So untersuchen Sie die Anmeldungen, die eine Benachrichtigung über kompatible oder verwaltete Geräte erfordern

Die Microsoft Entra Health-Überwachung bietet eine Reihe von Integritätsmetriken auf Mandantenebene, die Sie überwachen können und die Sie alarmieren, wenn ein potenzielles Problem oder eine Fehlerbedingung erkannt wird. Es gibt mehrere Integritätsszenarien, die überwacht werden können, einschließlich zwei im Zusammenhang mit Geräten:

• Anmeldungen, die ein kompatibles Gerät für bedingten Zugriff erfordern
• Anmeldungen, die ein verwaltetes Gerät für bedingten Zugriff erfordern

In diesen Szenarien können Sie Warnungen für die Benutzerauthentifizierung überwachen und empfangen, die eine Richtlinie für bedingten Zugriff erfüllen, die die Anmeldung von einem kompatiblen oder verwalteten Gerät erfordert. Weitere Informationen zur Funktionsweise von Microsoft Entra Health finden Sie unter:

• Was ist Microsoft Entra Health?
• Verwenden von Microsoft Entra Health-Überwachungssignalen und -warnungen

In diesem Artikel werden die Integritätsmetriken im Zusammenhang mit kompatiblen und verwalteten Geräten und die Problembehandlung eines potenziellen Problems beschrieben, wenn Sie eine Warnung erhalten.

Voraussetzungen

Es gibt unterschiedliche Rollen, Berechtigungen und Lizenzanforderungen zum Anzeigen von Signalen zur Systemüberwachung und zum Konfigurieren und Empfangen von Warnungen. Es wird jedoch empfohlen, gemäß dem Zero Trust-Leitfaden eine Rolle mit den geringsten Berechtigungen zu verwenden.

• Ein Mandant mit einer Microsoft Entra P1- oder P2-Lizenz ist erforderlich, um die Überwachungssignale des Microsoft Entra-Integritätsszenarios anzuzeigen.
• Ein Mandant mit einer Microsoft Entra P1- oder P2-Lizenz und mindestens 100 monatlich aktive Benutzer müssen Warnungen anzeigen und Benachrichtigungen empfangen.
• Die Rolle Berichtsleseberechtigter ist die am wenigsten privilegierte Rolle, die zum Anzeigen von Szenarioüberwachungssignalen, Warnungen und Warnungskonfigurationen erforderlich ist.
• Der Helpdeskadministrator ist die am wenigsten privilegierte Rolle, die zum Aktualisieren von Warnungen und zum Aktualisieren von Updatebenachrichtigungskonfigurationen erforderlich ist.
• Die Berechtigung „HealthMonitoringAlert.Read.All“ ist erforderlich, um die Warnungen mithilfe der Microsoft Graph-API anzuzeigen.
• Die Berechtigung „HealthMonitoringAlert.ReadWrite.All“ ist erforderlich, um die Warnungen mithilfe der Microsoft Graph-API anzuzeigen und zu ändern.
• Eine vollständige Liste der Rollen finden Sie unter Rolle mit den geringsten Privilegien nach Aufgabe.

Untersuchen der Warnung und des Signals

Die Untersuchung einer Warnung beginnt mit dem Sammeln von Daten.

1. Sammeln Sie die Signaldetails und die Auswirkungszusammenfassung.
   • Weitere Informationen finden Sie unter Übersicht über die Systemüberwachung von Microsoft Graph.
   • Führen Sie die API Warnungen auflisten aus, um alle Warnungen für den Mandanten abzurufen.
   • Führen Sie die API Warnungen abrufen aus, um die Details einer bestimmten Warnung abzurufen.
2. Überprüfen Sie Ihre Intune-Gerätecompliancerichtlinien.
   • Weitere Informationen finden Sie unter Übersicht über die Intune-Gerätecompliance.
   • Erfahren Sie, wie Sie Richtlinien zur Gerätecompliance überwachen.
   • Wenn Sie Intune nicht verwenden, überprüfen Sie die Compliancerichtlinien Ihrer Geräteverwaltungslösung.
3. Untersuchen sie häufig auftretende Probleme mit bedingtem Zugriff.
   • Behandeln Sie Probleme mit Gerätecompliancerichtlinien für bedingten Zugriff.
   • Behandeln Sie Anmeldeproblemen bei bedingtem Zugriff.
4. Sie zeigen die Anmeldeprotokolle an.
   • Überprüfen Sie die Anmeldeprotokolldetails.
   • Suchen Sie nach Benutzern, die daran gehindert werden, sich anzumelden und eine kompatible Geräterichtlinie angewendet haben.
5. Überprüfen Sie die Überwachungsprotokolle auf kürzliche Richtlinienänderungen.
   • Verwenden Sie die Überwachungsprotokollen zur Problembehandlung von Richtlinienänderungen für bedingten Zugriff.

Beheben häufiger Probleme

Die folgenden häufig auftretenden Probleme können zu einer Spitze bei Anmeldungen führen, die ein kompatibles oder verwaltetes Gerät erfordern. Diese Liste ist nicht vollständig, bietet aber einen Ausgangspunkt für Ihre Untersuchung.

Viele Benutzer wurden daran gehindert, sich von bekannten Geräten aus anzumelden.

Wenn eine große Gruppe von Benutzern daran gehindert wird, sich bei bekannten Geräten anzumelden, könnte eine Spitze darauf hindeuten, dass diese Geräte nicht mehr kompatibel sind.

Zum Untersuchen von:

• Wenn resourceType in der Auswirkungszusammenfassung „Benutzer“ ist und der impactedCount-Wert einen großen Prozentsatz der Benutzer Ihrer Organisation anzeigt, handelt es sich möglicherweise um ein größeres Problem.
• Überprüfen Sie Ihre Intune-Gerätekompatibilitätsrichtlinie.
• Überprüfen Sie ihre Gerätekompatibilitätsrichtlinien für bedingten Zugriff.

Der Benutzer kann sich nicht von einem unbekannten Gerät aus anmelden

Wenn die Zunahme der blockierten Anmeldungen von einem unbekannten Gerät stammt, könnte diese Spitze darauf hinweisen, dass ein Angreifer die Anmeldeinformationen eines Benutzers erlangt hat und versucht, sich von einem Gerät anzumelden, das für solche Angriffe verwendet wird.

Zum Untersuchen von:

• Wenn resourceType in der Auswirkungszusammenfassung „Benutzer“ ist und der impactedCount-Wert eine kleine Teilmenge von Benutzern anzeigt, kann das Problem benutzerspezifisch sein.
• Sie zeigen die Anmeldeprotokolle an.
• Untersuchen Sie Risiken mit Microsoft Entra ID Protection.
  • Hinweis: Microsoft Entra ID Protection benötigt Microsoft Entra-ID P2-Lizenzen.

Netzwerkprobleme

Es könnte ein regionaler Systemausfall aufgetreten sein, der dazu führte, dass sich eine große Anzahl von Benutzern gleichzeitig anmelden wollte.

Zum Untersuchen von:

• Wenn resourceType in der Auswirkungszusammenfassung „Benutzer“ ist und der impactedCount-Wert einen großen Prozentsatz der Benutzer Ihrer Organisation anzeigt, handelt es sich möglicherweise um ein größeres Problem.
• Überprüfen Sie die System- und Netzwerkintegrität, um festzustellen, ob ein Ausfall oder eine Aktualisierung dem gleichen Zeitrahmen entspricht wie die Anomalie.

Nächste Schritte

• Erstellen einer Compliancerichtlinie in Microsoft Intune
• Informationen zu bedingtem Zugriff und Intune
• Weitere Informationen zu Microsoft Entra eingebundenen Geräten
• Worum handelt es sich bei der Geräteverwaltung?
• Informationen zu bedingtem Zugriff und Intune
• Weitere Informationen zu Microsoft Entra eingebundene Hybridgeräte