Jak zkoumat přihlášení, která vyžadují multifaktorové ověřování Microsoft Entra

Monitorování služby Microsoft Entra Health poskytuje sadu metrik stavu na úrovni tenanta, které můžete monitorovat a výstrahy při zjištění potenciálního problému nebo stavu selhání. Existuje několik scénářů stavu, které je možné monitorovat, včetně vícefaktorového ověřování Microsoft Entra (MFA).

Tento scénář:

• Agreguje počet uživatelů, kteří úspěšně dokončili přihlášení vícefaktorového ověřování pomocí cloudové služby MFA Microsoft Entra.
• Zaznamenává interaktivní přihlášení pomocí Microsoft Entra MFA a agreguje úspěšné i neúspěšné operace.
• Vyloučí se, když uživatel aktualizuje relaci bez dokončení interaktivního vícefaktorového ověřování nebo pomocí metod přihlašování bez hesla.

Tento článek popisuje tyto metriky stavu a postup řešení potenciálního problému při příjmu výstrahy. Podrobnosti o interakci se scénáři monitorování stavu a o tom, jak prozkoumat všechna upozornění, najdete v tématu Postup zkoumání výstrah scénářů stavu.

Důležitý

Monitorování scénářů a upozornění služby Microsoft Entra Health jsou aktuálně ve verzi PREVIEW. Tyto informace se týkají předběžného produktu, který může být před vydáním podstatně změněn. Společnost Microsoft neposkytuje žádné záruky, vyjádřené ani předpokládané, pokud jde o informace uvedené zde. Zkušenost s centrem pro správu Microsoft Entra se postupně zpřístupňuje zákazníkům, takže by se mohlo stát, že neuvidíte všechny funkce popsané v tomto článku.

Požadavky

Existují různé role, oprávnění a licenční požadavky, které umožňují zobrazit signály monitorování stavu a konfigurovat a přijímat výstrahy. K zajištění souladu s pokyny k nulová důvěra (Zero Trust) doporučujeme použít roli s přístupem s nejnižšími oprávněními.

• Tenant s licencí Microsoft Entra P1 nebo P2 se vyžaduje k zobrazení monitorovacích signálů scénáře stavu Microsoft Entra.
• Tenant s ne trialovou licencí Microsoft Entra P1 nebo P2a alespoň 100 měsíčních aktivních uživatelů se vyžaduje k zobrazení upozornění a dostávat oznámení o upozorněních.
• Role Čtenář sestav je nejméně privilegovaná role potřebná k zobrazení signálů monitorování scénářů, výstrah a konfigurací výstrah.
• Správce helpdesku je nejméně privilegovaná role potřebná k aktualizaci konfigurací upozornění a upozornění na aktualizaci.
• Oprávnění HealthMonitoringAlert.Read.All se vyžaduje k zobrazení upozornění pomocí rozhraní Microsoft Graph API.
• Oprávnění HealthMonitoringAlert.ReadWrite.All se vyžaduje k zobrazení a úpravě upozornění pomocí rozhraní Microsoft Graph API.
• Úplný seznam rolí najdete v tématu Nejméně privilegovaná role podle úkolu.

Prozkoumání signálů a upozornění

Zkoumání výstrahy začíná shromažďováním dat. V Centru pro správu Microsoft Entra můžete s Microsoft Entra Health zobrazit podrobnosti o signálu a upozornění na jednom místě. Pomocí rozhraní Microsoft Graph API můžete také zobrazit signály a výstrahy. Další informace najdete v tématu Postup zkoumání výstrah scénářů stavu pokyny ke shromažďování dat pomocí rozhraní Microsoft Graph API.

1. Přihlaste se do centra pro správu Microsoft Entra jako alespoň čtenář sestav.

2. Přejděte na Identity>Monitorování a zdraví>Zdraví. Stránka se otevře na stránce Dosažení smlouvy o úrovni služeb (SLA).

3. Vyberte kartu monitorování zdraví.

4. Vyberte scénář přihlášení vyžadující vícefaktorové ověřování Entra ID a poté vyberte aktivní výstrahu.

   

5. Prohlédněte si signál z oddílu v grafu dat, abyste se seznámili se vzorem a identifikovali anomálie.

   

6. Zkontrolujte protokoly přihlašování.

   • Zkontrolujte podrobnosti protokolu přihlašování.
   • Hledejte, že se uživatelé nemůžou přihlašovat a mají zásady podmíněného přístupu, které vyžadují použití vícefaktorového ověřování.

7. Zkontrolujte nedávné změny zásad v protokolech auditu.

   • K řešení potíží se změnami zásad podmíněného přístupu použijte protokoly auditu.

Zmírnění běžných problémů

Následující běžné problémy můžou způsobit špičku při přihlašování k vícefaktorovým ověřováním. Tento seznam není vyčerpávající, ale poskytuje výchozí bod pro vaše šetření.

Problémy s konfigurací aplikací

Zvýšení počtu přihlášení vyžadujících vícefaktorové ověřování může znamenat změnu zásad nebo zavedení nové funkce potenciálně aktivovalo velký počet uživatelů, kteří se přihlašují přibližně ve stejnou dobu.

Prošetření:

1. V části Ovlivněné entity vybraného scénáře vyberte Zobrazit pro aplikace.

   • Na panelu se zobrazí seznam ovlivněných aplikací. Výběrem aplikace přejdete přímo na podrobnosti aplikace, kde můžete zobrazit protokoly auditu a další podrobnosti.
   • Pomocí rozhraní Microsoft Graph API vyhledejte v souhrnu dopadu „aplikace“ resourceType.

2. Zkontrolujte protokoly auditu pro aplikaci.

   • Zjistěte, jestli se aplikace nedávno přidala nebo překonfigurovala, což může aktivovat velký počet uživatelů, kteří se přihlašují.

3. Zkontrolujte protokoly přihlašování.

   • Pomocí sloupce Application můžete filtrovat stejnou aplikaci nebo rozsah kalendářních dat, aby bylo možné vyhledat jakékoli jiné vzory.

Problémy s ověřováním uživatelů

Zvýšení počtu přihlášení vyžadujících vícefaktorové ověřování může znamenat útok hrubou silou, kdy se na účet uživatele provede několik pokusů o neoprávněné přihlášení.

Prošetření:

1. V části Ovlivněné entity vybraného scénáře vyberte Zobrazit pro uživatele.

   • Na panelu se zobrazí seznam ovlivněných uživatelů. Vyberte uživatele, který přejde přímo do svého profilu, kde si můžete prohlédnout přihlašovací aktivitu a další podrobnosti.
   • Pomocí rozhraní Microsoft Graph API vyhledejte "uživatele" resourceType a hodnotu impactedCount v souhrnu dopadu.

2. Zkontrolujte protokoly přihlašování.

   • V protokolech přihlašování použijte následující filtry:
     • Stav: Selhání
     • Požadavek na ověření: Vícefaktorové ověřování
     • Upravte datum tak, aby odpovídalo časovému rámci uvedenému v souhrnu dopadu.
   • Pocházejí neúspěšné pokusy o přihlášení ze stejné IP adresy?
   • Došlo k neúspěšným pokusům o přihlášení od stejného uživatele?
   • Spuštěním diagnostiky přihlašování vyloučíte standardní problémy s chybami uživatelů nebo počáteční problémy s nastavením vícefaktorového ověřování.

Problémy se sítí

Může dojít k výpadku místního systému, který vyžaduje, aby se současně přihlásil velký počet uživatelů.

Prošetření:

1. V části Ovlivněné entity vybraného scénáře vyberte Zobrazit pro uživatele.

   • Na panelu se zobrazí seznam ovlivněných uživatelů. Vyberte uživatele, který přejde přímo do svého profilu, kde si můžete prohlédnout přihlašovací aktivitu a další podrobnosti.
   • Pomocí rozhraní Microsoft Graph API vyhledejte "uživatel" resourceType a hodnotu impactedCount v souhrnu dopadu.

2. Zkontrolujte stav systému a sítě a zjistěte, jestli výpadek nebo aktualizace odpovídá stejnému časovému rámci jako anomálie.

3. Zkontrolujte protokoly přihlašování.

   • Upravte filtr tak, aby zobrazoval přihlášení z oblasti, ve které se nachází ovlivněný uživatel.

4. Pokud vaše organizace používá globální zabezpečený přístup, zkontrolujte protokoly provozu .

Související obsah

• Konfigurace podmíněného přístupu pro vícefaktorové ověřování pro všechny uživatele
• Řešení běžných chyb přihlašování
• Informace o podmíněném přístupu a Intune