Condividi tramite


Come analizzare gli accessi che richiedono l'autenticazione a più fattori

Il monitoraggio dell'integrità di Microsoft Entra fornisce un set di metriche di integrità a livello di tenant che è possibile monitorare e avvisare quando viene rilevata una potenziale condizione di errore o problema. È possibile monitorare più scenari di integrità, tra cui l'autenticazione a più fattori (MFA).

Questo scenario:

  • Aggrega il numero di utenti che hanno completato correttamente un accesso MFA usando un servizio MFA cloud Microsoft Entra.
  • Acquisisce accessi interattivi con MFA, aggregando sia operazioni riuscite che non riuscite.
  • Esclude quando un utente aggiorna la sessione senza completare l'autenticazione a più fattori interattiva o usando metodi di accesso senza password.

Questo articolo descrive queste metriche di integrità e come risolvere un potenziale problema quando si riceve un avviso.

Prerequisiti

Esistono diversi ruoli, autorizzazioni e requisiti di licenza per visualizzare i segnali di monitoraggio dell'integrità e configurare e ricevere avvisi. È consigliabile usare un ruolo con accesso con privilegi minimi per allinearsi alle linee guida Zero Trust.

  • Per visualizzare i segnali di monitoraggio dello scenario di integrità di Microsoft Entra, è necessario un tenant con una licenza Microsoft Entra P1 o P2.
  • Un tenant con licenza Microsoft Entra P1 o P2 e almeno 100 utenti attivi mensili è necessario per visualizzare gli avvisi e ricevere notifiche di avviso.
  • Il ruolo Lettore report è il ruolo con privilegi minimi necessari per visualizzare i segnali, gli avvisi e le configurazioni degli avvisi dello scenario.
  • L'amministratore del supporto tecnico è il ruolo con privilegi minimi necessari per aggiornare gli avvisi e aggiornare le configurazioni di notifica degli avvisi.
  • L'autorizzazione HealthMonitoringAlert.Read.All è necessaria per visualizzare gli avvisi usando l'API Microsoft Graph.
  • L'autorizzazione HealthMonitoringAlert.ReadWrite.All è necessaria per visualizzare e modificare gli avvisi usando l'API Microsoft Graph.
  • Per un elenco completo dei ruoli, vedere Ruolo con privilegi minimi per attività.

Raccogliere i dati

L'analisi di un avviso inizia con la raccolta dei dati.

  1. Raccogliere i dettagli del segnale e il riepilogo dell'impatto.
    • Per altre informazioni, vedere Panoramica del monitoraggio dell'integrità di Microsoft Graph.
  2. Esaminare i registri di accesso.
    • Esaminare i dettagli del log di accesso.
    • Cercare gli utenti bloccati per l'accesso e avere un criterio di accesso condizionale che richiede l'applicazione dell'autenticazione a più fattori.
  3. Controllare i log di controllo per verificare la presenza di modifiche recenti ai criteri.

Attenuare i problemi comuni

I problemi comuni seguenti possono causare un picco negli accessi MFA. Questo elenco non è esaustivo, ma fornisce un punto di partenza per l'indagine.

Problemi di configurazione dell'applicazione

Un aumento degli accessi che richiedono l'autenticazione a più fattori potrebbe indicare una modifica dei criteri o una nuova implementazione delle funzionalità che ha potenzialmente attivato un numero elevato di utenti per l'accesso nello stesso momento.

Per analizzare:

  • Nel riepilogo dell'impatto, se resourceType è "applicazione" e sono elencate solo una o due applicazioni, controllare i log di controllo per verificare la presenza di modifiche alle applicazioni elencate.
  • Nei log di controllo usare la colonna Destinazione per filtrare l'applicazione o aprire i log di controllo da Applicazioni aziendali, in modo che il filtro sia già impostato.
  • Determinare se l'applicazione è stata aggiunta o riconfigurata di recente.
  • Nei log di accesso usare la colonna Applicazione per filtrare per lo stesso intervallo di applicazioni o date per cercare altri modelli.

Problemi di autenticazione dell'utente

Un aumento degli accessi che richiedono l'autenticazione a più fattori potrebbe indicare un attacco di forza bruta, in cui vengono eseguiti più tentativi di accesso non autorizzati all'account di un utente.

Per analizzare:

  • Nel riepilogo dell'impatto, se resourceType è "utente" e il impactedCount valore mostra un piccolo subset di utenti, il problema potrebbe essere specifico dell'utente.
  • Usare i filtri seguenti nei log di accesso:
    • Stato: errore
    • Requisito di autenticazione: autenticazione a più fattori
    • Modificare la data in modo che corrisponda all'intervallo di tempo indicato nel riepilogo dell'impatto.
  • I tentativi di accesso non riusciti provengono dallo stesso indirizzo IP?
  • I tentativi di accesso non riusciti vengono eseguiti dallo stesso utente?
  • Eseguire la diagnostica di accesso per escludere i problemi di errore dell'utente standard o i problemi di installazione iniziale dell'autenticazione a più fattori.

Problemi di rete

Potrebbe verificarsi un'interruzione del sistema a livello di area che richiedeva a un numero elevato di utenti di accedere contemporaneamente.

Per analizzare:

  • Nel riepilogo dell'impatto, se resourceType è "utente" e il impactedCount valore mostra una grande percentuale di utenti dell'organizzazione, è possibile che si stia esaminando un problema di ampia diffusione.
  • Controllare l'integrità del sistema e della rete per verificare se un'interruzione o un aggiornamento corrisponde allo stesso intervallo di tempo dell'anomalia.

Passaggi successivi