De aanmeldingen onderzoeken waarvoor een compatibele of beheerde apparaatwaarschuwing is vereist
Microsoft Entra Health-bewaking biedt een set metrische gegevens over de status op tenantniveau die u kunt bewaken en waarschuwingen wanneer een mogelijk probleem of foutvoorwaarde wordt gedetecteerd. Er zijn meerdere statusscenario's die kunnen worden bewaakt, waaronder twee gerelateerd aan apparaten:
- Aanmeldingen waarvoor een apparaat met naleving van voorwaardelijke toegang is vereist
- Aanmeldingen waarvoor een beheerd apparaat voor voorwaardelijke toegang is vereist
Met deze scenario's kunt u waarschuwingen voor gebruikersverificatie bewaken en ontvangen die voldoen aan een beleid voor voorwaardelijke toegang waarvoor aanmelding van een compatibel of beheerd apparaat is vereist. Zie voor meer informatie over hoe Microsoft Entra Health werkt:
In dit artikel worden de metrische statusgegevens beschreven die betrekking hebben op compatibele en beheerde apparaten en hoe u een mogelijk probleem kunt oplossen wanneer u een waarschuwing ontvangt.
Vereisten
Er zijn verschillende rollen, machtigingen en licentievereisten voor het weergeven van statuscontrolesignalen en het configureren en ontvangen van waarschuwingen. We raden u aan een rol met minimale toegangsrechten te gebruiken om te voldoen aan de richtlijnen voor Zero Trust.
- Een tenant met een Microsoft Entra P1- of P2-licentie is vereist om de bewakingssignalen van het Microsoft Entra-statusscenario weer te geven.
- Een tenant met zowel een Microsoft Entra P1- of P2-licentie als ten minste 100 maandelijkse actieve gebruikers is vereist om waarschuwingen weer te geven en waarschuwingsmeldingen te ontvangen.
- De rol Rapportlezer is de minst bevoorrechte rol die is vereist voor het weergeven van scenariobewakingssignalen, waarschuwingen en waarschuwingsconfiguraties.
- De helpdeskbeheerder is de minst bevoorrechte rol die is vereist voor het bijwerken van waarschuwingen en het bijwerken van waarschuwingsmeldingen.
- De
HealthMonitoringAlert.Read.Allmachtiging is vereist om de waarschuwingen weer te geven met behulp van de Microsoft Graph API. - De
HealthMonitoringAlert.ReadWrite.Allmachtiging is vereist om de waarschuwingen te bekijken en te wijzigen met behulp van de Microsoft Graph API. - Zie Voor een volledige lijst met rollen de rol Met minimale bevoegdheden per taak.
De waarschuwing en het signaal onderzoeken
Het onderzoeken van een waarschuwing begint met het verzamelen van gegevens.
- Verzamel de signaaldetails en de impactsamenvatting.
- Bekijk het signaal in het Microsoft Entra-beheercentrum om vertrouwd te raken met het patroon en afwijkingen te identificeren.
- Voer de API lijstwaarschuwingen uit om alle waarschuwingen voor de tenant op te halen.
- Voer de API Waarschuwing ophalen uit om de details van een specifieke waarschuwing op te halen.
- Bekijk het signaal in het Microsoft Entra-beheercentrum om vertrouwd te raken met het patroon en afwijkingen te identificeren.
- Controleer uw Intune-nalevingsbeleid voor apparaten.
- Zie het overzicht van intune-apparaatnaleving voor meer informatie.
- Meer informatie over het bewaken van nalevingsbeleid voor apparaten.
- Als u Intune niet gebruikt, controleert u het nalevingsbeleid van uw apparaatbeheeroplossing.
- Veelvoorkomende problemen met voorwaardelijke toegang onderzoeken.
- Bekijk de aanmeldingslogboeken.
- Controleer de details van het aanmeldingslogboek.
- Zoek of gebruikers worden geblokkeerd om zich aan te melden en een compatibel apparaatbeleid toe te passen.
- Controleer de auditlogboeken op recente beleidswijzigingen.
- Gebruik de auditlogboeken om problemen met beleidswijzigingen voor voorwaardelijke toegang op te lossen.
Veelvoorkomende problemen oplossen
De volgende veelvoorkomende problemen kunnen leiden tot een piek in aanmeldingen waarvoor een compatibel of beheerd apparaat is vereist. Deze lijst is niet volledig, maar biedt een uitgangspunt voor uw onderzoek.
Veel gebruikers kunnen zich niet aanmelden vanaf bekende apparaten
Als een grote groep gebruikers wordt geblokkeerd om zich aan te melden bij bekende apparaten, kan een piek erop wijzen dat deze apparaten niet meer voldoen aan de naleving.
Ga als volgende te werk om het volgende te onderzoeken:
- Als in het impactoverzicht
resourceType'gebruiker' is en deimpactedCountwaarde een groot percentage gebruikers van uw organisatie aangeeft, ziet u mogelijk een breed verspreid probleem. - Controleer het Intune-nalevingsbeleid voor apparaten.
- Controleer het nalevingsbeleid voor apparaten met voorwaardelijke toegang.
De gebruiker kan zich niet aanmelden vanaf een onbekend apparaat
Als de toename van geblokkeerde aanmeldingen afkomstig is van een onbekend apparaat, kan die piek erop wijzen dat een aanvaller de referenties van een gebruiker heeft verkregen en zich probeert aan te melden vanaf een apparaat dat voor dergelijke aanvallen wordt gebruikt.
Ga als volgende te werk om het volgende te onderzoeken:
- Als in het impactoverzicht
resourceType'gebruiker' is en deimpactedCountwaarde een kleine subset van gebruikers weergeeft, is het probleem mogelijk gebruikersspecifiek. - Bekijk de aanmeldingslogboeken.
-
Onderzoek risico's met Microsoft Entra ID Protection.
- Opmerking: Microsoft Entra ID Protection vereist een Microsoft Entra P2-licentie.
Netwerkproblemen
Er kan sprake zijn van een storing in het regionale systeem waardoor een groot aantal gebruikers zich tegelijkertijd moet aanmelden.
Ga als volgende te werk om het volgende te onderzoeken:
- Als in het impactoverzicht
resourceType'gebruiker' is en deimpactedCountwaarde een groot percentage gebruikers van uw organisatie weergeeft, ziet u mogelijk een breed verspreid probleem. - Controleer uw systeem- en netwerkstatus om te zien of een storing of update overeenkomt met hetzelfde tijdsbestek als de anomalie.