Så här undersöker du inloggningar som kräver Microsoft Entra multifaktorautentisering

Microsoft Entra Health-övervakning tillhandahåller en uppsättning hälsomått på klientorganisationsnivå som du kan övervaka och aviseringar när ett potentiellt problem eller feltillstånd identifieras. Det finns flera hälsoscenarier som kan övervakas, inklusive Microsoft Entra multifaktorautentisering (MFA).

Det här scenariot:

• Aggregerar antalet användare som har slutfört en MFA-inloggning med hjälp av en Microsoft Entra Cloud MFA-tjänst.
• Samlar in interaktiva inloggningar med Microsoft Entra MFA och aggregerar både lyckade och misslyckade inloggningar.
• Utesluter när en användare uppdaterar sessionen utan att slutföra den interaktiva MFA:en eller med hjälp av lösenordslösa inloggningsmetoder.

Den här artikeln beskriver dessa hälsomått och hur du felsöker ett potentiellt problem när du får en avisering. Mer information om hur du interagerar med hälsoövervakningsscenarier och hur du undersöker alla aviseringar finns i Så här undersöker du hälsoscenarioaviseringar.

Viktigt!

Övervakning och aviseringar för Microsoft Entra Health-scenarion finns för närvarande i förhandsversion. Den här informationen gäller en förhandsversionsprodukt som kan ändras avsevärt före lanseringen. Microsoft lämnar inga garantier, uttryckta eller underförstådda, med avseende på den information som tillhandahålls här.

Förutsättningar

Det finns olika roller, behörigheter och licenskrav för att visa hälsoövervakningssignaler och konfigurera och ta emot aviseringar. Vi rekommenderar att du använder en roll med minst behörighet för att anpassa till Nolltillit vägledning.

• En klientorganisation med en Microsoft Entra P1- eller P2-licens måste visa övervakningssignalerna för Microsoft Entra-hälsoscenariot.
• En klient med både en icke-utvärderingsversion Microsoft Entra P1- eller P2-licensoch minst 100 månatliga aktiva användare behövs för att visa aviseringar och ta emot aviseringar.
• Rollen Rapportläsare är den minst privilegierade roll som krävs för att visa scenarioövervakningssignaler, aviseringar och aviseringskonfigurationer.
• Supportadministratören är den minst privilegierade roll som krävs för att uppdatera aviseringar och uppdatera aviseringskonfigurationer.
• Behörigheten HealthMonitoringAlert.Read.All krävs för att visa aviseringarna med hjälp av Microsoft Graph API.
• Behörigheten HealthMonitoringAlert.ReadWrite.All krävs för att visa och ändra aviseringarna med hjälp av Microsoft Graph API.
• En fullständig lista över roller finns i Minsta privilegierade roll efter uppgift.

Undersöka signaler och aviseringar

Att undersöka en avisering börjar med att samla in data. Med Microsoft Entra Health i administrationscentret för Microsoft Entra kan du visa signal- och aviseringsinformationen på ett och samma ställe. Du kan också visa signaler och aviseringar med hjälp av Microsoft Graph API. Mer information finns i Så här undersöker du hälsoscenarioaviseringar för vägledning om hur du samlar in data med hjälp av Microsoft Graph API.

1. Logga in på administrationscentret för Microsoft Entra åtminstone som en Reports Reader.

2. Bläddra till Entra IDÖvervakning & hälsaHälsa. Sidan öppnas till Servicenivåavtalets (SLA) uppnåendesida.

3. Välj fliken Hälsoövervakning.

4. Välj inloggningar som kräver Entra ID MFA scenario och välj sedan en aktiv varning.

   

5. Visa signalen från avsnittet Visa datadiagram för att bekanta dig med mönstret och identifiera avvikelser.

   

6. Granska inloggningsloggarna.

   • Granska inloggningslogginformationen.
   • Leta efter användare som blockeras från att logga in och ha en princip för villkorsstyrd åtkomst som kräver att MFA tillämpas.

7. Kontrollera granskningsloggarna för de senaste principändringarna.

   • Använd granskningsloggarna för att felsöka principändringar för villkorsstyrd åtkomst.

Åtgärda vanliga problem

Följande vanliga problem kan orsaka en topp i MFA-inloggningar. Den här listan är inte fullständig, men ger en startpunkt för din undersökning.

Problem med programkonfiguration

En ökning av inloggningar som kräver MFA kan indikera en policyändring eller att en ny funktionsutrullning har utlöst ett stort antal användare att logga in samtidigt.

Så här undersöker du:

1. I avsnittet Berörda entiteter i det valda scenariot väljer du Visa för program.

   • En lista över berörda program visas i en panel. Välj programmet för att navigera direkt till programmets information där du kan visa granskningsloggarna och annan information.
   • Med Microsoft Graph-API:et letar du efter "programmet" resourceType i konsekvenssammanfattningen.

2. Granska granskningsloggarna för programmet.

   • Kontrollera om programmet nyligen har lagts till eller konfigurerats om, vilket kan utlösa ett stort antal användare som loggar in.

3. Granska inloggningsloggarna.

   • Använd kolumnen Application för att filtrera efter samma program eller datumintervall för att leta efter andra mönster.

Problem med användarautentisering

En ökning av inloggningar som kräver MFA kan tyda på en råstyrkeattack, där flera obehöriga inloggningsförsök görs till en användares konto.

Så här undersöker du:

1. I avsnittet Berörda entiteter i det valda scenariot väljer du Visa för användare.

   • En lista över berörda användare visas i en panel. Välj en användare för att navigera direkt till profilen där du kan visa deras inloggningsaktivitet och annan information.
   • Med Microsoft Graph-API:et letar du efter "användare" resourceType och värdet impactedCount i konsekvenssammanfattningen.

2. Granska inloggningsloggarna.

   • Använd följande filter i inloggningsloggarna:
     • Status: Misslyckande
     • Autentiseringskrav: Multifaktorautentisering
     • Justera datumet så att det matchar den tidsram som anges i konsekvenssammanfattningen.
   • Kommer misslyckade inloggningsförsök från samma IP-adress?
   • Görs misslyckade inloggningsförsök från samma användare?
   • Kör inloggningsdiagnostiken för att utesluta vanliga problem med användarfel eller inledande MFA-konfigurationsproblem.

Nätverksproblem

Det kan uppstå ett regionalt systemstopp som kräver att ett stort antal användare loggar in samtidigt.

Så här undersöker du:

1. I avsnittet Berörda entiteter i det valda scenariot väljer du Visa för användare.

   • En lista över berörda användare visas i en panel. Välj en användare för att navigera direkt till profilen där du kan visa deras inloggningsaktivitet och annan information.
   • Med Microsoft Graph-API:et letar du efter "användare" resourceType och värdet impactedCount i konsekvenssammanfattningen.

2. Kontrollera systemets och nätverkets hälsotillstånd för att se om ett avbrott eller en uppdatering matchar samma tidsram som avvikelsen.

3. Granska inloggningsloggarna.

   • Justera filtret för att visa inloggningar från en region där en berörd användare finns.

4. Om din organisation använder Global Secure Access, granska trafikloggarna.

Relaterat innehåll

• Konfigurera villkorlig åtkomst för MFA för alla användare
• Felsöka vanliga inloggningsfel
• Läs mer om villkorlig åtkomst och Intune