Microsoft Entra çok faktörlü kimlik doğrulaması gerektiren oturum açma işlemleri nasıl araştırır?

Microsoft Entra Health izlemesi, olası bir sorun veya hata koşulu algılandığında izleyebileceğiniz ve uyarabileceğiniz bir dizi kiracı düzeyinde sistem durumu ölçümü sağlar. Microsoft Entra çok faktörlü kimlik doğrulaması (MFA) dahil olmak üzere izleyebileceğiniz birden fazla sağlık senaryosu vardır.

Bu senaryo:

• Microsoft Entra bulut MFA hizmetini kullanarak MFA oturum açma işlemini başarıyla tamamlayan kullanıcı sayısını toplar.
• Microsoft Entra MFA ile hem başarıları hem de başarısızlıkları toplayarak etkileşimli oturum açma işlemlerini yakalar.
• Kullanıcı etkileşimli MFA'yı tamamlamadan veya parolasız oturum açma yöntemlerini kullanmadan oturumu yenilediğinde dışlar.

Bu makalede bu sistem durumu ölçümleri ve uyarı aldığınızda olası bir sorunu giderme adımları açıklanmaktadır. Sistem Durumu İzleme senaryolarıyla etkileşim kurma ve tüm uyarıları araştırma hakkında ayrıntılı bilgi için bkz. Sistem durumu senaryosu uyarılarını araştırma.

Önemli

Microsoft Entra Health senaryosu izleme ve uyarıları şu anda ÖNİzLEME aşamasındadır. Bu bilgiler, yayından önce önemli ölçüde değiştirilebilen yayın öncesi bir ürünle ilgilidir. Microsoft, burada sağlanan bilgilerle ilgili olarak açık veya zımni hiçbir garanti vermez.

Önkoşullar

Sistem durumu izleme sinyallerini görüntülemek ve uyarıları yapılandırmak ve almak için farklı roller, izinler ve lisans gereksinimleri vardır. Sıfır Güven kılavuzuyla uyumlu hale getirmek için en az ayrıcalık erişimine sahip bir rol kullanmanızı öneririz.

• Microsoft Entra sistem durumu senaryo izleme sinyallerini görüntülemek için Microsoft Entra P1 veya P2 lisansına sahip bir kiracıya ihtiyaç vardır.
• Uyarıları görüntülemek ve uyarıbildirimleri almak için hem deneme sürümü olmayan Microsoft Entra P1 veya P2 lisansınahem de en az 100 aylık etkin kullanıcıya sahip bir kiracı gerekir.
• Rapor Okuyucusu rolü, senaryo izleme sinyallerini, uyarılarını ve uyarı yapılandırmalarını görüntülemek için gereken en düşük ayrıcalıklı roldür.
• Yardım Masası Yöneticisi, uyarıları ve uyarı bildirim yapılandırmalarınıgüncelleştirmek için gereken en düşük ayrıcalıklı roldür.
• Microsoft Graph APIkullanarak uyarıları görüntülemek için izni gereklidir.
• Microsoft Graph API'sini HealthMonitoringAlert.ReadWrite.Allkullanarak uyarıları görüntülemek ve değiştirmek için izin gereklidir.
• Rollerin tam listesi için bkz. Göreve göre en az ayrıcalıklı rol.

Sinyalleri ve uyarıları araştır.

Bir uyarıyı araştırmak veri toplamayla başlar. Microsoft Entra Yönetim Merkezi'ndeki Microsoft Entra Health ile sinyal ve uyarı ayrıntılarını tek bir yerde görüntüleyebilirsiniz. Microsoft Graph API'sini kullanarak sinyalleri ve uyarıları da görüntüleyebilirsiniz. Daha fazla bilgi için Microsoft Graph API kullanarak veri toplama hakkında yol gösteren sağlık senaryosu uyarılarını araştırma konusuna bakın.

1. Microsoft Entra yönetim merkezinde en az Bir Rapor Okuyucusu olarak oturum açın.

2. Entra ID>İzleme ve sistem> göz atın. Sayfa, Hizmet Düzeyi Sözleşmesi (SLA) Elde Etme sayfasında açılır.

3. Sistem Durumu İzleme sekmesini seçin.

4. Entra ID MFA gerektiren oturum açma işlemleri senaryoyu seçin ve ardından etkin bir uyarı seçin.

   

5. Deseni tanımak ve anomalileri tanımlamak için Veri grafiğini görüntüle bölümünden sinyali görüntüleyin.

   

6. Oturum açma günlüklerini gözden geçirin.

   • Oturum açma günlüğü ayrıntılarını gözden geçirin.
   • Oturum açması engellenen kullanıcıları arayın ve MFA'nın uygulanmasını gerektiren bir Koşullu Erişim ilkesine sahip olun.

7. Son ilke değişiklikleri için denetim günlüklerini denetleyin.

   • Koşullu Erişim ilkesi değişikliklerini gidermek için denetim günlüklerini kullanın.

Yaygın sorunları azaltma

Aşağıdaki yaygın sorunlar MFA oturum açmalarında ani artışa neden olabilir. Bu liste kapsamlı değildir, ancak araştırmanız için bir başlangıç noktası sağlar.

Uygulama yapılandırma sorunları

MFA gerektiren oturum açma işlemlerindeki artış, bir ilke değişikliği veya yeni özellik dağıtımının aynı anda çok sayıda kullanıcının oturum açmasını tetiklediğini gösterebilir.

Araştırmak için:

1. Seçili senaryonun Etkilenen varlıklar bölümünde Uygulamalar için görüntüle'yi seçin.

   • Etkilenen uygulamaların listesi bir panelde görünür. Denetim günlüklerini ve diğer ayrıntıları görüntüleyebileceğiniz uygulamanın ayrıntılarına doğrudan gitmek için uygulamayı seçin.
   • Microsoft Graph API'siyle etki özetinde "uygulamayı" resourceType arayın.

2. Uygulamanın denetim günlüklerini gözden geçirin.

   • Uygulamanın yakın zamanda eklenip eklenmediğini veya yeniden yapılandırılıp yapılandırılmadığını belirleyin. Bu, çok sayıda kullanıcının oturum açmasını tetikleyebilir.

3. Oturum açma günlüklerini gözden geçirin.

   • Diğer desenleri aramak üzere aynı uygulama veya tarih aralığını filtrelemek için Uygulama sütununu kullanın.

Kullanıcı kimlik doğrulama sorunları

MFA gerektiren oturum açma işlemlerindeki artış, kullanıcının hesabında birden çok yetkisiz oturum açma girişiminin yapıldığı deneme yanılma saldırısına işaret edebilir.

Araştırmak için:

1. Seçili senaryonun Etkilenen varlıklar bölümünde Kullanıcılar için görüntüle'yi seçin.

   • Bir panelde etkilenen kullanıcıların listesi görüntülenir. Oturum açma etkinliğini ve diğer ayrıntılarını görüntüleyebileceğiniz profiline doğrudan gitmek için bir kullanıcı seçin.
   • Microsoft Graph API'siyle " kullanıcı" resourceType ve impactedCount etki özetindeki değeri arayın.

2. Oturum açma günlüklerini gözden geçirin.

   • Oturum açma günlüklerinde aşağıdaki filtreleri kullanın:
     • Durum: Hata
     • Kimlik doğrulaması gereksinimi: Çok faktörlü kimlik doğrulaması
     • Tarihi, etki özetinde belirtilen zaman çerçevesiyle eşleşecek şekilde ayarlayın.
   • Başarısız oturum açma girişimleri aynı IP adresinden mi geliyor?
   • Başarısız oturum açma girişimleri aynı kullanıcıdan mı geliyor?
   • Standart kullanıcı hatası sorunlarını veya ilk MFA kurulum sorunlarını elemek için oturum açma tanılamasını çalıştırın.

Ağ sorunları

Aynı anda çok sayıda kullanıcının oturum açmasını gerektiren bölgesel bir sistem kesintisi olabilir.

Araştırmak için:

1. Seçili senaryonun Etkilenen varlıklar bölümünde Kullanıcılar için görüntüle'yi seçin.

   • Bir panelde etkilenen kullanıcıların listesi görüntülenir. Oturum açma etkinliğini ve diğer ayrıntılarını görüntüleyebileceğiniz profiline doğrudan gitmek için bir kullanıcı seçin.
   • Microsoft Graph API'siyle " kullanıcı" resourceType ve impactedCount etki özetindeki değeri arayın.

2. Bir kesintinin veya güncelleştirmenin anomaliyle aynı zaman çerçevesiyle eşleşip eşleşmediğini görmek için sistem ve ağ durumunuzu denetleyin.

3. Oturum açma günlüklerini gözden geçirin.

   • Etkilenen bir kullanıcının bulunduğu bölgeden oturum açma bilgilerini gösterecek şekilde filtrenizi ayarlayın.

4. Kuruluşunuz Genel Güvenli Erişim kullanıyorsa trafik günlüklerini gözden geçirin.

İlgili içerik

• Tüm kullanıcılar için MFA için Koşullu Erişimi yapılandırma
• Yaygın oturum açma hatalarını giderme
• Koşullu Erişim ve Intune hakkında bilgi edinin