如何調查需要合規或受控裝置警示的登入

Microsoft Entra Health 監視提供一組租用戶層級健康情況計量，您可以在偵測到潛在問題或失敗狀況時監視和警示。 可以監視多個健康情況案例，包括兩個與裝置相關的案例：

• 需要條件式存取相容的裝置來登入
• 需要使用條件式存取管理的裝置進行的登入

本文說明與相容與受控裝置相關的健康情況計量，以及如何針對收到警示時的潛在問題進行疑難解答。 如需如何與健康情況監視案例互動以及如何調查所有警示的詳細資訊，請參閱 如何調查健康情況警示。

重要

Microsoft Entra Health 案例監視和警示目前處於預覽狀態。 這項資訊與發行前版本產品有關，在發行前可能會大幅修改。 Microsoft針對此處提供的資訊，不提供任何明示或默示擔保。

必要條件

有不同的角色、許可權和授權需求，可檢視健康情況監視訊號並設定和接收警示。 建議您使用具有最低權限存取權的角色，以符合零信任指導。

• 需要具有 Microsoft Entra P1 或 P2 授權 的租使用者，才能 檢視 Microsoft Entra 健康情況監視訊號。
• 需要租使用者同時具有非試用版 Microsoft Entra P1 或 P2 授權 並且至少有 100 名每月活躍使用者，才能 檢視警示 和 接收警示通知。
• 報表讀取者角色是檢視案例監視訊號、警示和警示組態所需的最低特殊許可權角色。
• 技術服務人員系統管理員是更新警示和更新警示通知設定所需的最低特殊許可權角色。
• 需要 HealthMonitoringAlert.Read.All 許可權， 才能使用 Microsoft Graph API 來檢視警示。
• HealthMonitoringAlert.ReadWrite.All需要許可權，才能使用 Microsoft Graph API 來檢視和修改警示。
• 如需角色的完整清單，請參閱 依工作設定的最低許可權角色。

調查訊號和警示

調查警示的開頭是收集數據。 透過 Microsoft Entra 系統管理中心的 Microsoft Entra Health，您可以在單一位置檢視訊號和警示詳細數據。 您也可以使用 Microsoft Graph API 來檢視訊號和警示。 如需詳細資訊，請參閱 如何調查健康情況案例警示，以取得如何使用 Microsoft Graph API 收集數據的指引。

1. 請以至少具備報表讀取者身份登入Microsoft Entra 系統管理中心。

2. 瀏覽至 [身分識別>監控與健康>健康]。 頁面會開啟到服務等級協定（SLA）達成率頁面。

3. 選擇 [健康監控] 標籤。

4. 選取 需要相容裝置登入 或 需要受管理裝置登入 的情境，然後選取已啟用的警示。

   

5. 檢視 檢視數據圖形 區段的訊號，以熟悉模式並識別異常狀況。

   

6. 檢閱您的 Intune 裝置合規性政策。

   • 如需詳細資訊，請參閱 Intune 裝置合規性概觀。
   • 瞭解如何 監控裝置合規性政策。
   • 如果您未使用 Intune，請檢閱裝置管理解決方案的合規性政策。

7. 調查常見的條件式存取問題。

   • 針對條件式存取裝置合規性原則進行疑難解答。
   • 針對條件式存取登入問題進行疑難解答。

8. 檢查登入記錄。

   • 檢閱登入記錄詳細數據。
   • 尋找被封鎖無法登入的用戶，且套用了符合規範的裝置原則。

9. 檢查稽核記錄中是否有最近的原則變更。

   • 使用稽核記錄來針對條件式存取原則變更進行疑難解答。

減輕常見問題

下列常見問題可能會導致要求使用符合規範或受管理的設備來登入的高峰。 這份清單並不詳盡，但會提供您調查的起點。

許多使用者被封鎖無法從已知裝置登入

如果有大量用戶無法登入已知裝置，這種現象可能表示這些裝置不符合允許的規範。 如果受影響的用戶數目顯示貴組織使用者的百分比很高，您可能會遇到一個普遍的問題。

若要調查：

1. 從所選情境的 [受影響的實體] 區段中，選取 [使用者檢視]。

   • 受影響的使用者範例會出現在面板中。 選取使用者以直接流覽至其設定檔，您可以在其中檢視其登入活動和其他詳細數據。
   • 使用 Microsoft Graph API，在影響摘要中尋找「使用者」resourceType 和 impactedCount 值。

   

2. 檢查您的 Intune 裝置合規性政策。

3. 檢查您的 條件式存取裝置合規性原則。

用戶無法從未知的裝置登入

如果封鎖登入次數突然增加，並且來源是一個未知的裝置，這可能表示攻擊者已經取得使用者的認證，並試圖從通常用於這類攻擊的裝置登入。 如果受影響的用戶數目顯示一小部分的用戶，問題可能是使用者特定的。

若要調查：

1. 從所選情境的 [受影響的實體] 區段中，選取 [使用者檢視]。

   • 受影響的使用者清單會出現在面板中。 選取使用者以直接流覽至其設定檔，您可以在其中檢視其登入活動和其他詳細數據。
   • 使用 Microsoft Graph API，在影響摘要中尋找「使用者」resourceType 和 impactedCount 值。

2. 檢閱登入記錄。

3. 使用 Microsoft Entra ID Protection 調查風險。

備註

Microsoft Entra ID Protection 需要Microsoft Entra P2 授權。

網路問題

可能會發生區域性系統中斷，需要大量用戶同時登入。

若要調查：

1. 從所選情境的 [受影響的實體] 區段中，選取 [使用者檢視]。

   • 受影響的使用者清單會出現在面板中。 選取使用者以直接流覽至其設定檔，您可以在其中檢視其登入活動和其他詳細數據。
   • 使用 Microsoft Graph API，在影響摘要中尋找「使用者」resourceType 和 impactedCount 值。

2. 檢查您的系統和網路健康情況，以查看中斷或更新是否符合與異常相同的時間範圍。

3. 檢閱登入記錄。

   • 調整您的篩選，以顯示來自受影響使用者所在區域的登入。

4. 如果您的組織使用全域安全存取，請檢閱 流量記錄。

相關內容

• 了解條件式存取和 Intune
• 瞭解 Microsoft Entra 混合式加入裝置