如何调查需要多重身份验证的登录

Microsoft Entra Health 监视提供了一组租户级运行状况指标,可以在检测到潜在问题或故障情况时提供监视和警报。 可以监视多个运行状况应用场景,包括多重身份验证 (MFA)。

在此方案中:

  • 合并使用 Microsoft Entra 云 MFA 服务成功完成 MFA 登录的用户数。
  • 使用 MFA 捕获交互式登录,合并成功和失败登录。
  • 如果用户在未完成交互式 MFA 或使用无密码登录方法的情况下刷新会话,则排除。

本文介绍这些运行状况指标,以及如何排查收到警报时发生的潜在问题。

先决条件

查看运行状况监视信号以及配置和接收警报存在不同的角色、权限和许可证要求。 我们建议使用具有最低访问权限的角色,以符合零信任指导

  • 查看 Microsoft Entra 运行状况应用场景监视信号需要具有 Microsoft Entra P1 或 P2 许可证的租户。
  • 查看警报接收警报通知需要同时具 Microsoft Entra P1 或 P2 许可证以及至少 100 个月度活跃用户的租户。
  • 报告读取者角色是查看应用场景监视信号、警报和警报配置所需的最低特权角色。
  • 支持管理员是更新警报和更新警报通知配置所需的最低特权角色。
  • 需要 HealthMonitoringAlert.Read.All 权限才能使用 Microsoft Graph API 查看警报。
  • 需要 HealthMonitoringAlert.ReadWrite.All 权限才能使用 Microsoft Graph API 查看并修改警报。
  • 有关角色的完整列表,请参阅按任务列出的最低特权角色

收集数据

调查警报从收集数据开始。

  1. 收集信号详细信息和影响摘要。
  2. 查看登录日志。
  3. 检查审核日志,了解最近的策略更改。

缓解常见问题

以下常见问题可能会导致 MFA 登录出现高峰。此列表并不详尽,但提供了调查的起点。

应用程序配置问题

需要 MFA 的登录增加可能表明策略更改或新功能推出可能会触发大量用户同时登录。

若要调查:

  • 在影响摘要中,如果 resourceType 为“application”且仅列出了一两个应用程序,请检查审核日志中是否有对列出的应用程序的更改。
  • 在审核日志中,使用“目标”列筛选应用程序或从企业应用程序打开审核日志,因此已设置筛选器。
  • 确定应用程序最近是否已添加或重新配置。
  • 在登录日志中,使用“应用程序”列筛选相同的应用程序或日期范围以查找任何其他模式。

用户身份验证问题

需要 MFA 的登录增加可能表示暴力攻击,其中对用户账户进行了多次未经授权的登录尝试。

若要调查:

  • 在影响摘要中,如果 resourceType 为“user”且 impactedCount 值显示一小部分用户,则问题可能是特定于用户的。
  • 在登录日志中使用以下筛选器:
    • 状态:失败
    • 身份验证要求:多重身份验证
    • 调整日期以匹配影响摘要中指示的时间范围。
  • 失败的登录尝试是否来自同一 IP 地址?
  • 失败的登录尝试是否来自同一用户?
  • 运行登录诊断,以排除标准用户错误问题或初始 MFA 设置问题。

网络问题

可能会发生区域系统中断,这要求大量用户同时登录。

若要调查:

  • 在影响摘要中,如果 resourceType 为“user”,并且 impactedCount 值显示组织用户的很大一部分,则你可能会看到一个广泛传播的问题。
  • 检查系统和网络运行状况,以查看中断或更新是否匹配与异常相同的时间范围。

后续步骤