Como investigar entradas que exigem autenticação multifator
O monitoramento de integridade do Microsoft Entra fornece um conjunto de métricas de integridade no nível do locatário que você pode monitorar e alerta quando um possível problema ou condição de falha é detetado. Há vários cenários de integridade que podem ser monitorados, incluindo a autenticação multifator (MFA).
Este cenário:
- Agrega o número de usuários que concluíram com êxito uma entrada de MFA usando um serviço de MFA na nuvem do Microsoft Entra.
- Captura entradas interativas com MFA, agregando sucessos e falhas.
- Exclui quando um usuário atualiza a sessão sem concluir a MFA interativa ou usar métodos de entrada sem senha.
Este artigo descreve essas métricas de integridade e como solucionar um possível problema quando você recebe um alerta.
Pré-requisitos
Há diferentes funções, permissões e requisitos de licença para exibir sinais de monitoramento de integridade e configurar e receber alertas. Recomendamos o uso de uma função com acesso com privilégios mínimos para alinhar com as diretrizes do Zero Trust.
- Um locatário com uma licença do Microsoft Entra P1 ou P2 é necessário para exibir os sinais de monitoramento do cenário de integridade do Microsoft Entra.
- Um locatário com uma licença do Microsoft Entra P1 ou P2 e pelo menos 100 usuários ativos mensais é necessário para exibir alertas e receber notificações de alerta.
- A função Leitor de Relatórios é a função menos privilegiada necessária para exibir sinais, alertas e configurações de alerta de monitoramento de cenário.
- O Administrador de Helpdesk é a função menos privilegiada necessária para atualizar alertas e configurações de notificação de alerta.
- A
HealthMonitoringAlert.Read.All
permissão é necessária para exibir os alertas usando a API do Microsoft Graph. - A
HealthMonitoringAlert.ReadWrite.All
permissão é necessária para exibir e modificar os alertas usando a API do Microsoft Graph. - Para obter uma lista completa de funções, consulte Função menos privilegiada por tarefa.
Recolher dados
A investigação de um alerta começa com a recolha de dados.
- Reúna os detalhes do sinal e o resumo do impacto.
- Para obter mais informações, consulte Visão geral do monitoramento de integridade do Microsoft Graph.
- Reveja os registos de início de sessão.
- Reveja os detalhes do registo de início de sessão.
- Procure usuários que estão sendo impedidos de entrar e têm uma política de Acesso Condicional que exige MFA aplicada.
- Verifique se há alterações recentes na política nos logs de auditoria.
- Use os logs de auditoria para solucionar problemas de alterações na política de Acesso Condicional.
Atenuar problemas comuns
Os seguintes problemas comuns podem causar um pico nas entradas de MFA. Esta lista não é exaustiva, mas fornece um ponto de partida para a sua investigação.
Problemas de configuração do aplicativo
Um aumento nas entradas que exigem MFA pode indicar que uma alteração de política ou uma nova implantação de recursos potencialmente desencadeou um grande número de usuários para entrar ao mesmo tempo.
Para investigar:
- No resumo de impacto, se
resourceType
for "aplicativo" e houver apenas um ou dois aplicativos listados, verifique os logs de auditoria para alterações nos aplicativos listados. - Nos logs de auditoria, use a coluna Destino para filtrar o aplicativo ou abrir os logs de auditoria de Aplicativos Corporativos, para que o filtro já esteja definido.
- Determine se o aplicativo foi adicionado ou reconfigurado recentemente.
- Nos logs de entrada, use a coluna Aplicativo para filtrar o mesmo aplicativo ou intervalo de datas para procurar outros padrões.
Problemas de autenticação de utilizadores
Um aumento nos logins que exigem MFA pode indicar um ataque de força bruta, onde várias tentativas de entrada não autorizadas são feitas na conta de um usuário.
Para investigar:
- No resumo de impacto, se
resourceType
for "usuário" e oimpactedCount
valor mostrar um pequeno subconjunto de usuários, o problema pode ser específico do usuário. - Utilize os seguintes filtros nos registos de início de sessão:
- Estado: Falha
- Requisito de autenticação: autenticação multifator
- Ajuste a data para corresponder ao período indicado no resumo do impacto.
- As tentativas de início de sessão falhadas provêm do mesmo endereço IP?
- As tentativas de início de sessão falhadas são do mesmo utilizador?
- Execute o diagnóstico de entrada para excluir problemas de erro padrão do usuário ou problemas iniciais de configuração do MFA.
Problemas de rede
Pode haver uma interrupção do sistema regional que exija um grande número de usuários para entrar ao mesmo tempo.
Para investigar:
- No resumo de impacto, se
resourceType
for "usuário" e oimpactedCount
valor mostrar uma grande porcentagem dos usuários da sua organização, você pode estar olhando para um problema generalizado. - Verifique a integridade do sistema e da rede para ver se uma interrupção ou atualização corresponde ao mesmo período de tempo da anomalia.