Jak zkoumat přihlášení, která vyžadují multifaktorové ověřování Microsoft Entra

Monitorování služby Microsoft Entra Health poskytuje sadu metrik stavu na úrovni tenanta, které můžete monitorovat a výstrahy při zjištění potenciálního problému nebo stavu selhání. Existuje několik scénářů stavu, které je možné monitorovat, včetně vícefaktorového ověřování Microsoft Entra (MFA).

Tento scénář:

• Agreguje počet uživatelů, kteří úspěšně dokončili přihlášení pomocí vícefaktorového ověřování pomocí cloudové služby Microsoft Entra MFA.
• Zaznamenává interaktivní přihlášení pomocí Microsoft Entra MFA a agreguje úspěšné i neúspěšné operace.
• Nezahrnuje se, když uživatel obnoví relaci bez dokončení vícefaktorového ověřování nebo pomocí metod přihlašování bez hesla.

Tento článek popisuje tyto metriky stavu a postup řešení potenciálního problému při příjmu výstrahy. Podrobnosti o interakci se scénáři monitorování stavu a o tom, jak prozkoumat všechna upozornění, najdete v tématu Postup zkoumání výstrah scénářů stavu.

Důležitý

Monitorování scénářů a upozornění služby Microsoft Entra Health jsou aktuálně ve verzi PREVIEW. Tyto informace se týkají předběžného produktu, který může být před vydáním podstatně změněn. Společnost Microsoft neposkytuje žádné záruky, vyjádřené ani předpokládané, pokud jde o informace uvedené zde.

Požadavky

Existují různé role, oprávnění a licenční požadavky, které umožňují zobrazit signály monitorování stavu a konfigurovat a přijímat výstrahy. Aby byl zajištěn soulad s pokyny pro Zero Trust, doporučujeme použít roli s přístupem s nejnižšími oprávněními.

• K zobrazení monitorovacích signálů scénáře stavu Microsoft Entra je vyžadován tenant s licencí Microsoft Entra P1 nebo P2.
• Tenant s plnou verzí licence Microsoft Entra P1 nebo P2a alespoň 100 měsíčních aktivních uživatelů je povinen zobrazit upozornění a přijímat oznámení.
• Role Čtenář reportů je role s nejnižšími oprávněními potřebná k zobrazení signálů monitorování scénářů, výstrah a nastavení výstrah.
• Správce helpdesku je nejméně privilegovaná role potřebná k aktualizaci upozornění a aktualizaci konfigurací oznámení o upozornění.
• Oprávnění HealthMonitoringAlert.Read.All se vyžaduje k zobrazení upozornění pomocí rozhraní Microsoft Graph API.
• Oprávnění HealthMonitoringAlert.ReadWrite.All se vyžaduje k zobrazení a úpravě upozornění pomocí rozhraní Microsoft Graph API.
• Úplný seznam rolí najdete v tématu Nejméně privilegovaná role podle úkolu.

Prozkoumání signálů a upozornění

Zkoumání výstrahy začíná shromažďováním dat. V Centru pro správu Microsoft Entra můžete s Microsoft Entra Health zobrazit podrobnosti o signálu a upozornění na jednom místě. Pomocí rozhraní Microsoft Graph API můžete také zobrazit signály a výstrahy. Další informace najdete v tématu Postup zkoumání výstrah scénářů stavu pokyny ke shromažďování dat pomocí rozhraní Microsoft Graph API.

1. Přihlaste se do centra pro správu Microsoft Entra jako alespoň čtenář sestav.

2. Přejděte na Identity>Monitorování a zdraví>Zdraví. Stránka se otevře na stránce Dosažení smlouvy o úrovni služeb (SLA).

3. Vyberte kartu monitorování zdraví.

4. Vyberte scénář přihlášení vyžadující vícefaktorové ověřování Entra ID a poté vyberte aktivní výstrahu.

   

5. Prohlédněte si signál z oddílu v grafu dat, abyste se seznámili se vzorem a identifikovali anomálie.

   

6. Zkontrolujte protokoly přihlašování.

   • Zkontrolujte podrobnosti protokolu přihlašování.
   • Hledejte uživatele, kteří jsou blokováni v přihlašování a na které se vztahují zásady podmíněného přístupu vyžadující použití vícefaktorového ověřování.

7. Zkontrolujte nedávné změny zásad v protokolech auditu.

   • K řešení potíží se změnami zásad podmíněného přístupu použijte protokoly auditu.

Zmírnění běžných problémů

Následující běžné problémy můžou způsobit špičku při přihlašování k vícefaktorovým ověřováním. Tento seznam není vyčerpávající, ale poskytuje výchozí bod pro vaše šetření.

Problémy s konfigurací aplikací

Zvýšení počtu přihlášení vyžadujících vícefaktorové ověřování může znamenat změnu zásad nebo zavedení nové funkce potenciálně aktivovalo velký počet uživatelů, kteří se přihlašují přibližně ve stejnou dobu.

K vyšetření:

1. V části Ovlivněné entity vybraného scénáře vyberte Zobrazit pro aplikace.

   • Na panelu se zobrazí seznam ovlivněných aplikací. Výběrem aplikace přejdete přímo na podrobnosti aplikace, kde můžete zobrazit protokoly auditu a další podrobnosti.
   • Pomocí rozhraní Microsoft Graph API vyhledejte v souhrnu dopadu „aplikace“ resourceType.

2. Zkontrolujte protokoly auditu pro aplikaci.

   • Zjistěte, jestli se aplikace nedávno přidala nebo překonfigurovala, což může aktivovat velký počet uživatelů, kteří se přihlašují.

3. Zkontrolujte protokoly přihlašování.

   • Pomocí sloupce Application můžete filtrovat stejnou aplikaci nebo rozsah kalendářních dat, aby bylo možné vyhledat jakékoli jiné vzory.

Problémy s ověřováním uživatelů

Zvýšení počtu přihlášení vyžadujících vícefaktorové ověřování může znamenat útok hrubou silou, kdy se na účet uživatele provede několik pokusů o neoprávněné přihlášení.

Prošetření:

1. V části Ovlivněné entity vybraného scénáře vyberte Zobrazit pro uživatele.

   • Na panelu se zobrazí seznam ovlivněných uživatelů. Vyberte uživatele, který přejde přímo do svého profilu, kde si můžete prohlédnout přihlašovací aktivitu a další podrobnosti.
   • Pomocí rozhraní Microsoft Graph API vyhledejte "uživatele" resourceType a hodnotu impactedCount v souhrnu dopadu.

2. Zkontrolujte protokoly přihlašování.

   • V protokolech přihlašování použijte následující filtry:
     • Stav: Selhání
     • Požadavek na ověření: Vícefaktorové ověřování
     • Upravte datum tak, aby odpovídalo časovému rámci uvedenému v souhrnu dopadu.
   • Pocházejí neúspěšné pokusy o přihlášení ze stejné IP adresy?
   • Došlo k neúspěšným pokusům o přihlášení od stejného uživatele?
   • Spuštěním diagnostiky přihlašování vyloučíte standardní problémy s chybami uživatelů nebo počáteční problémy s nastavením vícefaktorového ověřování.

Problémy se sítí

Může dojít k výpadku místního systému, který vyžaduje, aby se současně přihlásil velký počet uživatelů.

K prozkoumání:

1. V části Ovlivněné entity vybraného scénáře vyberte Zobrazit pro uživatele.

   • Na panelu se zobrazí seznam ovlivněných uživatelů. Vyberte uživatele, který přejde přímo do svého profilu, kde si můžete prohlédnout přihlašovací aktivitu a další podrobnosti.
   • Pomocí rozhraní Microsoft Graph API vyhledejte "uživatele" resourceType a hodnotu impactedCount v souhrnu dopadu.

2. Zkontrolujte stav systému a sítě a zjistěte, jestli výpadek nebo aktualizace odpovídá stejnému časovému rámci jako anomálie.

3. Zkontrolujte protokoly přihlašování.

   • Upravte filtr tak, aby zobrazoval přihlášení z oblasti, ve které se nachází ovlivněný uživatel.

4. Pokud vaše organizace používá globální zabezpečený přístup, zkontrolujte protokoly provozu .

Související obsah

• Konfigurace podmíněného přístupu pro vícefaktorové ověřování pro všechny uživatele
• Řešení běžných chyb přihlašování
• Informace o podmíněném přístupu a Intune