde, was eine große Anzahl von Benutzern auslösen kann, die sich anmelden.

3. Sie zeigen die Anmeldeprotokolle an.

   • Verwenden Sie die Spalte "Anwendung ", um nach demselben Anwendungs- oder Datumsbereich zu filtern, um nach anderen Mustern zu suchen.

Probleme bei der Benutzerauthentifizierung

Ein Anstieg von Anmeldungen, die MFA erfordern, könnte auf einen Brute-Force-Angriff hinweisen, bei dem mehrere nicht autorisierte Anmeldeversuche bei dem Konto eines Benutzers vorgenommen wurden.

Zum Untersuchen von:

1. Wählen Sie im Abschnitt "Betroffene Entitäten " des ausgewählten Szenarios die Option "Für Benutzer anzeigen" aus.

   • Eine Liste der betroffenen Benutzer wird in einem Bereich angezeigt. Wählen Sie einen Benutzer aus, um direkt zu ihrem Profil zu navigieren, in dem Sie die Anmeldeaktivität und andere Details anzeigen können.
   • Suchen Sie mit der Microsoft Graph-API nach dem "Benutzer" resourceType und dem impactedCount Wert in der Auswirkungszusammenfassung.

2. Sie zeigen die Anmeldeprotokolle an.

   • Verwenden Sie die folgenden Filter in den Anmeldeprotokollen:
     • Status: Fehler
     • Authentifizierungsanforderung: Mehrstufige Authentifizierung
     • Passen Sie das Datum an den Zeitrahmen, der in der Auswirkungszusammenfassung angegeben ist, an.
   • Stammen die fehlgeschlagenen Anmeldeversuche von derselben IP-Adresse?
   • Stammen die fehlgeschlagenen Anmeldeversuche von demselben Benutzers?
   • Führen Sie die Anmeldediagnose aus, um standardbenutzerfehlerprobleme oder anfängliche MFA-Setupprobleme auszuschließen.

Netzwerkprobleme

Es könnte ein regionaler Systemausfall aufgetreten sein, der dazu führte, dass sich eine große Anzahl von Benutzern gleichzeitig anmelden wollte.

Zum Untersuchen von:

1. Wählen Sie im Abschnitt "Betroffene Entitäten " des ausgewählten Szenarios die Option "Für Benutzer anzeigen" aus.

   • Eine Liste der betroffenen Benutzer wird in einem Bereich angezeigt. Wählen Sie einen Benutzer aus, um direkt zu ihrem Profil zu navigieren, in dem Sie die Anmeldeaktivität und andere Details anzeigen können.
   • Suchen Sie mit der Microsoft Graph-API nach dem "Benutzer" resourceType und dem impactedCount Wert in der Auswirkungszusammenfassung.

2. Überprüfen Sie die System- und Netzwerkintegrität, um festzustellen, ob ein Ausfall oder eine Aktualisierung dem gleichen Zeitrahmen entspricht wie die Anomalie.

3. Überprüfen Sie die Anmeldeprotokolle.

   • Passen Sie Ihren Filter so an, dass Anmeldedaten aus einer Region angezeigt werden, in der sich ein betroffener Benutzer befindet.

4. Wenn Ihre Organisation globalen sicheren Zugriff verwendet, überprüfen Sie die Datenverkehrsprotokolle.

Verwandte Inhalte

• Konfigurieren des bedingten Zugriffs für MFA für alle Benutzer
• Problembehandlung bei häufig auftretenden Anmeldefehlern
• Informationen zu bedingtem Zugriff und Intune