Condividi tramite

Come analizzare gli accessi che richiedono l'autenticazione a più fattori di Microsoft Entra

Il monitoraggio dell'integrità di Microsoft Entra fornisce un set di metriche di integrità a livello di tenant che è possibile monitorare e avvisare quando viene rilevata una potenziale condizione di errore o problema. Esistono più scenari di integrità che possono essere monitorati, tra cui l'autenticazione a più fattori (MFA) di Microsoft Entra.

Questo scenario:

  • Aggrega il numero di utenti che hanno completato correttamente un accesso MFA usando un servizio MFA cloud Microsoft Entra.
  • Acquisisce accessi interattivi con Microsoft Entra MFA, aggregando sia gli esiti positivi che quelli negativi.
  • Esclude quando un utente aggiorna la sessione senza completare l'autenticazione a più fattori interattiva o usando metodi di accesso senza password.

Questo articolo descrive queste metriche di integrità e come risolvere un potenziale problema quando si riceve un avviso. Per informazioni dettagliate su come interagire con gli scenari di monitoraggio dell'integrità e su come analizzare tutti gli avvisi, vedere Come analizzare gli avvisi dello scenario di integrità.

Importante

Il monitoraggio e gli avvisi dello scenario di Microsoft Entra Health sono attualmente disponibili in ANTEPRIMA. Queste informazioni si riferiscono a un prodotto in fase di pre-rilascio che potrebbe essere modificato notevolmente prima del rilascio. Microsoft non fornisce alcuna garanzia, espressa o implicita, in relazione alle informazioni fornite qui.

Prerequisiti

Esistono diversi ruoli, autorizzazioni e requisiti di licenza per visualizzare i segnali di monitoraggio della salute e configurare e ricevere avvisi. È consigliabile usare un ruolo con accesso con privilegi minimi per allinearsi alle linee guida Zero Trust.

  • Per visualizzare i segnali di monitoraggio dello scenario di integrità di Microsoft Entra, è necessario un tenant con una licenza Microsoft Entra P1 o P2.
  • Un tenant con licenza Microsoft Entra P1 o P2e almeno 100 utenti attivi mensili è necessario per visualizzare gli avvisi e ricevere notifiche di avviso.
  • Il ruolo Lettore di Report è il ruolo con privilegi minimi necessari per visualizzare i segnali di monitoraggio dello scenario, gli avvisi e le configurazioni degli avvisi.
  • L'amministratoredel supporto tecnico è il ruolo con privilegi minimi necessari per aggiornare gli avvisi e aggiornare le configurazioni di notifica degli avvisi.
  • L'autorizzazione HealthMonitoringAlert.Read.All è necessaria per visualizzare gli avvisi usando l'API Microsoft Graph.
  • L'autorizzazione HealthMonitoringAlert.ReadWrite.All è necessaria per visualizzare e modificare gli avvisi usando l'API Microsoft Graph.
  • Per un elenco completo dei ruoli, vedere Ruolo con privilegi minimi per attività.

Analizzare i segnali e gli avvisi

L'analisi di un avviso inizia con la raccolta dei dati. Con Microsoft Entra Health nell'interfaccia di amministrazione di Microsoft Entra, è possibile visualizzare i dettagli del segnale e dell'avviso in un'unica posizione. È anche possibile visualizzare i segnali e gli avvisi usando l'API Microsoft Graph. Per ulteriori informazioni, vedere Come investigare gli avvisi sullo scenario di salute per indicazioni su come raccogliere dati utilizzando l'API di Microsoft Graph.

  1. Accedi all'interfaccia di amministrazione di Microsoft Entra come almeno un lettore di report .

  2. Passare a Entra ID>Monitoraggio e integrità>. La pagina si apre sul Raggiungimento dell'Accordo sul Livello di Servizio (SLA).

  3. Selezionare la scheda monitoraggio dell'integrità.

  4. Selezionare lo scenario di accesso che richiede l'autenticazione a più fattori di Entra ID e quindi selezionare un avviso attivo.

    Screenshot della pagina di destinazione di Microsoft Entra Health.

  5. Visualizza il segnale dalla sezione Visualizza grafico dati per acquisire familiarità con il modello e identificare le anomalie.

    Screenshot degli accessi che richiedono il segnale MFA.

  6. Esaminare i registri di accesso.

    • Esaminare i dettagli del registro di accesso.
    • Cercare utenti bloccati dall'accesso e a cui è applicato un criterio di accesso condizionale che richiede MFA.

  7. Controllare i log di controllo per verificare la presenza di modifiche recenti ai criteri.

Attenuare i problemi comuni

I problemi comuni seguenti possono causare un picco negli accessi MFA. Questo elenco non è esaustivo, ma fornisce un punto di partenza per l'indagine.

Problemi di configurazione dell'applicazione

Un aumento degli accessi che richiedono l'autenticazione a più fattori potrebbe indicare una modifica dei criteri o una nuova implementazione delle funzionalità che ha potenzialmente attivato un numero elevato di utenti per l'accesso nello stesso momento.

Per analizzare:

  1. Nella sezione Entità interessate dello scenario selezionato, seleziona Visualizza per le applicazioni.

    • Un elenco di applicazioni interessate viene visualizzato in un pannello. Selezionare l'applicazione per passare direttamente ai dettagli dell'applicazione in cui è possibile visualizzare i log di controllo e altri dettagli.
    • Con l'API Microsoft Graph, cerca "resourceType" dell'"applicazione" nel riepilogo dell'impatto.

  2. Esaminare i log di controllo per l'applicazione.

    • Determinare se l'applicazione è stata aggiunta o riconfigurata di recente, che potrebbe attivare un numero elevato di utenti che accedono.

  3. Esaminare i registri di accesso.

    • Usare la colonna delle applicazioni per filtrare per la stessa applicazione o intervallo di date per cercare eventuali altri schemi.

Problemi di autenticazione dell'utente

Un aumento degli accessi che richiedono l'autenticazione a più fattori potrebbe indicare un attacco di forza bruta, in cui vengono eseguiti più tentativi di accesso non autorizzati all'account di un utente.

Per analizzare:

  1. Nella sezione Entità interessate dello scenario selezionato selezionare Visualizza per gli utenti.

    • Un elenco di utenti interessati viene visualizzato in un pannello. Selezionare un utente per passare direttamente al proprio profilo in cui è possibile visualizzare l'attività di accesso e altri dettagli.
    • Con l'API Microsoft Graph, cerca 'utente' resourceType e il valore impactedCount nel riepilogo dell'impatto.

  2. Esaminare i registri di accesso.

    • Usare i filtri seguenti nei log di accesso:
      • Stato: fallimento
      • Requisito di autenticazione: autenticazione a più fattori
      • Modificare la data in modo che corrisponda all'intervallo di tempo indicato nel riepilogo dell'impatto.
    • I tentativi di accesso non riusciti provengono dallo stesso indirizzo IP?
    • I tentativi di accesso non riusciti vengono eseguiti dallo stesso utente?
    • Eseguire la diagnostica di accesso per escludere errori dell'utente standard o problemi di configurazione iniziale dell'autenticazione a più fattori.

Problemi di rete

Potrebbe verificarsi un'interruzione del sistema a livello di area che richiedeva a un numero elevato di utenti di accedere contemporaneamente.

Per analizzare:

  1. Nella sezione Entità interessate dello scenario selezionato selezionare Visualizza per gli utenti.

    • Un elenco di utenti interessati viene visualizzato in un pannello. Selezionare un utente per passare direttamente al proprio profilo in cui è possibile visualizzare l'attività di accesso e altri dettagli.
    • Con l'API Microsoft Graph, cerca 'utente' resourceType e il valore impactedCount nel riepilogo dell'impatto.

  2. Controllare l'integrità del sistema e della rete per verificare se un'interruzione o un aggiornamento corrisponde allo stesso intervallo di tempo dell'anomalia.

  3. Esaminare i log di accesso.

    • Modificare il filtro per visualizzare gli accessi da un'area in cui si trova un utente interessato.

  4. Se la tua organizzazione utilizza Global Secure Access, esamina i log del traffico .

Contenuto correlato

  • Last updated on