Jak zbadać logowania wymagające alertu zgodnego lub zarządzanego urządzenia

Monitorowanie usługi Microsoft Entra Health udostępnia zestaw metryk kondycji na poziomie dzierżawy, które można monitorować i alerty w przypadku wykrycia potencjalnego problemu lub stanu awarii. Istnieje wiele scenariuszy kondycji, które można monitorować, w tym dwa powiązane z urządzeniami:

• Logowania wymagające zgodnego dostępu warunkowego
• Logowania wymagające urządzenia zarządzanego przez dostęp warunkowy

W tym artykule opisano metryki kondycji związane ze zgodnymi i zarządzanymi urządzeniami oraz sposób rozwiązywania potencjalnego problemu po otrzymaniu alertu. Aby uzyskać szczegółowe informacje na temat interakcji ze scenariuszami monitorowania kondycji i sposobu badania wszystkich alertów, zobacz Jak badać alerty dotyczące scenariusza kondycji.

Ważny

Monitorowanie i alerty dotyczące scenariusza usługi Microsoft Entra Health są obecnie dostępne w wersji zapoznawczej. Te informacje odnoszą się do produktu w wersji wstępnej, który może zostać znacząco zmodyfikowany przed wydaniem. Firma Microsoft nie udziela żadnych gwarancji, wyrażonych ani domniemanych, w odniesieniu do podanych tutaj informacji. Środowisko centrum administracyjnego firmy Microsoft Entra jest udostępniane klientom w fazach, więc możesz nie zobaczyć wszystkich funkcji opisanych w tym artykule.

Wymagania wstępne

Istnieją różne role, uprawnienia i wymagania licencyjne dotyczące wyświetlania sygnałów monitorowania kondycji oraz konfigurowanie i odbieranie alertów. Zalecamy używanie roli z dostępem do najniższych uprawnień, aby dopasować je do wskazówek dotyczących relacji Zero Trust.

• Dzierżawa z licencją Microsoft Entra P1 lub P2 jest wymagana do wyświetlania sygnałów monitorowania scenariusza kondycji firmy Microsoft Entra.
• Najemca z licencją Microsoft Entra P1 lub P2 bez wersji próbneji oraz co najmniej 100 aktywnymi użytkownikami miesięcznie jest zobowiązany do wyświetlania alertów i otrzymywania powiadomień o alertach.
• Rola Czytelnik raportów jest najmniej uprzywilejowaną rolą wymaganą do wyświetlania sygnałów monitorowania scenariusza, alertów i konfiguracji alertów.
• Administrator pomocy technicznej jest najmniej uprzywilejowaną rolą wymaganą do aktualizowania alertów i aktualizowania konfiguracji powiadomień o alertach.
• Uprawnienie HealthMonitoringAlert.Read.All jest wymagane do wyświetlania alertów przy użyciu interfejsu API programu Microsoft Graph.
• Uprawnienie HealthMonitoringAlert.ReadWrite.All jest wymagane do wyświetlania i modyfikowania alertów przy użyciu interfejsu API programu Microsoft Graph.
• Aby uzyskać pełną listę ról, zobacz Najmniej uprzywilejowana rola według zadania.

Badanie sygnałów i alertów

Badanie alertu rozpoczyna się od zbierania danych. Dzięki usłudze Microsoft Entra Health w centrum administracyjnym firmy Microsoft Entra możesz wyświetlić szczegóły sygnału i alertu w jednym miejscu. Możesz również wyświetlić sygnały i alerty przy użyciu interfejsu API programu Microsoft Graph. Aby uzyskać więcej informacji, zobacz Jak badać alerty dotyczące scenariusza kondycji, aby uzyskać wskazówki dotyczące zbierania danych przy użyciu interfejsu API programu Microsoft Graph.

1. Zaloguj się do centrum administracyjnego Microsoft Entra jako co najmniej Odbiorca raportów.

2. Przejdź do Identity>Monitorowanie i zdrowie>Zdrowie. Strona zostanie otwarta na stronie Osiągnięcia umowy dotyczącej poziomu usług (SLA).

3. Wybierz kartę Monitorowanie kondycji.

4. Wybierz scenariusz Logowania wymagające zgodnego urządzenia lub Logowania wymagające zarządzanego urządzenia, a następnie wybierz aktywny alert.

   

5. Wyświetl sygnał z sekcji Wyświetl wykres danych, aby zapoznać się ze wzorcem i zidentyfikować anomalie.

   

6. Przejrzyj zasady zgodności urządzeń w usłudze Intune.

   • Aby uzyskać więcej informacji, zobacz Omówienie zgodności urządzeń w usłudze Intune.
   • Dowiedz się, jak monitorować zasady zgodności urządzeń.
   • Jeśli nie używasz usługi Intune, zapoznaj się z zasadami zgodności rozwiązania do zarządzania urządzeniami.

7. Zbadaj typowe problemy z dostępem warunkowym.

   • Rozwiązywanie problemów z zasadami zgodności urządzeń z dostępem warunkowym.
   • Rozwiązywanie problemów z logowaniem do dostępu warunkowego.

8. Przejrzyj dzienniki logowania.

   • Przejrzyj szczegóły dziennika logowania.
   • Poszukaj użytkowników, którzy nie mogą się zalogować i mają zastosowane zgodne zasady urządzeń.

9. Sprawdź dzienniki inspekcji pod kątem ostatnich zmian zasad.

   • Użyj dzienników inspekcji, aby rozwiązać problemy ze zmianami zasad dostępu warunkowego.

Rozwiązywanie typowych problemów

Następujące typowe problemy mogą spowodować gwałtowny wzrost liczby logów wymagających zgodnego lub zarządzanego urządzenia. Ta lista nie jest wyczerpująca, ale stanowi punkt wyjścia do badania.

Wielu użytkowników nie może zalogować się ze znanych urządzeń

Jeśli duża grupa użytkowników nie może zalogować się do znanych urządzeń, skok może wskazywać, że te urządzenia nie są zgodne. Jeśli liczba użytkowników, których dotyczy problem, wskazuje na wysoki procent użytkowników w organizacji, może to oznaczać powszechny problem.

Aby zbadać:

1. W sekcji Jednostek dotkniętych problemem wybranego scenariusza, wybierz opcję Wyświetl dla użytkowników.

   • Przykład użytkowników, których dotyczy problem, jest wyświetlany w panelu. Wybierz użytkownika, aby przejść bezpośrednio do swojego profilu, w którym możesz wyświetlić swoje działania logowania i inne szczegóły.
   • Za pomocą API Microsoft Graph wyszukaj "użytkownik" resourceType i wartość impactedCount w podsumowaniu wpływu.

   

2. Sprawdź zasady zgodności urządzeń w usłudze Intune.

3. Sprawdź zasady zgodności urządzeń z dostępem warunkowym.

Użytkownik nie może się zalogować z nieznanego urządzenia

Jeśli wzrost liczby zablokowanych logów pochodzi z nieznanego urządzenia, wzrost ten może wskazywać, że osoba atakująca uzyskała poświadczenia użytkownika i próbuje zalogować się z urządzenia używanego do takich ataków. Jeśli liczba użytkowników, których dotyczy problem, pokazuje niewielki podzbiór użytkowników, problem może być specyficzny dla użytkownika.

Aby zbadać:

1. W sekcji Dotknięte jednostki wybranego scenariusza wybierz Wyświetl dla użytkowników.

   • Na panelu zostanie wyświetlona lista użytkowników, których dotyczy problem. Wybierz użytkownika, aby przejść bezpośrednio do swojego profilu, w którym możesz wyświetlić swoje działania logowania i inne szczegóły.
   • Korzystając z interfejsu API programu Microsoft Graph, wyszukaj "użytkownik" resourceType i wartość impactedCount w podsumowaniu wpływu.

2. Przejrzyj dzienniki logowania.

3. Badanie ryzyka przy użyciu Ochrona tożsamości Microsoft Entra.

Uwaga

Usługa Microsoft Entra ID Protection wymaga licencji Microsoft Entra P2.

Problemy z siecią

Może wystąpić awaria systemu regionalnego, która wymagała jednoczesnego zalogowania dużej liczby użytkowników.

Aby zbadać:

1. W sekcji Jednostki dotknięte problemem z wybranego scenariusza wybierz pozycję Wyświetl dla użytkowników.

   • Na panelu zostanie wyświetlona lista użytkowników, których dotyczy problem. Wybierz użytkownika, aby przejść bezpośrednio do swojego profilu, w którym możesz wyświetlić swoje działania logowania i inne szczegóły.
   • Za pomocą interfejsu API programu Microsoft Graph wyszukaj resourceType "użytkownik" i wartość impactedCount w podsumowaniu wpływu.

2. Sprawdź kondycję systemu i sieci, aby sprawdzić, czy awaria lub aktualizacja jest zgodna z tym samym przedziałem czasu co anomalia.

3. Przejrzyj dzienniki logowania.

   • Dostosuj filtr, aby wyświetlić logowania z regionu, w którym znajduje się użytkownik, którego dotyczy problem.

4. Jeśli twoja organizacja korzysta z Global Secure Access, przejrzyj dzienniki ruchu .

Powiązana zawartość

• Dowiedz się więcej o dostępie warunkowym i usłudze Intune
• Dowiedz się więcej o urządzeniach dołączonych hybrydo do firmy Microsoft Entra