Aracılığıyla paylaş


Çok faktörlü kimlik doğrulaması gerektiren oturum açma işlemleri nasıl araştırır?

Microsoft Entra Health izlemesi, olası bir sorun veya hata koşulu algılandığında izleyebileceğiniz ve uyarabileceğiniz bir dizi kiracı düzeyinde sistem durumu ölçümü sağlar. Çok faktörlü kimlik doğrulaması (MFA) dahil olmak üzere izlenebilen birden çok sistem durumu senaryosu vardır.

Bu senaryo:

  • Microsoft Entra bulut MFA hizmetini kullanarak MFA oturum açma işlemini başarıyla tamamlayan kullanıcı sayısını toplar.
  • MFA ile etkileşimli oturum açma işlemlerini yakalar ve hem başarıları hem de başarısızlıkları bir araya ekler.
  • Kullanıcı etkileşimli MFA'yı tamamlamadan veya parolasız oturum açma yöntemlerini kullanmadan oturumu yenilediğinde dışlar.

Bu makalede bu sistem durumu ölçümleri ve uyarı aldığınızda olası bir sorunu giderme adımları açıklanmaktadır.

Önkoşullar

Sistem durumu izleme sinyallerini görüntülemek ve uyarıları yapılandırmak ve almak için farklı roller, izinler ve lisans gereksinimleri vardır. Sıfır Güven kılavuzuyla uyumlu hale getirmek için en az ayrıcalık erişimine sahip bir rol kullanmanızı öneririz.

  • Microsoft Entra sistem durumu senaryo izleme sinyallerini görüntülemek için Microsoft Entra P1 veya P2 lisansına sahip bir kiracı gereklidir.
  • Uyarıları görüntülemek ve uyarı bildirimleri almak için hem Microsoft Entra P1 veya P2 lisansına hem de en az 100 aylık etkin kullanıcıya sahip bir kiracı gerekir.
  • Rapor Okuyucusu rolü, senaryo izleme sinyallerini, uyarılarını ve uyarı yapılandırmalarını görüntülemek için gereken en düşük ayrıcalıklı roldür.
  • Yardım Masası Yöneticisi, uyarıları güncelleştirmek ve uyarı bildirim yapılandırmalarını güncelleştirmek için gereken en düşük ayrıcalıklı roldür.
  • Microsoft Graph API'sini HealthMonitoringAlert.Read.Allkullanarak uyarıları görüntülemek için izin gereklidir.
  • Microsoft Graph API'sini HealthMonitoringAlert.ReadWrite.Allkullanarak uyarıları görüntülemek ve değiştirmek için izin gereklidir.
  • Rollerin tam listesi için bkz. Göreve göre en az ayrıcalıklı rol.

Verileri toplama

Bir uyarıyı araştırmak veri toplamayla başlar.

  1. Sinyal ayrıntılarını ve etki özetini toplayın.
  2. Oturum açma günlüklerini gözden geçirin.
  3. Son ilke değişiklikleri için denetim günlüklerini denetleyin.

Yaygın sorunları azaltma

Aşağıdaki yaygın sorunlar MFA oturum açmalarında ani artışa neden olabilir. Bu liste kapsamlı değildir, ancak araştırmanız için bir başlangıç noktası sağlar.

Uygulama yapılandırma sorunları

MFA gerektiren oturum açma işlemlerindeki artış, bir ilke değişikliği veya yeni özellik dağıtımının aynı anda çok sayıda kullanıcının oturum açmasını tetiklediğini gösterebilir.

Araştırmak için:

  • Etki özetinde , "uygulama" ise ve yalnızca bir veya iki uygulama listeleniyorsa resourceType , listelenen uygulamalarda yapılan değişiklikler için denetim günlüklerini denetleyin.
  • Denetim günlüklerinde Hedef sütununu kullanarak uygulamayı filtreleyin veya denetim günlüklerini Kurumsal Uygulamalar'dan açın; böylece filtre zaten ayarlanmıştır.
  • Uygulamanın yakın zamanda eklenip eklenmediğini veya yeniden yapılandırıldığını belirleyin.
  • Oturum açma günlüklerinde, uygulama sütununu kullanarak aynı uygulamayı veya tarih aralığını filtreleyin ve diğer desenleri arayın.

Kullanıcı kimlik doğrulama sorunları

MFA gerektiren oturum açma işlemlerindeki artış, kullanıcının hesabında birden çok yetkisiz oturum açma girişiminin yapıldığı deneme yanılma saldırısına işaret edebilir.

Araştırmak için:

  • Etki özetinde , "kullanıcı" ise ve impactedCount değer kullanıcıların küçük bir alt kümesini gösteriyorsaresourceType, sorun kullanıcıya özgü olabilir.
  • Oturum açma günlüklerinde aşağıdaki filtreleri kullanın:
    • Durum: Hata
    • Kimlik doğrulaması gereksinimi: Çok faktörlü kimlik doğrulaması
    • Tarihi, etki özetinde belirtilen zaman çerçevesiyle eşleşecek şekilde ayarlayın.
  • Başarısız oturum açma girişimleri aynı IP adresinden mi geliyor?
  • Başarısız oturum açma girişimleri aynı kullanıcıdan mı geliyor?
  • Standart kullanıcı hatası sorunlarını veya ilk MFA kurulum sorunlarını elemek için oturum açma tanılamasını çalıştırın.

Ağ sorunları

Aynı anda çok sayıda kullanıcının oturum açmasını gerektiren bölgesel bir sistem kesintisi olabilir.

Araştırmak için:

  • Etki özetinde , "kullanıcı" ise ve impactedCount değer kuruluşunuzun kullanıcılarının büyük bir bölümünü gösteriyorsaresourceType, geniş bir yayılma sorununa bakıyor olabilirsiniz.
  • Bir kesintinin veya güncelleştirmenin anomaliyle aynı zaman çerçevesiyle eşleşip eşleşmediğini görmek için sistem ve ağ durumunuzu denetleyin.

Sonraki adımlar