Så här undersöker du inloggningar som kräver multifaktorautentisering
Microsoft Entra Health-övervakning tillhandahåller en uppsättning hälsomått på klientorganisationsnivå som du kan övervaka och aviseringar när ett potentiellt problem eller feltillstånd identifieras. Det finns flera hälsoscenarier som kan övervakas, inklusive multifaktorautentisering (MFA).
Det här scenariot:
- Aggregerar antalet användare som har slutfört en MFA-inloggning med hjälp av en Microsoft Entra Cloud MFA-tjänst.
- Samlar in interaktiva inloggningar med MFA och aggregerar både lyckade och misslyckade.
- Utesluter när en användare uppdaterar sessionen utan att slutföra den interaktiva MFA:en eller med hjälp av lösenordslösa inloggningsmetoder.
Den här artikeln beskriver dessa hälsomått och hur du felsöker ett potentiellt problem när du får en avisering.
Förutsättningar
Det finns olika roller, behörigheter och licenskrav för att visa hälsoövervakningssignaler och konfigurera och ta emot aviseringar. Vi rekommenderar att du använder en roll med minst behörighet för att anpassa till Nolltillit vägledning.
- En klientorganisation med en Microsoft Entra P1- eller P2-licens krävs för att visa övervakningssignalerna för Microsoft Entra-hälsoscenariot.
- En klientorganisation med både en Microsoft Entra P1- eller P2-licens och minst 100 månatliga aktiva användare krävs för att visa aviseringar och ta emot aviseringar.
- Rollen Rapportläsare är den minst privilegierade roll som krävs för att visa scenarioövervakningssignaler, aviseringar och aviseringskonfigurationer.
- Supportadministratören är den minst privilegierade roll som krävs för att uppdatera aviseringar och uppdatera aviseringskonfigurationer.
- Behörigheten
HealthMonitoringAlert.Read.All
krävs för att visa aviseringarna med hjälp av Microsoft Graph API. - Behörigheten
HealthMonitoringAlert.ReadWrite.All
krävs för att visa och ändra aviseringarna med hjälp av Microsoft Graph API. - En fullständig lista över roller finns i Minsta privilegierade roll efter uppgift.
Samla in data
Att undersöka en avisering börjar med att samla in data.
- Samla in signalinformationen och sammanfattningen av påverkan.
- Mer information finns i Översikt över hälsoövervakning i Microsoft Graph.
- Granska inloggningsloggarna.
- Granska inloggningslogginformationen.
- Leta efter användare som blockeras från att logga in och ha en princip för villkorsstyrd åtkomst som kräver att MFA tillämpas.
- Kontrollera granskningsloggarna för de senaste principändringarna.
- Använd granskningsloggarna för att felsöka principändringar för villkorsstyrd åtkomst.
Åtgärda vanliga problem
Följande vanliga problem kan orsaka en topp i MFA-inloggningar. Den här listan är inte fullständig, men ger en startpunkt för din undersökning.
Problem med programkonfiguration
En ökning av inloggningar som kräver MFA kan tyda på en principändring eller att en ny funktionsdistribution kan utlösa ett stort antal användare för att logga in ungefär samtidigt.
Så här undersöker du:
- I konsekvenssammanfattningen, om
resourceType
är "program" och det bara finns ett eller två program i listan, kontrollerar du granskningsloggarna för ändringar i de angivna programmen. - I granskningsloggarna använder du kolumnen Mål för att filtrera efter programmet eller öppna granskningsloggarna från Företagsprogram, så att filtret redan har angetts.
- Kontrollera om programmet nyligen har lagts till eller konfigurerats om.
- I inloggningsloggarna använder du kolumnen Program för att filtrera efter samma program eller datumintervall för att leta efter andra mönster.
Problem med användarautentisering
En ökning av inloggningar som kräver MFA kan tyda på en råstyrkeattack, där flera obehöriga inloggningsförsök görs till en användares konto.
Så här undersöker du:
- I konsekvenssammanfattningen, om
resourceType
är "användare" ochimpactedCount
värdet visar en liten delmängd av användarna, kan problemet vara användarspecifikt. - Använd följande filter i inloggningsloggarna:
- Status: Fel
- Autentiseringskrav: Multifaktorautentisering
- Justera datumet så att det matchar den tidsram som anges i konsekvenssammanfattningen.
- Kommer misslyckade inloggningsförsök från samma IP-adress?
- Görs misslyckade inloggningsförsök från samma användare?
- Kör inloggningsdiagnostiken för att utesluta vanliga problem med användarfel eller inledande MFA-konfigurationsproblem.
Nätverksproblem
Det kan uppstå ett regionalt systemstopp som kräver att ett stort antal användare loggar in samtidigt.
Så här undersöker du:
- I konsekvenssammanfattningen
impactedCount
, omresourceType
är "användare" och värdet visar en stor andel av organisationens användare, kanske du tittar på ett brett spridningsproblem. - Kontrollera systemets och nätverkets hälsotillstånd för att se om ett avbrott eller en uppdatering matchar samma tidsram som avvikelsen.