Sdílet prostřednictvím

Monitorování a řešení potíží s nepřetržitým vyhodnocováním přístupu

  • Článek

Správa istrátory můžou monitorovat a řešit potíže s událostmi přihlašování, ve kterých se používá průběžné vyhodnocování přístupu (CAE) několika způsoby.

Generování sestav přihlášení k nepřetržitému vyhodnocování přístupu

Správa istrátory můžou monitorovat přihlášení uživatelů, u kterých se používá průběžné vyhodnocování přístupu (CAE). Tyto informace najdete v protokolech přihlašování Microsoft Entra:

  1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň čtenář zabezpečení.
  2. Přejděte do protokolů přihlášení k monitorování identit>a stavu>.
  3. Použijte filtr tokenů CAE.

Snímek obrazovky znázorňující, jak přidat filtr do protokolu přihlašování, abyste zjistili, kde se caE používá nebo ne

Odsud se správcům zobrazí informace o přihlašovacích událostech uživatele. Výběrem libovolného přihlášení zobrazíte podrobnosti o relaci, například které zásady podmíněného přístupu se použily, a pokud je povolená funkce CAE.

Pro každé ověřování existuje více žádostí o přihlášení. Některé jsou na interaktivní kartě, zatímco jiné jsou na neinteraktivní kartě. CaE je označená jako true pouze pro jeden z požadavků, které může být na interaktivní kartě nebo na neinteraktivní kartě. Správa musí zkontrolovat obě karty a ověřit, jestli je ověřování uživatele povolené nebo ne.

Hledání konkrétních pokusů o přihlášení

Protokoly přihlášení obsahují informace o úspěšných a neúspěšných událostech. Pomocí filtrů můžete hledání zúžit. Pokud se například uživatel přihlásil k Teams, použijte filtr aplikace a nastavte ho na Teams. Správa možná bude potřeba zkontrolovat přihlášení z interaktivních i neinteraktivních karet a vyhledat konkrétní přihlášení. Pokud chcete hledání dále zúžit, můžou správci použít více filtrů.

Sešity nepřetržitého vyhodnocování přístupu

Sešit přehledů průběžného vyhodnocování přístupu umožňuje správcům zobrazit a monitorovat přehledy využití CAE pro své tenanty. V tabulce se zobrazují pokusy o ověření s neshodou IP adres. Tento sešit najdete jako šablonu v kategorii Podmíněný přístup.

Přístup k šabloně sešitu CAE

Integrace Log Analytics musí být dokončena před zobrazením sešitů. Další informace o tom, jak streamovat protokoly přihlašování Microsoft Entra do pracovního prostoru služby Log Analytics, najdete v článku Integrace protokolů Microsoft Entra s protokoly služby Azure Monitor.

  1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň čtenář zabezpečení.
  2. Přejděte do sešitů monitorování a stavu>identit>.
  3. V části Veřejné šablony vyhledejte přehledy průběžného vyhodnocování přístupu.

Sešit přehledů průběžného vyhodnocování přístupu obsahuje následující tabulku:

Potenciální neshoda IP adres mezi ID Microsoft Entra a poskytovatelem prostředků

Potenciální neshoda IP adres mezi tabulkou zprostředkovatele prostředků Microsoft Entra ID a poskytovatelem prostředků umožňuje správcům prozkoumat relace, ve kterých IP adresa zjištěná ID Microsoft Entra neodpovídá IP adrese zjištěné poskytovatelem prostředků.

Tato tabulka sešitu se v těchto scénářích rozsvítí zobrazením příslušných IP adres a toho, jestli se během relace vystavil token CAE.

Přehledy průběžného vyhodnocování přístupu na přihlášení

Přehledy průběžného vyhodnocování přístupu na přihlašovací stránku v sešitu připojí několik požadavků z protokolů přihlašování a zobrazí jeden požadavek, ve kterém byl vydán token CAE.

Tento sešit může být užitečný například v těchto případech: Uživatel otevře Outlook na počítači a pokusí se získat přístup k prostředkům v Exchangi Online. Tato akce přihlašování se může mapovat na více interaktivních a neinteraktivních žádostí o přihlášení v protokolech, které ztěžují diagnostiku problémů.

Konfiguraci IP adresy

Váš poskytovatel identity a poskytovatelé prostředků můžou vidět různé IP adresy. K této neshodě může dojít z následujících příkladů:

  • Vaše síť implementuje rozdělené tunelové propojení.
  • Váš poskytovatel prostředků používá adresu IPv6 a ID Microsoft Entra používá adresu IPv4.
  • Vzhledem k konfiguracím sítě uvidí ID Microsoft Entra jednu IP adresu od klienta a poskytovatel prostředků uvidí jinou IP adresu od klienta.

Pokud tento scénář ve vašem prostředí existuje, aby se zabránilo nekonečným smyčkám, microsoft Entra ID vydá token CAE po dobu jedné hodiny a během tohoto hodinového období nevynucuje změnu umístění klienta. I v tomto případě se zabezpečení v porovnání s tradičními hodinami tokenů vylepšuje, protože stále vyhodnocujeme další události kromě událostí změn umístění klienta.

Správa mohou zobrazit záznamy filtrované podle časového rozsahu a aplikace. Správa můžou porovnat počet neodpovídajících IP adres zjištěných s celkovým počtem přihlášení během zadaného časového období.

Pokud chcete uživatele odblokovat, můžou správci přidat konkrétní IP adresy do důvěryhodného pojmenovaného umístění.

  1. Přihlaste se do Centra pro správu Microsoft Entra s úrovní minimálně jako Správce podmíněného přístupu.
  2. Přejděte k pojmenovaným umístěním> podmíněného přístupu ochrany.> Tady můžete vytvořit nebo aktualizovat důvěryhodná umístění IP adres.

Poznámka:

Před přidáním IP adresy jako důvěryhodného pojmenovaného umístění ověřte, že IP adresa ve skutečnosti patří do zamýšlené organizace.

Další informace o pojmenovaných umístěních najdete v článku Použití podmínky umístění.

Související obsah