Folyamatos hozzáférés-kiértékelés monitorozása és hibaelhárítása

  • Cikk

Rendszergazda istratorok figyelhetik és elháríthatják a bejelentkezési eseményeket, ahol a folyamatos hozzáférés-kiértékelést (CAE) többféleképpen alkalmazzák.

Folyamatos hozzáférés-kiértékelés – bejelentkezési jelentéskészítés

Rendszergazda istratorok figyelhetik a felhasználói bejelentkezéseket, ahol a folyamatos hozzáférés-kiértékelés (CAE) van alkalmazva. Ezek az információk a Microsoft Entra bejelentkezési naplóiban találhatók:

  1. Jelentkezzen be a Microsoft Entra felügyeleti központba legalább biztonsági olvasóként.
  2. Tallózással keresse meg az Identitásfigyelés>> állapot>bejelentkezési naplóit.
  3. Alkalmazza az Is CAE Token szűrőt.

Képernyőkép arról, hogyan vehet fel szűrőt a bejelentkezési naplóba annak megtekintéséhez, hogy hol alkalmazza a hitelesítésszolgáltatót.

Innen a rendszergazdák a felhasználói bejelentkezési eseményekkel kapcsolatos információkat jelenítik meg. Válassza ki a bejelentkezést a munkamenet részleteinek megtekintéséhez, például a feltételes hozzáférési szabályzatok alkalmazásához és a CAE engedélyezéséhez.

Minden hitelesítéshez több bejelentkezési kérés is tartozik. Néhány az interaktív lapon található, míg mások a nem interaktív lapon találhatók. A CAE csak az egyik kérelem esetében van igazként megjelölve, amely az interaktív vagy nem interaktív lapon található. Rendszergazda mindkét lapot ellenőriznie kell, hogy a felhasználó hitelesítése engedélyezve van-e.

Adott bejelentkezési kísérletek keresése

A bejelentkezési naplók a sikeres és sikertelen eseményekről tartalmaznak információkat. Szűrőkkel szűkítheti a keresést. Ha például egy felhasználó bejelentkezett a Teamsbe, használja az alkalmazásszűrőt, és állítsa be a Teamsre. Rendszergazda az adott bejelentkezés megkereséséhez az interaktív és a nem interaktív lapokról is ellenőriznie kell a bejelentkezéseket. A keresés további szűkítéséhez a rendszergazdák több szűrőt is alkalmazhatnak.

Folyamatos hozzáférés-kiértékelés – munkafüzetek

A folyamatos hozzáférés-kiértékelési elemzések munkafüzet lehetővé teszi a rendszergazdák számára, hogy megtekintsék és figyeljék a bérlőik CAE-használati adatait. A táblázat ip-eltérésekkel jeleníti meg a hitelesítési kísérleteket. Ez a munkafüzet sablonként található a Feltételes hozzáférés kategóriában.

A CAE-munkafüzetsablon elérése

A Log Analytics-integrációt a munkafüzetek megjelenítése előtt végre kell hajtani. A Microsoft Entra bejelentkezési naplóinak Log Analytics-munkaterületre való streamelésére vonatkozó további információkért lásd a Microsoft Entra-naplók Azure Monitor-naplókkal való integrálásáról szóló cikket.

  1. Jelentkezzen be a Microsoft Entra felügyeleti központba legalább biztonsági olvasóként.
  2. Tallózással keresse meg az Identitásfigyelés>és állapot>munkafüzeteket.
  3. A Nyilvános sablonok területen keressen folyamatos hozzáférés-kiértékelési megállapításokat.

A Folyamatos hozzáférés kiértékelése elemzési munkafüzet a következő táblázatot tartalmazza:

Lehetséges IP-címeltérés a Microsoft Entra-azonosító és az erőforrás-szolgáltató között

A Microsoft Entra ID & erőforrás-szolgáltató tábla közötti lehetséges IP-címeltérés lehetővé teszi a rendszergazdák számára, hogy olyan munkameneteket vizsgáljanak, amelyekben a Microsoft Entra ID által észlelt IP-cím nem egyezik az erőforrás-szolgáltató által észlelt IP-címmel.

Ez a munkafüzettábla a megfelelő IP-címek megjelenítésével és a munkamenet során kibocsátott CAE-jogkivonattal világítja meg ezeket a forgatókönyveket.

Folyamatos hozzáférés-kiértékelési megállapítások bejelentkezésenként

A munkafüzet bejelentkezési oldalankénti folyamatos hozzáférés-kiértékelési elemzések több kérést is összekapcsolnak a bejelentkezési naplókból, és egyetlen kérést jelenít meg, amelyben egy CAE-jogkivonatot adtak ki.

Ez a munkafüzet hasznos lehet például a következő esetekben: Egy felhasználó megnyitja az Asztali Outlookot, és megkísérli elérni az Exchange Online-on belüli erőforrásokat. Ez a bejelentkezési művelet több interaktív és nem interaktív bejelentkezési kérésre is megfeleltethető a naplókban, így a problémák nehezen diagnosztizálhatóak.

IP-cím konfigurálása

Az identitásszolgáltató és az erőforrás-szolgáltatók eltérő IP-címeket láthatnak. Ez az eltérés a következő példák miatt fordulhat elő:

  • A hálózat split tunnelinget valósít meg.
  • Az erőforrás-szolgáltató egy IPv6-címet használ, a Microsoft Entra-azonosító pedig egy IPv4-címet.
  • A hálózati konfigurációk miatt a Microsoft Entra ID egy IP-címet lát az ügyféltől, az erőforrás-szolgáltató pedig egy másik IP-címet lát az ügyféltől.

Ha ez a forgatókönyv létezik a környezetben, a végtelen hurkok elkerülése érdekében a Microsoft Entra ID egyórás CAE-jogkivonatot ad ki, és nem kényszeríti ki az ügyfél helyének módosítását az adott egyórás időszakban. Ebben az esetben is javul a biztonság a hagyományos egyórás jogkivonatokhoz képest, mivel az ügyfél helyváltoztatási eseményei mellett a többi eseményt is kiértékeljük.

Rendszergazda megtekinthetik az időtartomány és az alkalmazás szerint szűrt rekordokat. Rendszergazda összehasonlíthatja az észlelt nem egyező IP-címek számát a bejelentkezések teljes számával egy adott időszakban.

A felhasználók letiltásának feloldásához a rendszergazdák adott IP-címeket adhatnak hozzá egy megbízható névvel ellátott helyre.

  1. Jelentkezzen be a Microsoft Entra felügyeleti központbafeltételeshozzáférés-adminisztrátorként.
  2. Keresse meg a Védelmi>feltételes hozzáférés>nevesített helyeket. Itt megbízható IP-helyeket hozhat létre vagy frissíthet.

Feljegyzés

Mielőtt megbízható névvel ellátott helyként ad hozzá IP-címet, ellenőrizze, hogy az IP-cím valóban a kívánt szervezethez tartozik-e.

A névvel ellátott helyekről további információt a Hely feltétel használata című cikkben talál.

Kapcsolódó tartalom