Memantau dan menyelesaikan masalah evaluasi akses berkelanjutan

  • Artikel
  • 3 menit untuk membaca

Admin dapat memantau dan memecahkan masalah peristiwa masuk di mana evaluasi akses berkelanjutan (CAE) diterapkan dalam berbagai cara.

Pelaporan masuk evaluasi akses berkelanjutan

Admin akan memiliki kesempatan untuk memantau proses masuk pengguna tempat CAE diterapkan. Panel ini dapat ditemukan melalui petunjuk berikut:

  1. Masuk ke portal Microsoft Azure sebagai Admin Akses Bersyarat, Administrator keamanan, atau Administrator Global.
  2. Telusuri Azure Active Directory>Sign-in.
  3. Terapkan filter Token Is CAE .

Menambahkan filter ke log Masuk untuk melihat di mana CAE sedang diterapkan atau tidak

Dari sini, admin akan diberikan informasi tentang peristiwa masuk pengguna mereka. Pilih proses masuk apa pun untuk melihat detail tentang sesi, seperti kebijakan Akses Bersyarat mana yang diterapkan dan diaktifkan CAE.

Ada beberapa permintaan masuk untuk setiap autentikasi. Beberapa permintaan akan ditampilkan pada tab interaktif, sementara permintaan lainnya akan ditampilkan pada tab non-interaktif. CAE hanya akan ditampilkan sebagai benar untuk salah satu permintaan, dan dapat pada tab interaktif atau tab non-interaktif. Admin perlu memeriksa kedua tab untuk mengonfirmasi apakah autentikasi pengguna mendukung CAE atau tidak.

Mencari upaya masuk tertentu

Log masuk berisi informasi tentang Keberhasilan serta peristiwa kegagalan. Gunakan filter untuk mempersempit pencarian Anda. Misalnya, jika pengguna masuk ke Teams, gunakan filter Aplikasi atur ke Teams. Admin mungkin perlu memeriksa proses masuk dari tab interaktif dan non-interaktif untuk menemukan proses masuk tertentu. Untuk lebih mempersempit pencarian, admin dapat menerapkan beberapa filter.

Buku kerja evaluasi akses berkelanjutan

Buku kerja insight evaluasi akses berkelanjutan memungkinkan admin untuk menampilkan dan memantau insight penggunaan CAE untuk penyewa mereka. Tabel menampilkan upaya autentikasi dengan ketidakcocokan IP. Buku kerja ini dapat ditemukan sebagai templat di bawah kategori Akses Bersyarat.

Mengakses templat buku kerja CAE

Integrasi Log Analytics harus diselesaikan sebelum buku kerja ditampilkan. Untuk informasi selengkapnya tentang cara melakukan streaming log masuk Azure AD ke ruang kerja Log Analytics, lihat artikel Mengintegrasikan log Azure AD dengan log Azure Monitor.

  1. Masuk ke portal Microsoft Azure sebagai Admin Akses Bersyarat, Administrator keamanan, atau Administrator Global.
  2. Telusuri Azure Active Directory>Buku Kerja.
  3. Di bawah Templat Publik, cari Insight evaluasi akses berkelanjutan.

Temukan buku kerja insight CAE di galeri untuk melanjutkan pemantauan

Buku kerja Wawasan evaluasi akses berkelanjutan berisi tabel berikut:

Potensi ketidakcocokan alamat IP antara Microsoft Azure AD dan penyedia sumber

Tabel buku kerja 1 menunjukkan potensi ketidakcocokan alamat IP

Potensi ketidakcocokan alamat IP antara Azure AD & tabel penyedia sumber memungkinkan admin untuk menyelidiki sesi tempat alamat IP yang dideteksi oleh Azure AD tidak cocok dengan alamat IP yang dideteksi oleh penyedia sumber.

Tabel buku kerja ini menjelaskan skenario ini dengan menampilkan alamat IP masing-masing dan apakah token CAE dikeluarkan selama sesi.

Wawasan evaluasi akses berkelanjutan per kredensial masuk

Wawasan evaluasi akses berkelanjutan per halaman masuk dalam buku kerja menyambungkan beberapa permintaan dari log masuk dan menampilkan permintaan tunggal tempat token CAE diterbitkan.

Buku kerja ini dapat berguna, misalnya, ketika: Pengguna membuka Outlook di desktop mereka dan mencoba mengakses sumber daya di dalam Exchange Online. Tindakan masuk ini dapat memetakan ke beberapa permintaan masuk interaktif dan non-interaktif dalam log yang membuat masalah sulit didiagnosis.

Konfigurasi alamat IP

Penyedia identitas dan penyedia sumber daya Anda mungkin melihat alamat IP yang berbeda. Ketidakcocokan ini dapat terjadi karena contoh berikut:

  • Jaringan Anda menerapkan penerowongan terpisah.
  • Penyedia sumber daya Anda menggunakan alamat IPv6 dan Microsoft Azure AD menggunakan alamat IPv4.
  • Karena konfigurasi jaringan,Microsoft Azure AD melihat satu alamat IP dari klien dan penyedia sumber daya Anda melihat alamat IP yang berbeda dari klien.

Jika skenario ini ada di lingkungan Anda, untuk menghindari pengulangan tak terbatas, Microsoft Azure AD akan mengeluarkan token CAE satu jam dan tidak akan memberlakukan perubahan lokasi klien selama periode satu jam tersebut. Bahkan dalam kasus ini, keamanan ditingkatkan dibandingkan dengan token satu jam tradisional karena kami masih mengevaluasi peristiwa lain selain peristiwa perubahan lokasi klien.

Admin dapat menampilkan catatan yang difilter berdasarkan rentang waktu dan aplikasi. Admin dapat membandingkan jumlah IP yang tidak cocok yang terdeteksi dengan jumlah total masuk selama jangka waktu tertentu.

Untuk membuka blokir pengguna, admin dapat menambahkan alamat IP tertentu ke lokasi bernama tepercaya.

  1. Masuk ke portal Microsoft Azure sebagai Admin Akses Bersyarat, Administrator keamanan, atau Administrator Global.
  2. Telusuri Azure Active Directory>Keamanan>Akses Bersyarat>lokasi bernama. Di sini Anda dapat membuat atau memperbarui lokasi IP tepercaya.

Catatan

Sebelum menambahkan alamat IP sebagai lokasi bernama tepercaya, konfirmasikan bahwa alamat IP sebenarnya adalah milik organisasi yang dituju.

Untuk informasi lebih lanjut tentang lokasi bernama, lihat artikel Menggunakan kondisi lokasi

Langkah berikutnya