Udostępnij za pośrednictwem

Monitorowanie i rozwiązywanie problemów z ciągłą oceną dostępu

  • Artykuł

Administratorzy mogą monitorować i rozwiązywać problemy ze zdarzeniami logowania, gdzie ocena ciągłego dostępu (CAE) jest stosowana na wiele sposobów.

Raportowanie logowania w ramach oceny ciągłego dostępu

Administratorzy mogą monitorować logowania użytkowników, w których jest stosowana ciągła ocena dostępu (CAE). Te informacje znajdują się w dziennikach logowania firmy Microsoft Entra:

  1. Zaloguj się do centrum administracji Microsoft Entra jako co najmniej Czytelnik zabezpieczeń.
  2. Przejdź do Identity>Monitoring & health>Rejestry logowania.
  3. Zastosuj filtr Is CAE Token.

Zrzut ekranu przedstawiający sposób dodawania filtru do dziennika logowania, aby sprawdzić, gdzie CAE jest stosowane lub nie.

W tym miejscu administratorzy otrzymują informacje o zdarzeniach logowania użytkownika. Wybierz dowolne logowanie, aby wyświetlić szczegółowe informacje o sesji, takie jak stosowane zasady dostępu warunkowego i włączenie funkcji CAE.

Dla każdego uwierzytelniania istnieje wiele żądań logowania. Niektóre znajdują się na karcie interaktywnej, podczas gdy inne znajdują się na karcie nieinterakcyjnej. Funkcja CAE jest oznaczona jako aktywna tylko dla jednego z żądań, które może znajdować się na karcie interaktywnej lub na jednej z kart nieinterakcyjnych. Administratorzy muszą sprawdzić obie karty, aby potwierdzić, czy uwierzytelnianie użytkownika jest włączone dla CAE, czy nie.

Wyszukiwanie konkretnych prób logowania

Dzienniki logowania zawierają informacje dotyczące zdarzeń powodzenia i niepowodzenia. Użyj filtrów, aby zawęzić wyszukiwanie. Jeśli na przykład użytkownik zalogował się do usługi Teams, użyj filtru Aplikacja i ustaw go na teams. Administratorzy mogą potrzebować sprawdzenia logowań zarówno z interaktywnych, jak i nieinteraktywnych kart, aby znaleźć określone logowanie. Aby dokładniej zawęzić wyszukiwanie, administratorzy mogą zastosować wiele filtrów.

Arkusze robocze oceny ciągłego dostępu

Skoroszyt szczegółowych informacji dotyczących oceny ciągłego dostępu umożliwia administratorom wyświetlanie i monitorowanie szczegółowych informacji o użyciu usługi CAE dla swoich dzierżaw. W tabeli przedstawiono próby uwierzytelniania z niezgodnościami adresów IP. Ten skoroszyt można znaleźć jako szablon w kategorii Dostęp warunkowy.

Uzyskiwanie dostępu do szablonu skoroszytu CAE

Przed wyświetleniem skoroszytów należy ukończyć integrację usługi Log Analytics. Aby uzyskać więcej informacji na temat przesyłania strumieniowego dzienników logowania Microsoft Entra do obszaru roboczego usługi Log Analytics, zobacz artykuł Integrowanie dzienników Microsoft Entra z dziennikami usługi Azure Monitor.

  1. Zaloguj się do centrum administracji Microsoft Entra jako co najmniej Czytelnik ds. zabezpieczeń.
  2. Przejdź do Identity>Monitoring & health>Workbooks.
  3. W obszarze Szablony publicznewyszukaj informacje o ocenie ciągłego dostępu.

Skoroszyt spostrzeżeń z ciągłej oceny dostępu zawiera następującą tabelę:

Potencjalna niezgodność adresów IP między identyfikatorem entra firmy Microsoft i dostawcą zasobów

Potencjalna niezgodność adresów IP między Microsoft Entra ID & a tabelą dostawcy zasobów pozwala administratorom badać sesje, w których adres IP wykryty przez Microsoft Entra ID nie jest zgodny z adresem IP wykrytym przez dostawcę zasobów.

Ta tabela skoroszytu rzuca światło na te scenariusze, wyświetlając odpowiednie adresy IP i czy token CAE został wystawiony podczas sesji.

Informacje dotyczące oceny dostępu ciągłego dla każdego logowania

Dane dotyczące oceny ciągłego dostępu dla każdej strony logowania w skoroszycie łączą wiele żądań z dzienników logowania i wyświetlają jedno żądanie, w którym wystawiono token CAE.

Ten skoroszyt może być przydatny, na przykład wtedy, gdy: użytkownik otwiera program Outlook na pulpicie i próbuje uzyskać dostęp do zasobów w usłudze Exchange Online. Ta akcja logowania może być mapowana na wiele interakcyjnych i nieinterakcyjnych żądań logowania w dziennikach, co utrudnia diagnozowanie problemów.

Konfiguracja adresu IP

Dostawca tożsamości i dostawcy zasobów mogą widzieć różne adresy IP. Ta niezgodność może wystąpić z powodu następujących przykładów:

  • Sieć implementuje tunelowanie podzielone.
  • Dostawca zasobów używa adresu IPv6, a identyfikator Entra firmy Microsoft używa adresu IPv4.
  • Ze względu na konfiguracje sieci identyfikator Entra firmy Microsoft widzi jeden adres IP od klienta, a dostawca zasobów widzi inny adres IP od klienta.

Jeśli taki scenariusz występuje w twoim środowisku, aby uniknąć nieskończonych pętli, Microsoft Entra ID wystawia token CAE na jedną godzinę i nie wymusza zmiany lokalizacji klienta w tym jednogodzinnym okresie. Nawet w tym przypadku bezpieczeństwo jest lepsze w porównaniu z tradycyjnymi tokenami jednogodzinowymi, ponieważ nadal oceniamy inne zdarzenia oprócz zdarzeń zmiany lokalizacji klienta.

Administratorzy mogą wyświetlać rekordy filtrowane według zakresu czasu i aplikacji. Administratorzy mogą porównać liczbę niezgodnych adresów IP wykrytych z całkowitą liczbą logowanych w określonym przedziale czasu.

Aby odblokować użytkowników, administratorzy mogą dodawać określone adresy IP do zaufanej nazwanej lokalizacji.

  1. Zaloguj się do centrum administracyjnego Microsoft Entra jako co najmniej administratora dostępu warunkowego.
  2. Przejdź do Protection>dostępu warunkowego>nazwanych lokalizacji. W tym miejscu możesz tworzyć lub aktualizować zaufane lokalizacje adresów IP.

Notatka

Przed dodaniem adresu IP jako zaufanej nazwanej lokalizacji upewnij się, że adres IP rzeczywiście należy do zamierzonej organizacji.

Aby uzyskać więcej informacji na temat nazwanych lokalizacji, zobacz artykuł "Korzystanie z warunku lokalizacji".

Powiązana zawartość