Aracılığıyla paylaş


Sürekli erişim değerlendirmesini izleme ve sorunlarını giderme

Yönetici istrator'lar, sürekli erişim değerlendirmesinin (CAE) birden çok şekilde uygulandığı oturum açma olaylarını izleyebilir ve sorunlarını giderebilir.

Sürekli erişim değerlendirmesi oturum açma raporlaması

Yönetici istrator'lar, sürekli erişim değerlendirmesinin (CAE) uygulandığı kullanıcı oturum açmalarını izleyebilir. Bu bilgiler Microsoft Entra oturum açma günlüklerinde bulunur:

  1. Microsoft Entra yönetim merkezinde en azından Güvenlik Okuyucusu olarak oturum açın.
  2. Kimlik>İzleme ve sistem durumu>Oturum açma günlüklerine göz atın.
  3. cae belirtecidir filtresini uygulayın.

CAE'nin uygulanmakta olup olmadığını görmek için oturum açma günlüğüne nasıl filtre ekleneceğini gösteren ekran görüntüsü.

Buradan yöneticilere kullanıcılarının oturum açma olayları hakkında bilgi sunulur. Hangi Koşullu Erişim ilkelerinin uygulandığı ve CAE'nin etkinleştirilip etkinleştirilmediği gibi oturum hakkındaki ayrıntıları görmek için herhangi bir oturum açmayı seçin.

Her kimlik doğrulaması için birden çok oturum açma isteği vardır. Bazıları etkileşimli sekmede, bazıları ise etkileşimli olmayan sekmededir. CAE yalnızca etkileşimli sekmede veya etkileşimli olmayan sekmede olabileceği isteklerden biri için true olarak işaretlenir. Yönetici kullanıcının kimlik doğrulamasının CAE'nin etkin olup olmadığını onaylamak için her iki sekmeyi de denetlemesi gerekir.

Belirli oturum açma girişimlerini arama

Oturum açma günlükleri başarı ve başarısızlık olayları hakkında bilgi içerir. Aramanızı daraltmak için filtreleri kullanın. Örneğin, bir kullanıcı Teams'de oturum açtıysa Uygulama filtresini kullanın ve Teams olarak ayarlayın. Yönetici belirli bir oturum açmayı bulmak için hem etkileşimli hem de etkileşimli olmayan sekmelerdeki oturum açmaları denetlemesi gerekebilir. Yöneticiler aramayı daha da daraltmak için birden çok filtre uygulayabilir.

Sürekli erişim değerlendirmesi çalışma kitapları

Sürekli erişim değerlendirme içgörüleri çalışma kitabı, yöneticilerin kiracıları için CAE kullanım içgörülerini görüntülemesine ve izlemesine olanak tanır. Tabloda IP uyuşmazlıklarıyla kimlik doğrulama girişimleri görüntülenir. Bu çalışma kitabı Koşullu Erişim kategorisi altında şablon olarak bulunabilir.

CAE çalışma kitabı şablonuna erişme

Çalışma kitapları görüntülenmeden önce Log Analytics tümleştirmesi tamamlanmalıdır. Microsoft Entra oturum açma günlüklerini Log Analytics çalışma alanına aktarma hakkında daha fazla bilgi için Microsoft Entra günlüklerini Azure İzleyici günlükleriyle tümleştirme makalesine bakın.

  1. Microsoft Entra yönetim merkezinde en azından Güvenlik Okuyucusu olarak oturum açın.
  2. Kimlik>İzleme ve sistem durumu>Çalışma Kitapları'na göz atın.
  3. Genel Şablonlar'ın altında Sürekli erişim değerlendirme içgörüleri için arama yapın.

Sürekli erişim değerlendirme içgörüleri çalışma kitabı aşağıdaki tabloyu içerir:

Microsoft Entra Kimliği ile kaynak sağlayıcısı arasında olası IP adresi uyuşmazlığı

Microsoft Entra Kimliği ve kaynak sağlayıcısı tablosu arasındaki olası IP adresi uyuşmazlığı, yöneticilerin Microsoft Entra Kimliği tarafından algılanan IP adresinin kaynak sağlayıcısı tarafından algılanan IP adresiyle eşleşmediği oturumları araştırmasına olanak tanır.

Bu çalışma kitabı tablosu, ilgili IP adreslerini ve oturum sırasında bir CAE belirtecinin verilip verilmediğini görüntüleyerek bu senaryoları aydınlatır.

Oturum açma başına sürekli erişim değerlendirme içgörüleri

Çalışma kitabındaki oturum açma sayfası başına sürekli erişim değerlendirme içgörüleri, oturum açma günlüklerinden birden çok isteği bağlar ve CAE belirtecinin verildiği tek bir isteği görüntüler.

Bu çalışma kitabı kullanışlı olabilir, örneğin: Kullanıcı masaüstünde Outlook'u açar ve Exchange Online'ın içindeki kaynaklara erişmeye çalışır. Bu oturum açma eylemi, günlüklerdeki birden çok etkileşimli ve etkileşimli olmayan oturum açma isteğiyle eşlenebilir ve bu da sorunları tanılamayı zorlaştırabilir.

IP adresi yapılandırması

Kimlik sağlayıcınız ve kaynak sağlayıcılarınız farklı IP adresleri görebilir. Bu uyuşmazlık aşağıdaki örnekler nedeniyle oluşabilir:

  • Ağınız bölünmüş tünel uygular.
  • Kaynak sağlayıcınız bir IPv6 adresi, Microsoft Entra Id ise bir IPv4 adresi kullanıyor.
  • Ağ yapılandırmaları nedeniyle, Microsoft Entra Id istemciden bir IP adresi görür ve kaynak sağlayıcınız istemciden farklı bir IP adresi görür.

Bu senaryo ortamınızda varsa, sonsuz döngüleri önlemek için Microsoft Entra ID bir saatlik CAE belirteci verir ve bu bir saatlik süre boyunca istemci konumu değişikliğini zorlamaz. Bu durumda bile, istemci konumu değişiklik olaylarının yanı sıra diğer olayları değerlendirmeye devam ettiğimizden, geleneksel bir saatlik belirteçlerle karşılaştırıldığında güvenlik geliştirildi.

Yönetici, zaman aralığına ve uygulamaya göre filtrelenen kayıtları görüntüleyebilir. Yönetici, algılanan eşleşmeyen IP'lerin sayısını belirtilen zaman aralığındaki toplam oturum açma sayısıyla karşılaştırabilir.

Kullanıcılar engelini kaldırmak için, yöneticiler belirli IP adreslerini güvenilen bir adlandırılmış konuma ekleyebilir.

  1. En azından Koşullu Erişim Yöneticisi olarak Microsoft Entra yönetici merkezinde oturum açın.
  2. Koruma>Koşullu Erişim>Adlandırılmış konumları'na göz atın. Burada güvenilen IP konumları oluşturabilir veya güncelleştirebilirsiniz.

Not

Bir IP adresini güvenilen adlandırılmış konum olarak eklemeden önce, IP adresinin aslında hedeflenen kuruluşa ait olduğunu onaylayın.

Adlandırılmış konumlar hakkında daha fazla bilgi için Konum koşulunu kullanma makalesine bakın.