Untersuchen von Anmeldungen, die eine Multi-Faktor-Authentifizierung erfordern

Die Microsoft Entra Health-Überwachung bietet eine Reihe von Integritätsmetriken auf Mandantenebene, die Sie überwachen können und die Sie alarmieren, wenn ein potenzielles Problem oder eine Fehlerbedingung erkannt wird. Es gibt mehrere Integritätsszenarien, die überwacht werden können, einschließlich der Multi-Faktor-Authentifizierung (MFA).

Dieses Szenario:

• Aggregiert die Anzahl der Benutzer, die eine MFA-Anmeldung erfolgreich mit einem Microsoft Entra-Cloud-MFA-Dienst abgeschlossen haben.
• Erfasst interaktive Anmeldungen mit MFA und aggregiert sowohl Erfolge als auch Fehler.
• Schließt aus, wenn ein Benutzer die Sitzung aktualisiert, ohne die interaktive MFA abzuschließen oder die kennwortlose Anmeldemethoden verwendet.

In diesem Artikel werden diese Integritätsmetriken und die Problembehandlung eines potenziellen Problems beschrieben, wenn Sie eine Warnung erhalten.

Voraussetzungen

Es gibt unterschiedliche Rollen, Berechtigungen und Lizenzanforderungen zum Anzeigen von Signalen zur Systemüberwachung und zum Konfigurieren und Empfangen von Warnungen. Es wird jedoch empfohlen, gemäß dem Zero Trust-Leitfaden eine Rolle mit den geringsten Berechtigungen zu verwenden.

• Ein Mandant mit einer Microsoft Entra P1- oder P2-Lizenz ist erforderlich, um die Überwachungssignale des Microsoft Entra-Integritätsszenarios anzuzeigen.
• Ein Mandant mit einer Microsoft Entra P1- oder P2-Lizenz und mindestens 100 monatlich aktive Benutzer müssen Warnungen anzeigen und Benachrichtigungen empfangen.
• Die Rolle Berichtsleseberechtigter ist die am wenigsten privilegierte Rolle, die zum Anzeigen von Szenarioüberwachungssignalen, Warnungen und Warnungskonfigurationen erforderlich ist.
• Der Helpdeskadministrator ist die am wenigsten privilegierte Rolle, die zum Aktualisieren von Warnungen und zum Aktualisieren von Updatebenachrichtigungskonfigurationen erforderlich ist.
• Die Berechtigung „HealthMonitoringAlert.Read.All“ ist erforderlich, um die Warnungen mithilfe der Microsoft Graph-API anzuzeigen.
• Die Berechtigung „HealthMonitoringAlert.ReadWrite.All“ ist erforderlich, um die Warnungen mithilfe der Microsoft Graph-API anzuzeigen und zu ändern.
• Eine vollständige Liste der Rollen finden Sie unter Rolle mit den geringsten Privilegien nach Aufgabe.

Daten erfassen

Die Untersuchung einer Warnung beginnt mit dem Sammeln von Daten.

1. Sammeln Sie die Signaldetails und die Auswirkungszusammenfassung.
   • Weitere Informationen finden Sie unter Übersicht über die Systemüberwachung von Microsoft Graph.
2. Sie zeigen die Anmeldeprotokolle an.
   • Überprüfen Sie die Anmeldeprotokolldetails.
   • Suchen Sie nach Benutzern, die daran gehindert werden, sich anzumelden und über eine Richtlinie für bedingten Zugriff verfügen, für die MFA angewendet werden muss.
3. Überprüfen Sie die Überwachungsprotokolle auf kürzliche Richtlinienänderungen.
   • Verwenden Sie die Überwachungsprotokollen zur Problembehandlung von Richtlinienänderungen für bedingten Zugriff.

Beheben häufiger Probleme

Die folgenden häufig auftretenden Probleme können zu einer Spitze bei MFA-Anmeldungen führen. Diese Liste ist nicht vollständig, bietet aber einen Ausgangspunkt für Ihre Untersuchung.

Probleme bei der Anwendungskonfiguration

Ein Anstieg von Anmeldungen, die MFA erfordern, könnte auf eine Richtlinienänderung oder ein neues Featurerollout hinweisen, wodurch sich möglicherweise eine große Anzahl von Benutzern gleichzeitig anmelden möchte.

Zum Untersuchen von:

• Wenn resourceType in der Auswirkungszusammenfassung „Anwendung“ ist und nur eine oder zwei Anwendungen aufgeführt sind, überprüfen Sie die Überwachungsprotokolle auf Änderungen an den aufgeführten Anwendungen.
• Verwenden Sie in den Überwachungsprotokollen die Spalte Ziel, um nach der Anwendung zu filtern oder die Überwachungsprotokolle aus Unternehmensanwendungen zu öffnen, sodass der Filter bereits festgelegt ist.
• Ermitteln Sie, ob die Anwendung kürzlich hinzugefügt oder neu konfiguriert wurde.
• Verwenden Sie in den Anmeldeprotokollen die Spalte Anwendung, um nach derselben Anwendung oder demselben Datumsbereich zu filtern und so nach anderen Mustern zu suchen.

Probleme bei der Benutzerauthentifizierung

Ein Anstieg von Anmeldungen, die MFA erfordern, könnte auf einen Brute-Force-Angriff hinweisen, bei dem mehrere nicht autorisierte Anmeldeversuche bei dem Konto eines Benutzers vorgenommen wurden.

Zum Untersuchen von:

• Wenn resourceType in der Auswirkungszusammenfassung „Benutzer“ ist und der impactedCount-Wert eine kleine Teilmenge von Benutzern anzeigt, kann das Problem benutzerspezifisch sein.
• Verwenden Sie die folgenden Filter in den Anmeldeprotokollen:
  • Status: Fehler
  • Authentifizierungsanforderung: Multi-Faktor-Authentifizierung
  • Passen Sie das Datum an den Zeitrahmen, der in der Auswirkungszusammenfassung angegeben ist, an.
• Stammen die fehlgeschlagenen Anmeldeversuche von derselben IP-Adresse?
• Stammen die fehlgeschlagenen Anmeldeversuche von demselben Benutzers?
• Führen Sie die Anmeldediagnose aus, um Standardfehlerprobleme des Benutzers oder anfängliche MFA-Setupprobleme auszuschließen.

Netzwerkprobleme

Es könnte ein regionaler Systemausfall aufgetreten sein, der dazu führte, dass sich eine große Anzahl von Benutzern gleichzeitig anmelden wollte.

Zum Untersuchen von:

• Wenn resourceType in der Auswirkungszusammenfassung „Benutzer“ ist und der impactedCount-Wert einen großen Prozentsatz der Benutzer Ihrer Organisation anzeigt, handelt es sich möglicherweise um ein größeres Problem.
• Überprüfen Sie die System- und Netzwerkintegrität, um festzustellen, ob ein Ausfall oder eine Aktualisierung dem gleichen Zeitrahmen entspricht wie die Anomalie.

Nächste Schritte

• Konfigurieren des bedingten Zugriffs für MFA für alle Benutzer
• Problembehandlung für häufig auftretende Anmeldefehler
• Informationen zu bedingtem Zugriff und Intune