Dela via


Så här undersöker du inloggningar som kräver multifaktorautentisering

Microsoft Entra Health-övervakning tillhandahåller en uppsättning hälsomått på klientorganisationsnivå som du kan övervaka och aviseringar när ett potentiellt problem eller feltillstånd identifieras. Det finns flera hälsoscenarier som kan övervakas, inklusive multifaktorautentisering (MFA).

Det här scenariot:

  • Aggregerar antalet användare som har slutfört en MFA-inloggning med hjälp av en Microsoft Entra Cloud MFA-tjänst.
  • Samlar in interaktiva inloggningar med MFA och aggregerar både lyckade och misslyckade.
  • Utesluter när en användare uppdaterar sessionen utan att slutföra den interaktiva MFA:en eller med hjälp av lösenordslösa inloggningsmetoder.

Den här artikeln beskriver dessa hälsomått och hur du felsöker ett potentiellt problem när du får en avisering.

Förutsättningar

Det finns olika roller, behörigheter och licenskrav för att visa hälsoövervakningssignaler och konfigurera och ta emot aviseringar. Vi rekommenderar att du använder en roll med minst behörighet för att anpassa till Nolltillit vägledning.

Samla in data

Att undersöka en avisering börjar med att samla in data.

  1. Samla in signalinformationen och sammanfattningen av påverkan.
    • Mer information finns i Översikt över hälsoövervakning i Microsoft Graph.
  2. Granska inloggningsloggarna.
  3. Kontrollera granskningsloggarna för de senaste principändringarna.

Åtgärda vanliga problem

Följande vanliga problem kan orsaka en topp i MFA-inloggningar. Den här listan är inte fullständig, men ger en startpunkt för din undersökning.

Problem med programkonfiguration

En ökning av inloggningar som kräver MFA kan tyda på en principändring eller att en ny funktionsdistribution kan utlösa ett stort antal användare för att logga in ungefär samtidigt.

Så här undersöker du:

  • I konsekvenssammanfattningen, om resourceType är "program" och det bara finns ett eller två program i listan, kontrollerar du granskningsloggarna för ändringar i de angivna programmen.
  • I granskningsloggarna använder du kolumnen Mål för att filtrera efter programmet eller öppna granskningsloggarna från Företagsprogram, så att filtret redan har angetts.
  • Kontrollera om programmet nyligen har lagts till eller konfigurerats om.
  • I inloggningsloggarna använder du kolumnen Program för att filtrera efter samma program eller datumintervall för att leta efter andra mönster.

Problem med användarautentisering

En ökning av inloggningar som kräver MFA kan tyda på en råstyrkeattack, där flera obehöriga inloggningsförsök görs till en användares konto.

Så här undersöker du:

  • I konsekvenssammanfattningen, om resourceType är "användare" och impactedCount värdet visar en liten delmängd av användarna, kan problemet vara användarspecifikt.
  • Använd följande filter i inloggningsloggarna:
    • Status: Fel
    • Autentiseringskrav: Multifaktorautentisering
    • Justera datumet så att det matchar den tidsram som anges i konsekvenssammanfattningen.
  • Kommer misslyckade inloggningsförsök från samma IP-adress?
  • Görs misslyckade inloggningsförsök från samma användare?
  • Kör inloggningsdiagnostiken för att utesluta vanliga problem med användarfel eller inledande MFA-konfigurationsproblem.

Nätverksproblem

Det kan uppstå ett regionalt systemstopp som kräver att ett stort antal användare loggar in samtidigt.

Så här undersöker du:

  • I konsekvenssammanfattningenimpactedCount, om resourceType är "användare" och värdet visar en stor andel av organisationens användare, kanske du tittar på ett brett spridningsproblem.
  • Kontrollera systemets och nätverkets hälsotillstånd för att se om ett avbrott eller en uppdatering matchar samma tidsram som avvikelsen.

Nästa steg