Как исследовать входы, требующие многофакторной проверки подлинности
Мониторинг работоспособности Microsoft Entra Health предоставляет набор метрик работоспособности на уровне клиента, которые можно отслеживать и оповещать при обнаружении потенциальной проблемы или сбоя. Существует несколько сценариев работоспособности, которые можно отслеживать, включая многофакторную проверку подлинности (MFA).
Данный сценарий:
- Агрегирует количество пользователей, успешно завершивших вход MFA с помощью облачной службы MFA Microsoft Entra.
- Записывает интерактивные входы с помощью MFA, агрегируя как успешные, так и сбои.
- Исключает, когда пользователь обновляет сеанс, не выполняя интерактивную MFA или используя методы входа без пароля.
В этой статье описываются эти метрики работоспособности и способы устранения потенциальной проблемы при получении оповещения.
Необходимые компоненты
Существуют различные роли, разрешения и требования лицензии для просмотра сигналов мониторинга работоспособности и настройки и получения оповещений. Мы рекомендуем использовать роль с минимальными привилегиями для согласования с руководством по нулю доверия.
- Клиент с лицензией Microsoft Entra P1 или P2 необходим для просмотра сигналов мониторинга сценария работоспособности Microsoft Entra.
- Клиент с лицензией Microsoft Entra P1 или P2 и по крайней мере 100 ежемесячных активных пользователей требуется для просмотра оповещений и получения уведомлений об оповещениях.
- Роль читателя отчетов — это наименее привилегированная роль, необходимая для просмотра сигналов мониторинга сценариев, оповещений и конфигураций оповещений.
- Администратор службы технической поддержки является наименее привилегированной ролью, необходимой для обновления оповещений и обновления конфигураций уведомлений оповещений.
- Разрешение
HealthMonitoringAlert.Read.All
требуется для просмотра оповещений с помощью API Microsoft Graph. - Разрешение
HealthMonitoringAlert.ReadWrite.All
требуется для просмотра и изменения оповещений с помощью API Microsoft Graph. - Полный список ролей см. в разделе "Наименее привилегированная роль" по задачам.
Собрать данные
Изучение оповещения начинается с сбора данных.
- Соберите сведения о сигнале и сводку о влиянии.
- Просмотрите журналы входа.
- Просмотрите сведения о журнале входа.
- Найдите пользователей, которые заблокированы для входа и имеют политику условного доступа, требующую применения MFA.
- Проверьте журналы аудита для последних изменений политики.
- Используйте журналы аудита для устранения неполадок с изменениями политики условного доступа.
Устранение распространенных проблем
Следующие распространенные проблемы могут привести к всплеску входов MFA. Этот список не является исчерпывающим, но предоставляет отправную точку для исследования.
Проблемы с конфигурацией приложения
Увеличение количества входов, требующих многофакторной идентификации, может указывать на изменение политики или развертывание новых функций, потенциально активировало большое количество пользователей для входа в систему в одно и то же время.
Чтобы изучить:
- В сводке по влиянию, если
resourceType
это "приложение" и есть только одно или два приложения, проверьте журналы аудита на наличие изменений в перечисленных приложениях. - В журналах аудита используйте целевой столбец, чтобы отфильтровать приложение или открыть журналы аудита из корпоративных приложений, поэтому фильтр уже установлен.
- Определите, было ли приложение недавно добавлено или перенастроено.
- В журналах входа используйте столбец приложения , чтобы отфильтровать один и тот же диапазон приложений или дат, чтобы найти другие шаблоны.
Проблемы с аутентификацией пользователей
Увеличение количества входов, требующих многофакторной проверки подлинности, может указывать на атаку подбора, при которой несколько несанкционированных попыток входа выполняются в учетную запись пользователя.
Чтобы изучить:
- В сводке влияния, если
resourceType
это "пользователь" иimpactedCount
значение отображает небольшое подмножество пользователей, проблема может быть конкретной пользователем. - Используйте следующие фильтры в журналах входа:
- Состояние: сбой
- Требование проверки подлинности: многофакторная проверка подлинности
- Измените дату на соответствие временному интервалу, указанному в сводке по влиянию.
- Выполняются ли неудачные попытки входа из того же IP-адреса?
- Являются ли неудачные попытки входа от одного пользователя?
- Запустите диагностику входа, чтобы исключить стандартные проблемы с ошибкой пользователя или начальные проблемы с настройкой MFA.
проблемы с сетью.
Может произойти сбой региональной системы, требующий одновременного входа в систему большого количества пользователей.
Чтобы изучить:
- В сводке по влиянию, если
resourceType
это "пользователь" иimpactedCount
значение показывает большой процент пользователей вашей организации, может возникнуть проблема с широким распространением. - Проверьте работоспособность системы и сети, чтобы узнать, совпадает ли сбой или обновление в том же интервале времени, что и аномалия.