Postup prošetření přihlášení vyžadujících upozornění na vyhovující nebo spravovaná zařízení

Monitorování služby Microsoft Entra Health poskytuje sadu metrik stavu na úrovni tenanta, které můžete monitorovat a výstrahy při zjištění potenciálního problému nebo stavu selhání. Existuje několik scénářů stavu, které je možné monitorovat, včetně dvou souvisejících se zařízeními:

• Přihlášení vyžadující zařízení kompatibilní s podmíněným přístupem
• Přihlášení vyžadující spravované zařízení s podmíněným přístupem

Tyto scénáře umožňují monitorovat a přijímat upozornění na ověřování uživatelů, které vyhovují zásadám podmíněného přístupu vyžadujícím přihlášení ze vyhovujícího nebo spravovaného zařízení. Další informace o tom, jak Microsoft Entra Health funguje, najdete tady:

• Co je Microsoft Entra Health?
• Jak používat signály a výstrahy monitorování stavu Microsoft Entra

Tento článek popisuje metriky stavu související se vyhovujícími a spravovanými zařízeními a způsob řešení potenciálního problému při příjmu výstrahy.

Požadavky

Existují různé role, oprávnění a licenční požadavky, které umožňují zobrazit signály monitorování stavu a konfigurovat a přijímat výstrahy. K zajištění souladu s pokyny k nulová důvěra (Zero Trust) doporučujeme použít roli s přístupem s nejnižšími oprávněními.

• Tenant s licencí Microsoft Entra P1 nebo P2 se vyžaduje k zobrazení monitorovacích signálů scénáře stavu Microsoft Entra.
• Tenant s licencí Microsoft Entra P1 nebo P2 a nejméně 100 měsíčních aktivních uživatelů se vyžaduje k zobrazení výstrah a přijímání oznámení o upozorněních.
• Role Čtenář sestav je nejméně privilegovaná role potřebná k zobrazení signálů monitorování scénářů, výstrah a konfigurací výstrah.
• Správce helpdesku je nejméně privilegovaná role potřebná k aktualizaci konfigurací upozornění a upozornění na aktualizaci.
• Oprávnění HealthMonitoringAlert.Read.All se vyžaduje k zobrazení upozornění pomocí rozhraní Microsoft Graph API.
• Oprávnění HealthMonitoringAlert.ReadWrite.All se vyžaduje k zobrazení a úpravě upozornění pomocí rozhraní Microsoft Graph API.
• Úplný seznam rolí najdete v tématu Nejméně privilegovaná role podle úkolu.

Prozkoumání výstrahy a signálu

Zkoumání výstrahy začíná shromažďováním dat.

1. Shromážděte podrobnosti o signálu a souhrn dopadu.
   • Prohlédněte si signál v Centru pro správu Microsoft Entra, abyste se seznámili se vzorem a identifikací anomálií.
   • Spuštěním rozhraní API pro upozornění seznamu načtěte všechna upozornění pro tenanta.
   • Spuštěním rozhraní API pro získání upozornění načtěte podrobnosti o konkrétní výstraze.
2. Zkontrolujte zásady dodržování předpisů pro zařízení v Intune.
   • Další informace najdete v přehledu dodržování předpisů zařízením v Intune.
   • Zjistěte, jak monitorovat zásady dodržování předpisů zařízením.
   • Pokud Intune nepoužíváte, zkontrolujte zásady dodržování předpisů v řešení pro správu zařízení.
3. Prošetřte běžné problémy s podmíněným přístupem.
   • Řešení potíží se zásadami dodržování předpisů pro zařízení s podmíněným přístupem
   • Řešení potíží s přihlášením k podmíněnému přístupu
4. Zkontrolujte protokoly přihlašování.
   • Zkontrolujte podrobnosti protokolu přihlašování.
   • Hledejte, že se uživatelé přihlašují a používají se odpovídající zásady zařízení.
5. Zkontrolujte nedávné změny zásad v protokolech auditu.
   • K řešení potíží se změnami zásad podmíněného přístupu použijte protokoly auditu.

Zmírnění běžných problémů

Následující běžné problémy můžou způsobit špičku při přihlašování vyžadujících vyhovující nebo spravované zařízení. Tento seznam není vyčerpávající, ale poskytuje výchozí bod pro vaše šetření.

Mnoha uživatelům se zablokuje přihlášení ze známých zařízení.

Pokud se velké skupině uživatelů zablokuje přihlášení ke známým zařízením, může špička naznačovat, že tato zařízení nedodržovala předpisy.

Prošetření:

• Pokud je v souhrnu resourceType dopadu "uživatel" a impactedCount hodnota označuje velké procento uživatelů vaší organizace, můžete se podívat na široký problém.
• Zkontrolujte zásady dodržování předpisů pro zařízení v Intune.
• Zkontrolujte zásady dodržování předpisů pro zařízení s podmíněným přístupem.

Uživateli se zablokuje přihlášení z neznámého zařízení.

Pokud nárůst blokovaných přihlášení pochází z neznámého zařízení, může špička značit, že útočník získal přihlašovací údaje uživatele a pokouší se přihlásit ze zařízení použitého pro takové útoky.

Prošetření:

• Pokud je v souhrnu resourceType dopadu "uživatel" a impactedCount hodnota zobrazuje malou podmnožinu uživatelů, může být problém specifický pro uživatele.
• Zkontrolujte protokoly přihlašování.
• Prozkoumejte riziko pomocí služby Microsoft Entra ID Protection.
  • Poznámka: Microsoft Entra ID Protection vyžaduje licenci Microsoft Entra P2.

Problémy se sítí

Může dojít k výpadku místního systému, který vyžaduje, aby se současně přihlásil velký počet uživatelů.

Prošetření:

• Pokud je v souhrnu resourceType dopadu "uživatel" a impactedCount hodnota zobrazuje velké procento uživatelů vaší organizace, můžete se podívat na rozsáhlý problém.
• Zkontrolujte stav systému a sítě a zjistěte, jestli výpadek nebo aktualizace odpovídá stejnému časovému rámci jako anomálie.

Další kroky

• Vytvoření zásady dodržování předpisů v Microsoft Intune
• Informace o podmíněném přístupu a Intune
• Další informace o zařízeních připojených k Microsoft Entra
• Co je správa zařízení
• Informace o podmíněném přístupu a Intune
• Další informace o hybridních zařízeních připojených k Microsoft Entra