Udostępnij za pośrednictwem

Jak zbadać logowania wymagające uwierzytelniania wieloskładnikowego Microsoft Entra

Monitorowanie usługi Microsoft Entra Health udostępnia zestaw metryk kondycji na poziomie dzierżawy, które można monitorować i alerty w przypadku wykrycia potencjalnego problemu lub stanu awarii. Istnieje wiele scenariuszy zdrowotnych, które można monitorować, w tym uwierzytelnianie wieloskładnikowe Microsoft Entra (MFA).

Ten scenariusz:

  • Agreguje liczbę użytkowników, którzy pomyślnie ukończyli logowanie wieloskładnikowe przy użyciu usługi MFA firmy Microsoft Entra w chmurze.
  • Przechwytuje interaktywne logowania za pomocą usługi Microsoft Entra MFA, agregując zarówno sukcesy, jak i niepowodzenia.
  • Nie dotyczy sytuacji, gdy użytkownik odświeża sesję, nie kończąc interaktywnego uwierzytelniania wieloskładnikowego ani logowania przy użyciu metod bez hasła.

W tym artykule opisano te metryki kondycji i sposób rozwiązywania potencjalnego problemu po otrzymaniu alertu. Aby uzyskać szczegółowe informacje na temat interakcji ze scenariuszami monitorowania kondycji i sposobu badania wszystkich alertów, zobacz Jak badać alerty dotyczące scenariusza kondycji.

Ważny

Monitorowanie i alerty dotyczące scenariusza usługi Microsoft Entra Health są obecnie dostępne w wersji zapoznawczej. Te informacje odnoszą się do produktu w wersji wstępnej, który może zostać znacząco zmodyfikowany przed wydaniem. Firma Microsoft nie udziela żadnych gwarancji, wyrażonych ani domniemanych, w odniesieniu do podanych tutaj informacji.

Wymagania wstępne

Istnieją różne role, uprawnienia i wymagania licencyjne dotyczące wyświetlania sygnałów monitorowania kondycji oraz konfigurowanie i odbieranie alertów. Zalecamy używanie roli z minimalnymi uprawnieniami, aby dopasować je do zasady Zero Trust.

  • Najemca z licencją Microsoft Entra P1 lub P2 jest wymagany, aby wyświetlać sygnały monitorowania scenariuszy zdrowotnych Microsoft Entra.
  • Najemca z licencją Microsoft Entra P1 lub P2 bez wersji próbneji oraz co najmniej 100 aktywnymi użytkownikami miesięcznie jest zobowiązany do wyświetlania alertów i otrzymywania powiadomień o alertach.
  • Rola Czytelnik raportów jest najmniej uprzywilejowaną rolą wymaganą do wyświetlania sygnałów monitorowania scenariusza, alertów i konfiguracji alertów.
  • Administrator pomocy technicznej jest najmniej uprzywilejowaną rolą wymaganą do aktualizowania alertów i aktualizowania konfiguracji powiadomień o alertach.
  • Uprawnienie HealthMonitoringAlert.Read.All jest wymagane do wyświetlania alertów przy użyciu interfejsu API programu Microsoft Graph.
  • Uprawnienie HealthMonitoringAlert.ReadWrite.All jest wymagane do wyświetlania i modyfikowania alertów przy użyciu interfejsu API programu Microsoft Graph.
  • Aby uzyskać pełną listę ról, zobacz Najmniej uprzywilejowana rola według zadania.

Badanie sygnałów i alertów

Badanie alertu rozpoczyna się od zbierania danych. Dzięki usłudze Microsoft Entra Health w centrum administracyjnym firmy Microsoft Entra możesz wyświetlić szczegóły sygnału i alertu w jednym miejscu. Możesz również wyświetlić sygnały i alerty przy użyciu interfejsu API programu Microsoft Graph. Aby uzyskać więcej informacji, zobacz Jak badać alerty dotyczące scenariusza kondycji, aby uzyskać wskazówki dotyczące zbierania danych przy użyciu interfejsu API programu Microsoft Graph.

  1. Zaloguj się do centrum administracyjnego Microsoft Entra jako co najmniej Odbiorca raportów.

  2. Przejdź do Entra ID>Monitorowanie i kondycja>Kondycja. Strona otwiera się na stronie realizacji umowy dotyczącej poziomu usług (SLA).

  3. Wybierz kartę Monitorowanie kondycji.

  4. Wybierz scenariusz Logowania wymagające uwierzytelniania wieloskładnikowego Entra ID, a następnie wybierz aktywny alert.

    zrzut ekranu przedstawiający stronę docelową usługi Microsoft Entra Health.

  5. Wyświetl sygnał z sekcji Wyświetl wykres danych, aby zapoznać się ze wzorcem i zidentyfikować anomalie.

    Zrzut ekranu przedstawiający logowania wymagające sygnału uwierzytelniania wieloskładnikowego.

  6. Przejrzyj dzienniki logowania.

    • Przejrzyj szczegóły dziennika logowania.
    • Poszukaj użytkowników, którzy są blokowani przed zalogowaniem się i mają zastosowaną politykę dostępu warunkowego wymagającą uwierzytelniania wieloskładnikowego.

  7. Sprawdź dzienniki inspekcji pod kątem ostatnich zmian zasad.

Rozwiązywanie typowych problemów

Następujące typowe problemy mogą spowodować gwałtowny wzrost liczby logowań przy użyciu uwierzytelniania wieloskładnikowego. Ta lista nie jest wyczerpująca, ale stanowi punkt wyjścia do badania.

Problemy z konfiguracją aplikacji

Zwiększenie liczby logowań wymagających uwierzytelniania wieloskładnikowego może oznaczać, że zmiana polityki lub wdrożenie nowej funkcji spowodowało, że duża liczba użytkowników zalogowała się w tym samym czasie.

Aby zbadać:

  1. W sekcji Dotknięte jednostki wybranego scenariusza wybierz Wyświetl dla aplikacji.

    • Na panelu zostanie wyświetlona lista aplikacji, których dotyczy problem. Wybierz aplikację, aby przejść bezpośrednio do szczegółów aplikacji, gdzie można wyświetlić dzienniki inspekcji i inne szczegóły.
    • Korzystając z interfejsu API Microsoft Graph, poszukaj "aplikacji" resourceType w podsumowaniu wpływu.

  2. Przejrzyj dzienniki inspekcji aplikacji.

    • Ustal, czy aplikacja została niedawno dodana lub ponownie skonfigurowana, co może spowodować zalogowanie dużej liczby użytkowników.

  3. Przejrzyj dzienniki logowania.

    • Użyj kolumny Application, aby filtrować dla tej samej aplikacji lub zakresu dat, aby wyszukać inne wzorce.

Problemy z uwierzytelnianiem użytkowników

Zwiększenie liczby logów wymagających uwierzytelniania wieloskładnikowego może wskazywać na atak siłowy, w którym do konta użytkownika jest prowadzonych wiele nieautoryzowanych prób logowania.

Aby zbadać:

  1. W sekcji Jednostek dotkniętych problemem wybranego scenariusza, wybierz opcję Wyświetl dla użytkowników.

    • Na panelu zostanie wyświetlona lista użytkowników, których dotyczy problem. Wybierz użytkownika, aby przejść bezpośrednio do swojego profilu, w którym możesz wyświetlić swoje działania logowania i inne szczegóły.
    • Za pomocą API Microsoft Graph wyszukaj "użytkownik" resourceType i wartość impactedCount w podsumowaniu wpływu.

  2. Przejrzyj dzienniki logowania.

    • Użyj następujących filtrów w dziennikach logowania:
      • Stan: Niepowodzenie
      • Wymaganie uwierzytelniania: uwierzytelnianie wieloskładnikowe
      • Dostosuj datę tak, aby odpowiadała przedziałowi czasu wskazanemu w podsumowaniu wpływu.
    • Czy nieudane próby logowania pochodzą z tego samego adresu IP?
    • Czy nieudane próby logowania pochodzą od tego samego użytkownika?
    • Uruchom diagnostykę logowania, aby wykluczyć typowe błędy użytkowników lub początkowe problemy z ustawieniami uwierzytelniania wieloskładnikowego.

Problemy z siecią

Może wystąpić awaria systemu regionalnego, która wymagała jednoczesnego zalogowania dużej liczby użytkowników.

Aby zbadać:

  1. W sekcji Jednostek dotkniętych problemem wybranego scenariusza, wybierz opcję Wyświetl dla użytkowników.

    • Na panelu zostanie wyświetlona lista użytkowników, których dotyczy problem. Wybierz użytkownika, aby przejść bezpośrednio do swojego profilu, w którym możesz wyświetlić swoje działania logowania i inne szczegóły.
    • Za pomocą API Microsoft Graph wyszukaj "użytkownik" resourceType i wartość impactedCount w podsumowaniu wpływu.

  2. Sprawdź kondycję systemu i sieci, aby sprawdzić, czy awaria lub aktualizacja jest zgodna z tym samym przedziałem czasu co anomalia.

  3. Przejrzyj dzienniki logowania.

    • Dostosuj filtr, aby wyświetlić logowania z regionu, w którym znajduje się użytkownik, którego dotyczy problem.

  4. Jeśli twoja organizacja korzysta z Global Secure Access, przejrzyj dzienniki ruchu .

Powiązana zawartość

  • Last updated on