Monitorowanie ciągłej weryfikacji dostępu i rozwiązywanie dotyczących jej problemów

  • Artykuł

Administracja istratory mogą monitorować zdarzenia logowania i rozwiązywać problemy, w których ciągła ocena dostępu (CAE) jest stosowana na wiele sposobów.

Raportowanie logowania ciągłej weryfikacji dostępu

Administracja istratory mogą monitorować logowania użytkowników, w których zastosowano ciągłą ocenę dostępu (CAE). Te informacje znajdują się w dziennikach logowania firmy Microsoft Entra:

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako czytelnik zabezpieczeń.
  2. Przejdź do dzienników logowania do monitorowania tożsamości>i kondycji.>
  3. Zastosuj filtr Is CAE Token (Is CAE Token filter).

Screenshot showing how to add a filter to the sign-in log to see where CAE is being applied or not.

W tym miejscu administratorzy otrzymują informacje o zdarzeniach logowania użytkownika. Wybierz dowolne logowanie, aby wyświetlić szczegółowe informacje o sesji, takie jak stosowane zasady dostępu warunkowego i włączenie funkcji CAE.

Dla każdego uwierzytelniania istnieje wiele żądań logowania. Niektóre znajdują się na karcie interaktywnej, podczas gdy inne znajdują się na karcie nieinterakcyjnej. Funkcja CAE jest oznaczona jako prawda tylko dla jednego z żądań, które może znajdować się na karcie interakcyjnej lub na karcie nieinterakcyjnej. Administracja muszą sprawdzić obie karty, aby potwierdzić, czy uwierzytelnianie użytkownika jest włączone, czy nie.

Wyszukiwanie konkretnych prób logowania

Dzienniki logowania zawierają informacje dotyczące zdarzeń powodzenia i niepowodzenia. Użyj filtrów, aby zawęzić wyszukiwanie. Jeśli na przykład użytkownik zalogował się do usługi Teams, użyj filtru Aplikacja i ustaw go na teams. Administracja może być konieczne sprawdzenie logów zarówno z interakcyjnych, jak i nieinterakcyjnych kart w celu zlokalizowania określonego logowania. Aby dokładniej zawęzić wyszukiwanie, administratorzy mogą zastosować wiele filtrów.

Skoroszyty ciągłej weryfikacji dostępu

Skoroszyt szczegółowych informacji dotyczących oceny ciągłego dostępu umożliwia administratorom wyświetlanie i monitorowanie szczegółowych informacji o użyciu usługi CAE dla swoich dzierżaw. W tabeli przedstawiono próby uwierzytelniania z niezgodnościami adresów IP. Ten skoroszyt można znaleźć jako szablon w kategorii Dostęp warunkowy.

Uzyskiwanie dostępu do szablonu skoroszytu CAE

Przed wyświetleniem skoroszytów należy ukończyć integrację usługi Log Analytics. Aby uzyskać więcej informacji na temat przesyłania strumieniowego dzienników logowania w usłudze Microsoft Entra do obszaru roboczego usługi Log Analytics, zobacz artykuł Integrowanie dzienników firmy Microsoft Entra z dziennikami usługi Azure Monitor.

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako czytelnik zabezpieczeń.
  2. Przejdź do skoroszytów monitorowania tożsamości>i kondycji.>
  3. W obszarze Szablony publiczne wyszukaj pozycję Szczegółowe informacje dotyczące ciągłej oceny dostępu.

Skoroszyt analizy ciągłego dostępu zawiera następującą tabelę:

Potencjalna niezgodność adresów IP między identyfikatorem entra firmy Microsoft i dostawcą zasobów

Potencjalna niezgodność adresów IP między tabelą microsoft Entra ID i dostawcy zasobów umożliwia administratorom badanie sesji, w których adres IP wykryty przez identyfikator Entra firmy Microsoft nie jest zgodny z adresem IP wykrytym przez dostawcę zasobów.

Ta tabela skoroszytu rzuca światło na te scenariusze, wyświetlając odpowiednie adresy IP i czy token CAE został wystawiony podczas sesji.

Szczegółowe informacje dotyczące oceny dostępu ciągłego na logowanie

Szczegółowe informacje dotyczące oceny ciągłego dostępu na stronę logowania w skoroszycie łączą wiele żądań z dzienników logowania i wyświetla jedno żądanie, w którym wystawiono token CAE.

Ten skoroszyt może być przydatny, na przykład wtedy, gdy: użytkownik otwiera program Outlook na pulpicie i próbuje uzyskać dostęp do zasobów w usłudze Exchange Online. Ta akcja logowania może być mapowana na wiele interakcyjnych i nieinterakcyjnych żądań logowania w dziennikach, co utrudnia diagnozowanie problemów.

Konfiguracja adresu IP

Dostawca tożsamości i dostawcy zasobów mogą widzieć różne adresy IP. Ta niezgodność może wystąpić z powodu następujących przykładów:

  • Sieć implementuje tunelowanie podzielone.
  • Dostawca zasobów używa adresu IPv6, a identyfikator Entra firmy Microsoft używa adresu IPv4.
  • Ze względu na konfiguracje sieci identyfikator Entra firmy Microsoft widzi jeden adres IP od klienta, a dostawca zasobów widzi inny adres IP od klienta.

Jeśli ten scenariusz istnieje w twoim środowisku, aby uniknąć nieskończonych pętli, identyfikator Entra firmy Microsoft wystawia token CAE o jedną godzinę i nie wymusza zmiany lokalizacji klienta w tym okresie jednogodzinnym. Nawet w tym przypadku bezpieczeństwo jest lepsze w porównaniu z tradycyjnymi tokenami jednogodzinowymi, ponieważ nadal oceniamy inne zdarzenia oprócz zdarzeń zmiany lokalizacji klienta.

Administracja mogą wyświetlać rekordy filtrowane według zakresu czasu i aplikacji. Administracja można porównać liczbę niedopasowanych adresów IP wykrytych z całkowitą liczbą logów w określonym przedziale czasu.

Aby odblokować użytkowników, administratorzy mogą dodawać określone adresy IP do zaufanej nazwanej lokalizacji.

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako co najmniej Administracja istrator dostępu warunkowego.
  2. Przejdź do pozycji Ochrona>dostępu>warunkowego nazwanych lokalizacji. W tym miejscu możesz tworzyć lub aktualizować zaufane lokalizacje adresów IP.

Uwaga

Przed dodaniem adresu IP jako zaufanej nazwanej lokalizacji upewnij się, że adres IP rzeczywiście należy do zamierzonej organizacji.

Aby uzyskać więcej informacji na temat nazwanych lokalizacji, zobacz artykuł Using the location condition (Korzystanie z warunku lokalizacji).

Powiązana zawartość