Monitorare la valutazione continua dell'accesso e risolvere i problemi
Amministrazione istrator può monitorare e risolvere i problemi relativi agli eventi di accesso in cui viene applicata la valutazione dell'accesso continuo (CAE) in diversi modi.
Creazione di report di accesso con valutazione continua dell'accesso
Amministrazione istrator può monitorare gli accessi utente in cui viene applicata la valutazione dell'accesso continuo (CAE). Queste informazioni sono disponibili nei log di accesso di Microsoft Entra:
- Accedere all'interfaccia di amministrazione di Microsoft Entra come almeno un lettore di sicurezza.
- Passare a Identity Monitoring & health Sign-in logs (Log di accesso per l'integrità>e monitoraggio delle identità).>
- Applicare il filtro Is CAE Token (Token CAE).
Da qui, gli amministratori vengono presentati con informazioni sugli eventi di accesso dell'utente. Selezionare qualsiasi accesso per visualizzare i dettagli sulla sessione, ad esempio i criteri di accesso condizionale applicati e se l'autorità di certificazione è abilitata.
Sono presenti più richieste di accesso per ogni autenticazione. Alcune si trovano nella scheda interattiva, mentre altre si trovano nella scheda non interattiva. CAE è contrassegnato come true solo per una delle richieste che può trovarsi nella scheda interattiva o nella scheda non interattiva. I Amministrazione devono controllare entrambe le schede per verificare se l'autenticazione dell'utente è abilitata o meno.
Ricerca di tentativi di accesso specifici
I log di accesso contengono informazioni sugli eventi di esito positivo e negativo. Usare i filtri per restringere la ricerca. Ad esempio, se un utente ha eseguito l'accesso a Teams, usare il filtro Applicazione e impostarlo su Teams. Amministrazione potrebbe essere necessario controllare gli accessi da schede interattive e non interattive per individuare l'accesso specifico. Per restringere ulteriormente la ricerca, gli amministratori potrebbero applicare più filtri.
Cartelle di lavoro di valutazione continua dell'accesso
La cartella di lavoro delle informazioni dettagliate sulla valutazione dell'accesso continuo consente agli amministratori di visualizzare e monitorare le informazioni dettagliate sull'utilizzo di CAE per i tenant. Nella tabella vengono visualizzati i tentativi di autenticazione con mancate corrispondenze IP. Questa cartella di lavoro è disponibile come modello nella categoria Accesso condizionale.
Accesso al modello di cartella di lavoro CAE
L'integrazione di Log Analytics deve essere completata prima della visualizzazione delle cartelle di lavoro. Per altre informazioni su come trasmettere i log di accesso di Microsoft Entra a un'area di lavoro Log Analytics, vedere l'articolo Integrare i log di Microsoft Entra con i log di Monitoraggio di Azure.
- Accedere all'interfaccia di amministrazione di Microsoft Entra come almeno un lettore di sicurezza.
- Passare a Identity Monitoring &health Workbooks (Cartelle di lavoro di monitoraggio delle identità>e integrità).>
- In Modelli pubblici cercare Informazioni dettagliate sulla valutazione dell'accesso continuo.
La cartella di lavoro Informazioni dettagliate sulla valutazione dell'accesso continuo contiene la tabella seguente:
Potenziale mancata corrispondenza dell'indirizzo IP tra l'ID Microsoft Entra e il provider di risorse
La potenziale mancata corrispondenza dell'indirizzo IP tra la tabella microsoft Entra ID e provider di risorse consente agli amministratori di analizzare le sessioni in cui l'indirizzo IP rilevato da Microsoft Entra ID non corrisponde all'indirizzo IP rilevato dal provider di risorse.
Questa tabella della cartella di lavoro fa luce su questi scenari visualizzando i rispettivi indirizzi IP e se è stato emesso un token CAE durante la sessione.
Informazioni dettagliate sulla valutazione dell'accesso continuo per accesso
Le informazioni dettagliate di valutazione dell'accesso continuo per ogni pagina di accesso nella cartella di lavoro connettono più richieste dai log di accesso e visualizza una singola richiesta in cui è stato emesso un token CAE.
Questa cartella di lavoro può risultare utile, ad esempio quando: un utente apre Outlook sul desktop e tenta di accedere alle risorse all'interno di Exchange Online. Questa azione di accesso potrebbe essere mappata a più richieste di accesso interattive e non interattive nei log rendendo difficile la diagnosi dei problemi.
Configurazione dell'indirizzo IP
Il provider di identità e i provider di risorse potrebbero visualizzare indirizzi IP diversi. Questa mancata corrispondenza potrebbe verificarsi a causa degli esempi seguenti:
- La rete implementa il split tunneling.
- Il provider di risorse usa un indirizzo IPv6 e l'ID Microsoft Entra usa un indirizzo IPv4.
- A causa delle configurazioni di rete, Microsoft Entra ID vede un indirizzo IP dal client e il provider di risorse vede un indirizzo IP diverso dal client.
Se questo scenario esiste nell'ambiente in uso, per evitare cicli infiniti, Microsoft Entra ID emette un token CAE di un'ora e non impone la modifica della posizione del client durante tale periodo di un'ora. Anche in questo caso, la sicurezza è migliorata rispetto ai token tradizionali di un'ora, perché stiamo ancora valutando gli altri eventi oltre agli eventi di modifica della posizione del client.
Amministrazione possono visualizzare i record filtrati in base all'intervallo di tempo e all'applicazione. Amministrazione possono confrontare il numero di indirizzi IP non corrispondenti rilevati con il numero totale di accessi durante un periodo di tempo specificato.
Per sbloccare gli utenti, gli amministratori possono aggiungere indirizzi IP specifici a una posizione denominata attendibile.
- Accedere all'interfaccia di amministrazione di Microsoft Entra come almeno un Amministrazione istrator di accesso condizionale.
- Passare a Protezione>dei percorsi denominati per l'accesso>condizionale. Qui è possibile creare o aggiornare percorsi IP attendibili.
Nota
Prima di aggiungere un indirizzo IP come percorso denominato attendibile, verificare che l'indirizzo IP appartenga effettivamente all'organizzazione prevista.
Per altre informazioni sulle località denominate, vedere l'articolo Uso della condizione di posizione.