Aanmeldingen onderzoeken waarvoor meervoudige verificatie is vereist

Microsoft Entra Health-bewaking biedt een set metrische gegevens over de status op tenantniveau die u kunt bewaken en waarschuwingen wanneer een mogelijk probleem of foutvoorwaarde wordt gedetecteerd. Er zijn meerdere statusscenario's die kunnen worden bewaakt, waaronder meervoudige verificatie (MFA).

Dit scenario:

• Hiermee wordt het aantal gebruikers samengevoegd dat een MFA-aanmelding heeft voltooid met behulp van een Microsoft Entra-cloud MFA-service.
• Legt interactieve aanmeldingen vast met MFA, waarbij zowel geslaagde als mislukte pogingen worden samengevoegd.
• Sluit uit wanneer een gebruiker de sessie vernieuwt zonder de interactieve MFA te voltooien of aanmeldingsmethoden zonder wachtwoord te gebruiken.

In dit artikel worden deze metrische statusgegevens beschreven en wordt beschreven hoe u een mogelijk probleem kunt oplossen wanneer u een waarschuwing ontvangt.

Vereisten

Er zijn verschillende rollen, machtigingen en licentievereisten voor het weergeven van statuscontrolesignalen en het configureren en ontvangen van waarschuwingen. We raden u aan een rol met minimale toegangsrechten te gebruiken om te voldoen aan de richtlijnen voor Zero Trust.

• Een tenant met een Microsoft Entra P1- of P2-licentie is vereist om de bewakingssignalen van het Microsoft Entra-statusscenario weer te geven.
• Een tenant met zowel een Microsoft Entra P1- of P2-licentie als ten minste 100 maandelijkse actieve gebruikers is vereist om waarschuwingen weer te geven en waarschuwingsmeldingen te ontvangen.
• De rol Rapportlezer is de minst bevoorrechte rol die is vereist voor het weergeven van scenariobewakingssignalen, waarschuwingen en waarschuwingsconfiguraties.
• De helpdeskbeheerder is de minst bevoorrechte rol die is vereist voor het bijwerken van waarschuwingen en het bijwerken van waarschuwingsmeldingen.
• De HealthMonitoringAlert.Read.All machtiging is vereist om de waarschuwingen weer te geven met behulp van de Microsoft Graph API.
• De HealthMonitoringAlert.ReadWrite.All machtiging is vereist om de waarschuwingen te bekijken en te wijzigen met behulp van de Microsoft Graph API.
• Zie Voor een volledige lijst met rollen de rol Met minimale bevoegdheden per taak.

Gegevens verzamelen

Het onderzoeken van een waarschuwing begint met het verzamelen van gegevens.

1. Verzamel de signaaldetails en de impactsamenvatting.
   • Bekijk het signaal in het Microsoft Entra-beheercentrum om vertrouwd te raken met het patroon en afwijkingen te identificeren.
   • Voer de List-waarschuwingen API uit om alle waarschuwingen voor de huurder op te halen.
   • Voer de Get alert API uit om de details van een specifieke waarschuwing op te halen.
2. Bekijk de aanmeldingslogboeken.
   • Controleer de details van het aanmeldingslogboek.
   • Zoek of gebruikers zich niet kunnen aanmelden en een beleid voor voorwaardelijke toegang vereisen dat MFA is toegepast.
3. Controleer de auditlogboeken op recente beleidswijzigingen.
   • Gebruik de auditlogboeken om problemen met beleidswijzigingen voor voorwaardelijke toegang op te lossen.

Veelvoorkomende problemen oplossen

De volgende veelvoorkomende problemen kunnen leiden tot een piek in MFA-aanmeldingen. Deze lijst is niet volledig, maar biedt een uitgangspunt voor uw onderzoek.

Problemen met toepassingsconfiguratie

Een toename van aanmeldingen waarvoor MFA vereist is, kan duiden op een beleidswijziging of een nieuwe functie-implementatie waardoor een groot aantal gebruikers zich rond dezelfde tijd kan aanmelden.

Ga als volgende te werk om het volgende te onderzoeken:

• Als in het impactoverzicht resourceType 'toepassing' is en er slechts één of twee toepassingen worden vermeld, controleert u de auditlogboeken op wijzigingen in de vermelde toepassingen.
• Gebruik in de auditlogboeken de kolom Doel om te filteren op de toepassing of om de auditlogboeken van bedrijfstoepassingen te openen, zodat het filter al is ingesteld.
• Bepaal of de toepassing onlangs is toegevoegd of opnieuw is geconfigureerd.
• Gebruik in de aanmeldingslogboeken de kolom Toepassing om te filteren op dezelfde toepassing of hetzelfde datumbereik om te zoeken naar andere patronen.

Problemen met gebruikersverificatie

Een toename van aanmeldingen waarvoor MFA vereist is, kan duiden op een brute force-aanval, waarbij meerdere niet-geautoriseerde aanmeldingspogingen worden uitgevoerd op het account van een gebruiker.

Ga als volgende te werk om het volgende te onderzoeken:

• Als in het impactoverzicht resourceType 'gebruiker' is en de impactedCount waarde een kleine subset van gebruikers weergeeft, is het probleem mogelijk gebruikersspecifiek.
• Gebruik de volgende filters in de aanmeldingslogboeken:
  • Status: fout
  • Verificatievereiste: Meervoudige verificatie
  • Pas de datum aan zodat deze overeenkomt met het tijdsbestek dat is aangegeven in het effectoverzicht.
• Zijn de mislukte aanmeldingspogingen afkomstig van hetzelfde IP-adres?
• Zijn de mislukte aanmeldingspogingen van dezelfde gebruiker?
• Voer de diagnostische aanmelding uit om problemen met standaardgebruikersfouten of initiële MFA-installatieproblemen uit te sluiten.

Netwerkproblemen

Er kan sprake zijn van een storing in het regionale systeem waardoor een groot aantal gebruikers zich tegelijkertijd moet aanmelden.

Ga als volgende te werk om het volgende te onderzoeken:

• Als in het impactoverzicht resourceType 'gebruiker' is en de impactedCount waarde een groot percentage gebruikers van uw organisatie weergeeft, ziet u mogelijk een breed verspreid probleem.
• Controleer uw systeem- en netwerkstatus om te zien of een storing of update overeenkomt met hetzelfde tijdsbestek als de anomalie.

Volgende stappen

• Voorwaardelijke toegang configureren voor MFA voor alle gebruikers
• Veelvoorkomende aanmeldingsfouten oplossen
• Meer informatie over voorwaardelijke toegang en Intune