Delen via

Continue toegangsevaluatie bewaken en problemen oplossen

  • Artikel

Beheerders kunnen aanmeldingsgebeurtenissen bewaken en problemen oplossen waarbij CAE- (Continuous Access Evaluation) op meerdere manieren wordt toegepast.

Aanmeldingsrapportage voor continue toegangsevaluatie

Beheerders kunnen aanmeldingen van gebruikers bewaken waarbij continue toegangsevaluatie (CAE) wordt toegepast. Deze informatie vindt u in de aanmeldingslogboeken van Microsoft Entra:

  1. Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een Beveiligingslezer.
  2. Blader naar Identity>Monitoring & health>Sign-in logs.
  3. Pas het CAE-token toe filter.

Schermopname van het toevoegen van een filter aan het aanmeldingslogboek om te zien waar CAE wordt toegepast of niet.

Vanaf hier krijgen beheerders informatie te zien over de aanmeldingsgebeurtenissen van hun gebruiker. Selecteer iedere aanmelding voor meer informatie over de sessie, zoals welke voorwaarden voor toegang zijn ingevoerd en of CAE is ingeschakeld.

Er zijn meerdere aanmeldingsaanvragen voor elke verificatie. Sommige bevinden zich op het interactieve tabblad, terwijl andere op het niet-interactieve tabblad staan. CAE is alleen als 'waar' gemarkeerd voor één van de aanvragen, die zich op het interactieve of het niet-interactieve tabblad kan bevinden. Beheerders moeten beide tabbladen controleren om te bevestigen of de authenticatie van de gebruiker CAE-geschikt is of niet.

Zoeken naar specifieke aanmeldingspogingen

Aanmeldingslogboeken bevatten informatie over geslaagde en mislukte gebeurtenissen. Gebruik filters om uw zoekopdracht te verfijnen. Als een gebruiker zich bijvoorbeeld heeft aangemeld bij Teams, gebruikt u het toepassingsfilter en stelt u deze in op Teams. Beheerders moeten mogelijk de aanmeldingen controleren vanaf interactieve en niet-interactieve tabbladen om de specifieke aanmelding te vinden. Beheerders kunnen meerdere filters toepassen om de zoekopdracht verder te verfijnen.

Werkmappen voor continue toegangsevaluatie

Met het werkboek voor continue toegangsevaluatie kunnen beheerders CAE-gebruiksinzichten voor hun tenants bekijken en bewaken. In de tabel worden verificatiepogingen weergegeven met ip-adressen die niet overeenkomen. Deze werkmap is te vinden als sjabloon onder de categorie Voorwaardelijke toegang.

Toegang tot de CAE-werkmapsjabloon

Log Analytics-integratie moet worden voltooid voordat werkmappen worden weergegeven. Zie het artikel Microsoft Entra-logboeken integreren met Azure Monitor-logboekenvoor meer informatie over het streamen van Microsoft Entra-aanmeldingslogboeken naar een Log Analytics-werkruimte.

  1. Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een Beveiligingslezer.
  2. Navigeer naar Identity>Monitoring & gezondheid>Werkboeken.
  3. Zoek onder Openbare sjablonennaar Inzichten voor continue toegangsevaluatie.

De Inzichten in continue toegangsevaluatie werkmap bevat de volgende tabel:

Mogelijke niet-overeenkomende IP-adressen tussen Microsoft Entra-id en resourceprovider

Het mogelijke niet overeenkomende IP-adres tussen Microsoft Entra ID & resourceprovidertabel stelt beheerders in staat om sessies te onderzoeken waarbij het IP-adres dat door Microsoft Entra-id is gedetecteerd, niet overeenkomt met het IP-adres dat is gedetecteerd door de resourceprovider.

Deze tabel in de werkmap verduidelijkt deze scenario's door de bijbehorende IP-adressen weer te geven en of er tijdens de sessie een CAE-token is uitgegeven.

Inzichten in doorlopende toegangsevaluatie bij elke aanmelding

Met de inzichten voor continue toegangsevaluatie per aanmeldingspagina in de werkmap worden meerdere aanvragen vanuit de aanmeldingslogboeken verbonden en wordt één aanvraag weergegeven waarin een CAE-token is uitgegeven.

Deze werkmap kan handig zijn, bijvoorbeeld wanneer: Een gebruiker Outlook opent op het bureaublad en probeert toegang te krijgen tot resources in Exchange Online. Deze aanmeldingsactie kan worden toegewezen aan meerdere interactieve en niet-interactieve aanmeldingsaanvragen in de logboeken, waardoor problemen moeilijk te diagnosticeren zijn.

IP-adresconfiguratie

Uw id-provider en resourceproviders kunnen verschillende IP-adressen zien. Dit komt mogelijk niet overeen vanwege de volgende voorbeelden:

  • Uw netwerk implementeert split tunneling.
  • Uw resourceprovider gebruikt een IPv6-adres en Microsoft Entra-id gebruikt een IPv4-adres.
  • Vanwege netwerkconfiguraties ziet Microsoft Entra-id één IP-adres van de client en ziet uw resourceprovider een ander IP-adres van de client.

Als dit scenario bestaat in uw omgeving, om oneindige lussen te voorkomen, geeft Microsoft Entra ID een CAE-token van één uur uit en dwingt de wijziging van de clientlocatie tijdens die periode van één uur niet af. Zelfs in dit geval wordt de beveiliging verbeterd in vergelijking met traditionele tokens van één uur, omdat we nog steeds de andere gebeurtenissen evalueren, naast wijzigingsgebeurtenissen van clientlocaties.

Beheerders kunnen records weergeven die zijn gefilterd op tijdsbereik en toepassing. Beheerders kunnen het aantal niet-overeenkomende IP-adressen vergelijken met het totale aantal aanmeldingen tijdens een opgegeven periode.

Beheerders kunnen specifieke IP-adressen toevoegen aan een vertrouwde benoemde locatie om gebruikers te deblokkeren.

  1. Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een beheerder van Voorwaardelijke Toegang.
  2. Blader naar Protection>Voorwaardelijke Toegang>Benoemde Locaties. Hier kunt u vertrouwde IP-locaties maken of bijwerken.

Notitie

Voordat u een IP-adres toevoegt als een vertrouwde benoemde locatie, controleert u of het IP-adres in feite deel uitmaakt van de beoogde organisatie.

Zie het artikel De locatievoorwaardegebruiken voor meer informatie over benoemde locaties.

Verwante inhoud