多要素認証を必要とするサインインの調査方法
Microsoft Entra Health の監視には、監視可能な一連のテナントレベルの正常性メトリックが用意されており、潜在的な問題または障害の状態が検出されたときにアラートが生成されます。 多要素認証 (MFA) を含めた、監視可能な複数の正常性シナリオがあります。
このシナリオは次のとおりです。
- Microsoft Entra クラウド MFA サービスを使用して MFA サインインを正常に完了したユーザーの数を集計します。
- MFA を使用して対話型サインインをキャプチャし、成功と失敗の両方を集計します。
- 対話型 MFA を完了したり、パスワードレスのサインイン方法を使用したりせずにユーザーがセッションを更新する場合は除外されます。
この記事では、このような正常性メトリックと、アラートを受信したときの潜在的な問題のトラブルシューティング方法について説明します。
前提条件
稼働状況の監視シグナルを表示し、アラートの構成と受信を行うための、さまざまなロール、アクセス許可、ライセンス要件があります。 ゼロ トラスト ガイダンスに沿うには、最低特権アクセス権を持つ役割を使用することをお勧めします。
- Microsoft Entra Health のシナリオ監視シグナルを "表示" するには、Microsoft Entra P1 または P2 ライセンスを持つテナントが必要です。
- "アラートを表示" し、"アラート通知を受信する" には、Microsoft Entra P1 または P2 ライセンス "および" 少なくとも 100 人の月間アクティブ ユーザーの両方を持つテナントが必要です。
- レポート閲覧者ロールは、"シナリオ監視シグナル、アラート、アラート構成を表示する" ために必要な最小限の特権ロールです。
- ヘルプデスク管理者は、"アラートの更新" と "アラート通知構成の更新" に必要な最小限の特権ロールです。
- "Microsoft Graph API を使用してアラートを表示する" には、
HealthMonitoringAlert.Read.All
のアクセス許可が必要です。 - "Microsoft Graph API を使用してアラートの表示と変更を行う" には、
HealthMonitoringAlert.ReadWrite.All
のアクセス許可が必要です。 - ロールの詳細な一覧については、「タスク別の最小特権ロール」を参照してください。
データを収集する
アラートの調査は、データの収集から始まります。
- シグナルの詳細と影響の概要を収集します。
- 詳細については、Microsoft Graph の稼働状況の監視の概要に関する記事を参照してください。
- サインイン ログを確認します。
- サインイン ログの詳細を確認します。
- サインインがブロックされ、"さらに" MFA の適用が必要な条件付きアクセス ポリシーが設定されているユーザーを探します。
- 監査ログで、最近変更されたポリシーがないかを確認します。
一般的な問題を軽減する
次の一般的な問題により、MFA によるサインインが急増する可能性があります。この一覧がすべてではありませんが、調査の開始点となります。
アプリケーションの構成に関する問題
MFA を必要とするサインインの増加は、ポリシーの変更や新機能のロールアウトによって、多数のユーザーによる同時サインインが発生したことを示している可能性があります。
以下のようにして調査します。
- 影響の概要で、
resourceType
が "アプリケーション" であり、1 つまたは 2 つのアプリケーションのみが一覧表示されている場合は、一覧に示されているアプリケーションに変更がないかを監査ログで確認します。 - 監査ログで、[ターゲット] 列を使用してアプリケーションをフィルター処理するか、フィルターが既に設定されているエンタープライズ アプリケーションから監査ログを開きます。
- アプリケーションが最近追加または再構成されたかどうかを確認します。
- サインイン ログで、[アプリケーション] 列を使用して、同じアプリケーションまたは日付範囲でフィルター処理して他のパターンがないかを探します。
ユーザー認証の問題
MFA を必要とするサインインの増加は、ユーザーのアカウントに対して複数の未承認のサインインが試行されているブルート フォース攻撃を示している可能性があります。
以下のようにして調査します。
- 影響の概要で、
resourceType
が "ユーザー" であり、impactedCount
値に表示されているユーザー数が少ない場合、その問題はユーザー固有である可能性があります。 - サインイン ログで、次のフィルターを使用します。
- [状態]: 失敗
- [認証の要件]: 多要素認証
- 影響の概要に示されている期間と一致するように日付を調整します。
- 失敗したサインイン試行は同じ IP アドレスで発生していますか?
- 失敗したサインイン試行は同じユーザーで発生していますか?
- サインイン診断を実行して、標準的なユーザー エラーの問題または MFA の初期設定の問題を除外します。
ネットワークの問題
多数のユーザーが同時にサインインする必要があるリージョンで、システム停止が発生している可能性があります。
調査方法:
- 影響の概要で、
resourceType
が "user" であり、impactedCount
の値が組織のユーザーの大きな割合を示している場合は、広い範囲で問題が発生している可能性があります。 - システムとネットワークの正常性を確認して、停止または更新の期間が異常と一致するかを確認します。