系統管理員可以透過多種方式監控並排除應用 持續存取評估 (CAE) 的登入事件中的問題。
持續存取評估登入報告
系統管理員可以監視套用持續存取評估 (CAE) 的使用者登入。 這項信息位於 Microsoft Entra 登入記錄中:
- 以至少具有安全性讀取者身分登入 Microsoft Entra 系統管理中心。
- 流覽至 Entra ID>監視與健康情況>登入記錄。
- 套用 Is CAE Token 過濾器。
顯示如何將篩選新增至登入記錄的螢幕快照,用以查看 CAE 是否正在被套用的位置。
從這裡,系統管理員可以看到其使用者登入事件的相關信息。 選取任何登入項目以查看會話的詳細資訊,例如套用的條件式存取政策,以及 CAE 是否已啟用。
每個驗證有多個登入要求。 有些位於互動式標籤上,而另一些則位於非互動式標籤上。CAE 只會在互動式標籤或非互動式標籤的一種要求上標示為 true。系統管理員必須檢查這兩個標籤,以確認使用者的驗證是否已啟用 CAE。
搜尋特定的登入企圖
登入記錄會顯示成功和失敗事件。 使用篩選來縮小搜尋範圍。 例如,如果使用者登入 Teams,請套用 [應用程式] 篩選器,並將其設定為 Teams。 系統管理員可能需要檢查來自互動式和非互動式索引標籤的登入,以找出特定的登入。 若要進一步縮小搜尋範圍,系統管理員可能會套用多個篩選。
連續存取評估活頁簿
持續存取評估深入解析活頁簿可讓系統管理員檢視和監視其租使用者的 CAE 使用量深入解析。 下表顯示IP不匹配的身份驗證嘗試。 此活頁簿可在 [條件式存取] 類別下作為範本使用。
存取 CAE 活頁簿範本
您必須先完成 Log Analytics 整合,才能顯示活頁簿。 若要瞭解如何將 Microsoft Entra 登入記錄串流至 Log Analytics 工作區,請參閱 將 Microsoft Entra 記錄與 Azure 監視器記錄整合。
- 以至少具有安全性讀取者身分登入 Microsoft Entra 系統管理中心。
- 流覽至 Entra ID>監視與健康>活頁簿。
- 在 [公用範本] 下,搜尋 [持續存取評估見解]。
「連續存取評估深入解析」活頁簿包含下表:
Microsoft Entra ID 與資源提供者之間的潛在 IP 位址不一致
Microsoft Entra ID 與資源提供者資料表之間的潛在 IP 位址不相符,可讓系統管理員調查 Microsoft Entra ID 偵測到的 IP 位址不符合資源提供者偵測到的 IP 位址的工作階段。
此活頁簿表格會醒目提示這些案例,方法是顯示個別的 IP 位址,以及是否在會話期間發出 CAE 權杖。
每個登入的連續存取評估深入解析
活頁簿中每個登入頁面的持續存取評估見解匯集了來自登入記錄的多個要求,並將它們整合為顯示發出 CAE 令牌的單一要求。
例如,當使用者在其桌面上開啟 Outlook 並嘗試存取 Exchange Online 中的資源時,此活頁簿很有用。 此登入動作可能會對應至記錄中的多個互動式和非互動式登入要求,使得問題難以診斷。
IP 位址設定
您的識別提供者和資源提供者可能會看到不同的IP位址。 這種不匹配可能是由於以下原因:
- 您的網路實施分割隧道。
- 您的資源提供者使用 IPv6 位址,且Microsoft Entra ID 是使用 IPv4 位址。
- 由於網路設定,Microsoft Entra ID 看到來自用戶端的一個IP位址,而您的資源提供者會看到與用戶端不同的IP位址。
如果此案例存在於您的環境中,若要避免無限迴圈,Microsoft Entra ID 會發出一小時的 CAE 令牌,而且不會在該一小時內強制執行用戶端位置變更。 即使在此情況下,相較於傳統的一小時令牌,安全性也會改善,因為我們仍在評估用戶端位置變更事件以外的其他事件。
管理員可以檢視依時間範圍和應用程式篩選的記錄,並將偵測到的不相符 IP 數目與指定期間內的登入總數進行比較。
若要解除封鎖使用者,管理員可以將特定 IP 位址新增至受信任的具名位置。
- 以至少條件式存取系統管理員身分登入 Microsoft Entra 系統管理中心。
- 流覽至 Entra ID>條件式存取>具名位置。 您可以在這裏建立或更新受信任的IP位置。
注意
在將 IP 位址新增為受信任的具名位置之前,請確認 IP 位址屬於預期的組織。
如需具名位置的詳細資訊,請參閱 使用位置條件。
相關內容
- 整合 Microsoft Entra 記錄與 Azure 監視器記錄
- 進一步瞭解如何使用 位置條件。
- 探索 持續存取評估。