Postup prošetření přihlášení vyžadujících upozornění na vyhovující nebo spravovaná zařízení

Monitorování služby Microsoft Entra Health poskytuje sadu metrik stavu na úrovni tenanta, které můžete monitorovat a výstrahy při zjištění potenciálního problému nebo stavu selhání. Existuje několik scénářů stavu, které je možné monitorovat, včetně dvou souvisejících se zařízeními:

• Přihlášení vyžadující zařízení kompatibilní s podmíněným přístupem
• Přihlášení vyžadující spravované zařízení s podmíněným přístupem

Tento článek popisuje metriky stavu související se vyhovujícími a spravovanými zařízeními a způsob řešení potenciálního problému při příjmu výstrahy. Podrobnosti o interakci se scénáři monitorování stavu a o tom, jak prozkoumat všechna upozornění, najdete v tématu Postup zkoumání výstrah scénářů stavu.

Důležitý

Monitorování scénářů a upozornění služby Microsoft Entra Health jsou aktuálně ve verzi PREVIEW. Tyto informace se týkají předběžného produktu, který může být před vydáním podstatně změněn. Společnost Microsoft neposkytuje žádné záruky, vyjádřené ani předpokládané, pokud jde o informace uvedené zde. Prostředí Centra pro správu Microsoft Entra je uvolňováno zákazníkům po etapách, takže možná neuvidíte všechny funkce popsané v tomto článku.

Požadavky

Existují různé role, oprávnění a licenční požadavky, které umožňují zobrazit signály monitorování stavu a konfigurovat a přijímat výstrahy. K zajištění souladu s pokyny k nulová důvěra (Zero Trust) doporučujeme použít roli s přístupem s nejnižšími oprávněními.

• Tenant s licencí Microsoft Entra P1 nebo P2 se vyžaduje k zobrazení monitorovacích signálů scénáře stavu Microsoft Entra.
• Tenant s ne trialovou licencí Microsoft Entra P1 nebo P2a alespoň 100 měsíčních aktivních uživatelů se vyžaduje k zobrazení upozornění a dostávat oznámení o upozorněních.
• Role Čtenář sestav je nejméně privilegovaná role potřebná k zobrazení signálů monitorování scénářů, výstrah a konfigurací výstrah.
• Správce helpdesku je nejméně privilegovaná role potřebná k aktualizaci konfigurací upozornění a upozornění na aktualizaci.
• Oprávnění HealthMonitoringAlert.Read.All se vyžaduje k zobrazení upozornění pomocí rozhraní Microsoft Graph API.
• Oprávnění HealthMonitoringAlert.ReadWrite.All se vyžaduje k zobrazení a úpravě upozornění pomocí rozhraní Microsoft Graph API.
• Úplný seznam rolí najdete v tématu Nejméně privilegovaná role podle úkolu.

Prozkoumání signálů a upozornění

Zkoumání výstrahy začíná shromažďováním dat. V prostředí Microsoft Entra Health v Centru správy Microsoft Entra můžete na jednom místě zobrazit podrobnosti o signálech a upozorněních. Pomocí rozhraní Microsoft Graph API můžete také zobrazit signály a výstrahy. Další informace najdete v tématu Postup zkoumání výstrah scénářů stavu pokyny ke shromažďování dat pomocí rozhraní Microsoft Graph API.

1. Přihlaste se do centra pro správu Microsoft Entra jako alespoň čtenář sestav.

2. Přejděte na Identity>Monitorování a zdraví>Zdraví. Stránka se otevře na stránce Dosažení smlouvy o úrovni služeb (SLA).

3. Vyberte kartu monitorování stavu.

4. Vyberte scénář přihlášení vyžadující vyhovující zařízení nebo přihlášení vyžadující spravované zařízení a pak vyberte aktivní výstrahu.

   

5. Prohlédněte si signál z zobrazení datového grafu oddílu, abyste se seznámili se vzorem a identifikací anomálií.

   

6. Zkontrolujte zásady dodržování předpisů pro zařízení v Intune.

   • Další informace najdete v přehledu dodržování předpisů zařízením v Intune.
   • Zjistěte, jak monitorovat zásady dodržování předpisů zařízením.
   • Pokud Intune nepoužíváte, zkontrolujte zásady dodržování předpisů v řešení pro správu zařízení.

7. Prošetřte běžné problémy s podmíněným přístupem.

   • Řešení potíží se zásadami dodržování předpisů pro zařízení s podmíněným přístupem
   • Řešení potíží s přihlášením k podmíněnému přístupu

8. Zkontrolujte protokoly přihlašování.

   • Zkontrolujte podrobnosti protokolu přihlašování.
   • Hledejte, že se uživatelé přihlašují a používají se odpovídající zásady zařízení.

9. Zkontrolujte nedávné změny zásad v protokolech auditu.

   • K řešení potíží se změnami zásad podmíněného přístupu použijte protokoly auditu.

Zmírnění běžných problémů

Následující běžné problémy můžou způsobit špičku při přihlašování vyžadujících vyhovující nebo spravované zařízení. Tento seznam není vyčerpávající, ale poskytuje výchozí bod pro vaše šetření.

Mnoha uživatelům se zablokuje přihlášení ze známých zařízení.

Pokud se velké skupině uživatelů zablokuje přihlášení ke známým zařízením, může špička naznačovat, že tato zařízení nedodržovala předpisy. Pokud počet ovlivněných uživatelů indikuje vysoké procento uživatelů vaší organizace, můžete se podívat na rozsáhlý problém.

Prošetření:

1. V části Ovlivněné entity vybraného scénáře zvolte možnost Zobrazit pro uživatele.

   • Na panelu se zobrazí ukázka ovlivněných uživatelů. Vyberte uživatele, který přejde přímo do svého profilu, kde si můžete prohlédnout přihlašovací aktivitu a další podrobnosti.
   • Pomocí rozhraní Microsoft Graph API vyhledejte "resourceType" uživatele a hodnotu "impactedCount" v souhrnu dopadu.

   

2. Zkontrolujte zásady dodržování předpisů pro zařízení v Intune.

3. Zkontrolujte zásady dodržování předpisů pro zařízení s podmíněným přístupem.

Uživateli se zablokuje přihlášení z neznámého zařízení.

Pokud nárůst blokovaných přihlášení pochází z neznámého zařízení, může špička značit, že útočník získal přihlašovací údaje uživatele a pokouší se přihlásit ze zařízení použitého pro takové útoky. Pokud počet ovlivněných uživatelů zobrazuje malou podmnožinu uživatelů, může být problém specifický pro uživatele.

Prošetření:

1. V části Ovlivněné entity vybraného scénáře vyberte Zobrazit pro uživatele.

   • Na panelu se zobrazí seznam ovlivněných uživatelů. Vyberte uživatele, který přejde přímo do svého profilu, kde si můžete prohlédnout přihlašovací aktivitu a další podrobnosti.
   • Pomocí rozhraní Microsoft Graph API vyhledejte "uživatele" resourceType a hodnotu impactedCount v souhrnu dopadu.

2. Zkontrolujte protokoly přihlašování.

3. Prozkoumejte riziko pomocí služby Microsoft Entra ID Protection.

Poznámka

Microsoft Entra ID Protection vyžaduje licenci Microsoft Entra P2.

Problémy se sítí

Může dojít k výpadku místního systému, který vyžaduje, aby se současně přihlásil velký počet uživatelů.

Prošetření:

1. V části Ovlivněné entity vybraného scénáře vyberte Zobrazit pro uživatele.

   • Na panelu se zobrazí seznam ovlivněných uživatelů. Vyberte uživatele, který přejde přímo do svého profilu, kde si můžete prohlédnout přihlašovací aktivitu a další podrobnosti.
   • Pomocí rozhraní Microsoft Graph API vyhledejte "uživatel" resourceType a hodnotu impactedCount v souhrnu dopadu.

2. Zkontrolujte stav systému a sítě a zjistěte, jestli výpadek nebo aktualizace odpovídá stejnému časovému rámci jako anomálie.

3. Zkontrolujte protokoly přihlašování.

   • Upravte filtr tak, aby zobrazoval přihlášení z oblasti, ve které se nachází ovlivněný uživatel.

4. Pokud vaše organizace používá globální zabezpečený přístup, zkontrolujte protokoly provozu .

Související obsah

• Informace o podmíněném přístupu a Intune
• Další informace o hybridních zařízeních připojených k Microsoft Entra