Monitorare e risolvere i problemi di valutazione dell'accesso continuo
Gli amministratori possono monitorare e risolvere i problemi relativi agli eventi di accesso in cui la valutazione dell'accesso continuo (CAE) viene applicata in diversi modi.
Reportistica sulla valutazione continua degli accessi per l'autenticazione
Gli amministratori possono monitorare gli accessi utente in cui viene applicata la valutazione dell'accesso continuo (CAE). Queste informazioni sono disponibili nei log di accesso di Microsoft Entra:
- Accedi al centro di amministrazione di Microsoft Entra come almeno un lettore di sicurezza .
- Vai a Identità>Monitoraggio & salute>registri di accesso.
- Applicare il filtro Is CAE Token.
Da qui, gli amministratori dispongono di informazioni sugli eventi di accesso dell'utente. Selezionare qualsiasi accesso utente per visualizzare i dettagli sulla sessione, come i criteri di Accesso Condizionale applicati e se l'abilitazione CAE è attiva.
Sono presenti più richieste di accesso per ogni autenticazione. Alcune si trovano nella scheda interattiva, mentre altre si trovano nella scheda non interattiva. CAE è contrassegnato come true solo per una delle richieste che può trovarsi nella scheda interattiva o nella scheda non interattiva. Gli amministratori devono controllare entrambe le schede per verificare se l'autenticazione dell'utente è abilitata o meno.
Ricerca di tentativi di accesso specifici
I log di accesso contengono informazioni sugli eventi di esito positivo e negativo. Usare i filtri per restringere la ricerca. Ad esempio, se un utente ha eseguito l'accesso a Teams, usare il filtro Applicazione e impostarlo su Teams. Gli amministratori potrebbero dover controllare gli accessi da schede interattive e non interattive per individuare l'accesso specifico. Per restringere ulteriormente la ricerca, gli amministratori potrebbero applicare più filtri.
Cartelle di lavoro di valutazione dell'accesso continuo
La cartella di lavoro delle informazioni dettagliate sulla valutazione dell'accesso continuo consente agli amministratori di visualizzare e monitorare le informazioni dettagliate sull'utilizzo di CAE per i tenant. Nella tabella vengono visualizzati i tentativi di autenticazione con discrepanze IP. Questa cartella di lavoro è disponibile come modello nella categoria Accesso condizionale.
Accesso al modello di cartella di lavoro CAE
L'integrazione di Log Analytics deve essere completata prima della visualizzazione delle cartelle di lavoro. Per altre informazioni su come trasmettere i log di accesso di Microsoft Entra a un'area di lavoro Log Analytics, vedere l'articolo Integrare i log di Microsoft Entra con i log di Monitoraggio di Azure.
- Accedi all'interfaccia di amministrazione di Microsoft Entra con almeno il ruolo di Lettore di Sicurezza .
- Sfoglia fino a Identità>Monitoraggio & salute>Manuali.
- In Modelli pubblici, cerca approfondimenti sulla valutazione continua dell'accesso.
La cartella di lavoro approfondimenti sulla valutazione dell'accesso continuo contiene la tabella seguente:
Potenziale mancata corrispondenza dell'indirizzo IP tra l'ID Microsoft Entra e il provider di risorse
La potenziale mancata corrispondenza dell'indirizzo IP tra Microsoft Entra ID & tabella del provider di risorse consente agli amministratori di analizzare le sessioni in cui l'indirizzo IP rilevato da Microsoft Entra ID non corrisponde all'indirizzo IP rilevato dal provider di risorse.
Questa tabella della cartella di lavoro fa luce su questi scenari visualizzando i rispettivi indirizzi IP e se è stato emesso un token CAE durante la sessione.
Informazioni dettagliate sulla valutazione continua dell'accesso per sessione di autenticazione
Le informazioni dettagliate di valutazione dell'accesso continuo per ogni pagina di accesso nella cartella di lavoro connettono più richieste dai log di accesso e visualizza una singola richiesta in cui è stato emesso un token CAE.
Questa cartella di lavoro può risultare utile, ad esempio quando: un utente apre Outlook sul desktop e tenta di accedere alle risorse all'interno di Exchange Online. Questa azione di accesso potrebbe essere mappata a più richieste di accesso interattive e non interattive nei log rendendo difficile la diagnosi dei problemi.
Configurazione dell'indirizzo IP
I provider di identità e di risorse potrebbero visualizzare diversi indirizzi IP. Questa mancata corrispondenza potrebbe verificarsi a causa degli esempi seguenti:
- La rete implementa il split tunneling.
- Il provider di risorse usa un indirizzo IPv6 e l'ID Microsoft Entra usa un indirizzo IPv4.
- A causa delle configurazioni di rete, Microsoft Entra ID vede un indirizzo IP dal client e il provider di risorse vede un indirizzo IP diverso dal client.
Se questo scenario esiste nell'ambiente in uso, per evitare cicli infiniti, Microsoft Entra ID emette un token CAE di un'ora e non impone la modifica della posizione del client durante tale periodo di un'ora. Anche in questo caso, la sicurezza è migliorata rispetto ai token tradizionali di un'ora, perché stiamo ancora valutando gli altri eventi oltre agli eventi di modifica della posizione del client.
Gli amministratori possono visualizzare i record filtrati in base all'intervallo di tempo e all'applicazione. Gli amministratori possono confrontare il numero di indirizzi IP non corrispondenti rilevati con il numero totale di accessi durante un periodo di tempo specificato.
Per sbloccare gli utenti, gli amministratori possono aggiungere indirizzi IP specifici a una posizione denominata attendibile.
- Accedere all'interfaccia di amministrazione di Microsoft Entra almeno un amministratore dell'accesso condizionale .
- Passare a Protezione >Accesso Condizionale>Posizioni Nominate. Qui è possibile creare o aggiornare percorsi IP attendibili.
Nota
Prima di aggiungere un indirizzo IP come percorso denominato attendibile, verificare che l'indirizzo IP appartenga effettivamente all'organizzazione prevista.
Per altre informazioni sulle località denominate, vedere l'articolo Uso della condizione di posizione.