Come analizzare gli accessi che richiedono l'autenticazione a più fattori
Il monitoraggio dell'integrità di Microsoft Entra fornisce un set di metriche di integrità a livello di tenant che è possibile monitorare e avvisare quando viene rilevata una potenziale condizione di errore o problema. È possibile monitorare più scenari di integrità, tra cui l'autenticazione a più fattori (MFA).
Questo scenario:
- Aggrega il numero di utenti che hanno completato correttamente un accesso MFA usando un servizio MFA cloud Microsoft Entra.
- Acquisisce accessi interattivi con MFA, aggregando sia operazioni riuscite che non riuscite.
- Esclude quando un utente aggiorna la sessione senza completare l'autenticazione a più fattori interattiva o usando metodi di accesso senza password.
Questo articolo descrive queste metriche di integrità e come risolvere un potenziale problema quando si riceve un avviso.
Prerequisiti
Esistono diversi ruoli, autorizzazioni e requisiti di licenza per visualizzare i segnali di monitoraggio dell'integrità e configurare e ricevere avvisi. È consigliabile usare un ruolo con accesso con privilegi minimi per allinearsi alle linee guida Zero Trust.
- Per visualizzare i segnali di monitoraggio dello scenario di integrità di Microsoft Entra, è necessario un tenant con una licenza Microsoft Entra P1 o P2.
- Un tenant con licenza Microsoft Entra P1 o P2 e almeno 100 utenti attivi mensili è necessario per visualizzare gli avvisi e ricevere notifiche di avviso.
- Il ruolo Lettore report è il ruolo con privilegi minimi necessari per visualizzare i segnali, gli avvisi e le configurazioni degli avvisi dello scenario.
- L'amministratore del supporto tecnico è il ruolo con privilegi minimi necessari per aggiornare gli avvisi e aggiornare le configurazioni di notifica degli avvisi.
- L'autorizzazione
HealthMonitoringAlert.Read.All
è necessaria per visualizzare gli avvisi usando l'API Microsoft Graph. - L'autorizzazione
HealthMonitoringAlert.ReadWrite.All
è necessaria per visualizzare e modificare gli avvisi usando l'API Microsoft Graph. - Per un elenco completo dei ruoli, vedere Ruolo con privilegi minimi per attività.
Raccogliere i dati
L'analisi di un avviso inizia con la raccolta dei dati.
- Raccogliere i dettagli del segnale e il riepilogo dell'impatto.
- Per altre informazioni, vedere Panoramica del monitoraggio dell'integrità di Microsoft Graph.
- Esaminare i registri di accesso.
- Esaminare i dettagli del log di accesso.
- Cercare gli utenti bloccati per l'accesso e avere un criterio di accesso condizionale che richiede l'applicazione dell'autenticazione a più fattori.
- Controllare i log di controllo per verificare la presenza di modifiche recenti ai criteri.
- Usare i log di controllo per risolvere i problemi delle modifiche ai criteri di accesso condizionale.
Attenuare i problemi comuni
I problemi comuni seguenti possono causare un picco negli accessi MFA. Questo elenco non è esaustivo, ma fornisce un punto di partenza per l'indagine.
Problemi di configurazione dell'applicazione
Un aumento degli accessi che richiedono l'autenticazione a più fattori potrebbe indicare una modifica dei criteri o una nuova implementazione delle funzionalità che ha potenzialmente attivato un numero elevato di utenti per l'accesso nello stesso momento.
Per analizzare:
- Nel riepilogo dell'impatto, se
resourceType
è "applicazione" e sono elencate solo una o due applicazioni, controllare i log di controllo per verificare la presenza di modifiche alle applicazioni elencate. - Nei log di controllo usare la colonna Destinazione per filtrare l'applicazione o aprire i log di controllo da Applicazioni aziendali, in modo che il filtro sia già impostato.
- Determinare se l'applicazione è stata aggiunta o riconfigurata di recente.
- Nei log di accesso usare la colonna Applicazione per filtrare per lo stesso intervallo di applicazioni o date per cercare altri modelli.
Problemi di autenticazione dell'utente
Un aumento degli accessi che richiedono l'autenticazione a più fattori potrebbe indicare un attacco di forza bruta, in cui vengono eseguiti più tentativi di accesso non autorizzati all'account di un utente.
Per analizzare:
- Nel riepilogo dell'impatto, se
resourceType
è "utente" e ilimpactedCount
valore mostra un piccolo subset di utenti, il problema potrebbe essere specifico dell'utente. - Usare i filtri seguenti nei log di accesso:
- Stato: errore
- Requisito di autenticazione: autenticazione a più fattori
- Modificare la data in modo che corrisponda all'intervallo di tempo indicato nel riepilogo dell'impatto.
- I tentativi di accesso non riusciti provengono dallo stesso indirizzo IP?
- I tentativi di accesso non riusciti vengono eseguiti dallo stesso utente?
- Eseguire la diagnostica di accesso per escludere i problemi di errore dell'utente standard o i problemi di installazione iniziale dell'autenticazione a più fattori.
Problemi di rete
Potrebbe verificarsi un'interruzione del sistema a livello di area che richiedeva a un numero elevato di utenti di accedere contemporaneamente.
Per analizzare:
- Nel riepilogo dell'impatto, se
resourceType
è "utente" e ilimpactedCount
valore mostra una grande percentuale di utenti dell'organizzazione, è possibile che si stia esaminando un problema di ampia diffusione. - Controllare l'integrità del sistema e della rete per verificare se un'interruzione o un aggiornamento corrisponde allo stesso intervallo di tempo dell'anomalia.