Поделиться через


Как исследовать входы, требующие многофакторной проверки подлинности

Мониторинг работоспособности Microsoft Entra Health предоставляет набор метрик работоспособности на уровне клиента, которые можно отслеживать и оповещать при обнаружении потенциальной проблемы или сбоя. Существует несколько сценариев работоспособности, которые можно отслеживать, включая многофакторную проверку подлинности (MFA).

Данный сценарий:

  • Агрегирует количество пользователей, успешно завершивших вход MFA с помощью облачной службы MFA Microsoft Entra.
  • Записывает интерактивные входы с помощью MFA, агрегируя как успешные, так и сбои.
  • Исключает, когда пользователь обновляет сеанс, не выполняя интерактивную MFA или используя методы входа без пароля.

В этой статье описываются эти метрики работоспособности и способы устранения потенциальной проблемы при получении оповещения.

Необходимые компоненты

Существуют различные роли, разрешения и требования лицензии для просмотра сигналов мониторинга работоспособности и настройки и получения оповещений. Мы рекомендуем использовать роль с минимальными привилегиями для согласования с руководством по нулю доверия.

  • Клиент с лицензией Microsoft Entra P1 или P2 необходим для просмотра сигналов мониторинга сценария работоспособности Microsoft Entra.
  • Клиент с лицензией Microsoft Entra P1 или P2 и по крайней мере 100 ежемесячных активных пользователей требуется для просмотра оповещений и получения уведомлений об оповещениях.
  • Роль читателя отчетов — это наименее привилегированная роль, необходимая для просмотра сигналов мониторинга сценариев, оповещений и конфигураций оповещений.
  • Администратор службы технической поддержки является наименее привилегированной ролью, необходимой для обновления оповещений и обновления конфигураций уведомлений оповещений.
  • Разрешение HealthMonitoringAlert.Read.All требуется для просмотра оповещений с помощью API Microsoft Graph.
  • Разрешение HealthMonitoringAlert.ReadWrite.All требуется для просмотра и изменения оповещений с помощью API Microsoft Graph.
  • Полный список ролей см. в разделе "Наименее привилегированная роль" по задачам.

Собрать данные

Изучение оповещения начинается с сбора данных.

  1. Соберите сведения о сигнале и сводку о влиянии.
    • Дополнительные сведения см. в обзоре мониторинга работоспособности Microsoft Graph.
  2. Просмотрите журналы входа.
    • Просмотрите сведения о журнале входа.
    • Найдите пользователей, которые заблокированы для входа и имеют политику условного доступа, требующую применения MFA.
  3. Проверьте журналы аудита для последних изменений политики.

Устранение распространенных проблем

Следующие распространенные проблемы могут привести к всплеску входов MFA. Этот список не является исчерпывающим, но предоставляет отправную точку для исследования.

Проблемы с конфигурацией приложения

Увеличение количества входов, требующих многофакторной идентификации, может указывать на изменение политики или развертывание новых функций, потенциально активировало большое количество пользователей для входа в систему в одно и то же время.

Чтобы изучить:

  • В сводке по влиянию, если resourceType это "приложение" и есть только одно или два приложения, проверьте журналы аудита на наличие изменений в перечисленных приложениях.
  • В журналах аудита используйте целевой столбец, чтобы отфильтровать приложение или открыть журналы аудита из корпоративных приложений, поэтому фильтр уже установлен.
  • Определите, было ли приложение недавно добавлено или перенастроено.
  • В журналах входа используйте столбец приложения , чтобы отфильтровать один и тот же диапазон приложений или дат, чтобы найти другие шаблоны.

Проблемы с аутентификацией пользователей

Увеличение количества входов, требующих многофакторной проверки подлинности, может указывать на атаку подбора, при которой несколько несанкционированных попыток входа выполняются в учетную запись пользователя.

Чтобы изучить:

  • В сводке влияния, если resourceType это "пользователь" и impactedCount значение отображает небольшое подмножество пользователей, проблема может быть конкретной пользователем.
  • Используйте следующие фильтры в журналах входа:
    • Состояние: сбой
    • Требование проверки подлинности: многофакторная проверка подлинности
    • Измените дату на соответствие временному интервалу, указанному в сводке по влиянию.
  • Выполняются ли неудачные попытки входа из того же IP-адреса?
  • Являются ли неудачные попытки входа от одного пользователя?
  • Запустите диагностику входа, чтобы исключить стандартные проблемы с ошибкой пользователя или начальные проблемы с настройкой MFA.

проблемы с сетью.

Может произойти сбой региональной системы, требующий одновременного входа в систему большого количества пользователей.

Чтобы изучить:

  • В сводке по влиянию, если resourceType это "пользователь" и impactedCount значение показывает большой процент пользователей вашей организации, может возникнуть проблема с широким распространением.
  • Проверьте работоспособность системы и сети, чтобы узнать, совпадает ли сбой или обновление в том же интервале времени, что и аномалия.

Следующие шаги