Jak zbadać logowania wymagające alertu zgodnego lub zarządzanego urządzenia

Monitorowanie usługi Microsoft Entra Health udostępnia zestaw metryk kondycji na poziomie dzierżawy, które można monitorować i alerty w przypadku wykrycia potencjalnego problemu lub stanu awarii. Istnieje wiele scenariuszy kondycji, które można monitorować, w tym dwa powiązane z urządzeniami:

• Logowania wymagające zgodnego dostępu warunkowego
• Logowania wymagające urządzenia zarządzanego przez dostęp warunkowy

Te scenariusze umożliwiają monitorowanie i odbieranie alertów dotyczących uwierzytelniania użytkowników, które spełniają zasady dostępu warunkowego wymagające logowania z zgodnego lub zarządzanego urządzenia. Aby dowiedzieć się więcej o tym, jak działa program Microsoft Entra Health, zobacz:

• Co to jest microsoft Entra Health?
• Jak używać sygnałów i alertów monitorowania kondycji firmy Microsoft Entra

W tym artykule opisano metryki kondycji związane ze zgodnymi i zarządzanymi urządzeniami oraz sposób rozwiązywania potencjalnego problemu po otrzymaniu alertu.

Wymagania wstępne

Istnieją różne role, uprawnienia i wymagania licencyjne dotyczące wyświetlania sygnałów monitorowania kondycji oraz konfigurowanie i odbieranie alertów. Zalecamy używanie roli z dostępem do najniższych uprawnień, aby dopasować je do wskazówek dotyczących relacji Zero Trust.

• Dzierżawa z licencją Microsoft Entra P1 lub P2 jest wymagana do wyświetlania sygnałów monitorowania scenariusza kondycji firmy Microsoft Entra.
• Dzierżawa z licencją microsoft Entra P1 lub P2 i co najmniej 100 miesięcznych aktywnych użytkowników jest wymagana do wyświetlania alertów i odbierania powiadomień o alertach.
• Rola Czytelnik raportów jest najmniej uprzywilejowaną rolą wymaganą do wyświetlania sygnałów monitorowania scenariusza, alertów i konfiguracji alertów.
• Administrator pomocy technicznej jest najmniej uprzywilejowaną rolą wymaganą do aktualizowania alertów i aktualizowania konfiguracji powiadomień o alertach.
• Uprawnienie HealthMonitoringAlert.Read.All jest wymagane do wyświetlania alertów przy użyciu interfejsu API programu Microsoft Graph.
• Uprawnienie HealthMonitoringAlert.ReadWrite.All jest wymagane do wyświetlania i modyfikowania alertów przy użyciu interfejsu API programu Microsoft Graph.
• Aby uzyskać pełną listę ról, zobacz Najmniej uprzywilejowana rola według zadania.

Badanie alertu i sygnału

Badanie alertu rozpoczyna się od zbierania danych.

1. Zbierz szczegóły sygnału i podsumowanie wpływu.
   • Wyświetl sygnał w centrum administracyjnym firmy Microsoft Entra, aby zapoznać się ze wzorcem i zidentyfikować anomalie.
   • Uruchom interfejs API list alertów, aby pobrać wszystkie alerty dla dzierżawy.
   • Uruchom interfejs API Uzyskiwanie alertów, aby pobrać szczegóły określonego alertu.
2. Przejrzyj zasady zgodności urządzeń w usłudze Intune.
   • Aby uzyskać więcej informacji, zobacz Omówienie zgodności urządzeń w usłudze Intune.
   • Dowiedz się, jak monitorować zasady zgodności urządzeń.
   • Jeśli nie używasz usługi Intune, zapoznaj się z zasadami zgodności rozwiązania do zarządzania urządzeniami.
3. Zbadaj typowe problemy z dostępem warunkowym.
   • Rozwiązywanie problemów z zasadami zgodności urządzeń z dostępem warunkowym.
   • Rozwiązywanie problemów z logowaniem do dostępu warunkowego.
4. Przejrzyj dzienniki logowania.
   • Przejrzyj szczegóły dziennika logowania.
   • Poszukaj użytkowników, którzy nie mogą się zalogować i mają zastosowane zgodne zasady urządzeń.
5. Sprawdź dzienniki inspekcji pod kątem ostatnich zmian zasad.
   • Użyj dzienników inspekcji, aby rozwiązać problemy ze zmianami zasad dostępu warunkowego.

Rozwiązywanie typowych problemów

Następujące typowe problemy mogą spowodować gwałtowny wzrost liczby logów wymagających zgodnego lub zarządzanego urządzenia. Ta lista nie jest wyczerpująca, ale stanowi punkt wyjścia do badania.

Wielu użytkowników nie może zalogować się ze znanych urządzeń

Jeśli duża grupa użytkowników nie może zalogować się do znanych urządzeń, skok może wskazywać, że te urządzenia nie są zgodne.

Aby zbadać:

• W podsumowaniu wpływu, jeśli resourceType wartość to "użytkownik", a impactedCount wartość wskazuje duży procent użytkowników w organizacji, możesz przyjrzeć się szerokiemu problemowi.
• Sprawdź zasady zgodności urządzeń w usłudze Intune.
• Sprawdź zasady zgodności urządzeń z dostępem warunkowym.

Użytkownik nie może się zalogować z nieznanego urządzenia

Jeśli wzrost liczby zablokowanych logów pochodzi z nieznanego urządzenia, wzrost ten może wskazywać, że osoba atakująca uzyskała poświadczenia użytkownika i próbuje zalogować się z urządzenia używanego do takich ataków.

Aby zbadać:

• W podsumowaniu wpływu, jeśli resourceType wartość to "użytkownik", a impactedCount wartość zawiera mały podzbiór użytkowników, problem może być specyficzny dla użytkownika.
• Przejrzyj dzienniki logowania.
• Badanie ryzyka przy użyciu Ochrona tożsamości Microsoft Entra.
  • Uwaga: Ochrona tożsamości Microsoft Entra wymaga licencji Microsoft Entra P2.

Problemy z siecią

Może wystąpić awaria systemu regionalnego, która wymagała jednoczesnego zalogowania dużej liczby użytkowników.

Aby zbadać:

• W podsumowaniu wpływu, jeśli resourceType wartość jest "użytkownikiem", a impactedCount wartość pokazuje duży procent użytkowników w organizacji, możesz przyjrzeć się szerokiemu problemowi.
• Sprawdź kondycję systemu i sieci, aby sprawdzić, czy awaria lub aktualizacja jest zgodna z tym samym przedziałem czasu co anomalia.

Następne kroki

• Tworzenie zasad zgodności w usłudze Microsoft Intune
• Dowiedz się więcej o dostępie warunkowym i usłudze Intune
• Dowiedz się więcej o urządzeniach dołączonych do firmy Microsoft
• Co to jest zarządzanie urządzeniami
• Dowiedz się więcej o dostępie warunkowym i usłudze Intune
• Dowiedz się więcej o urządzeniach dołączonych hybrydo do firmy Microsoft Entra