Como investigar as entradas que exigem um alerta de dispositivo compatível ou gerenciado

O monitoramento do Microsoft Entra Health fornece um conjunto de métricas de integridade no nível do locatário que você pode monitorar e alertas quando um possível problema ou condição de falha é detectado. Há vários cenários de integridade que podem ser monitorados, incluindo dois relacionados a dispositivos:

• Entradas que exigem um dispositivo compatível com o Acesso Condicional
• Entradas que exigem um dispositivo gerenciado de Acesso Condicional

Esses cenários permitem monitorar e receber alertas sobre a autenticação do usuário que atendem a uma política de Acesso Condicional que exige a entrada de um dispositivo em conformidade ou gerenciado. Para saber mais sobre como o Microsoft Entra Health funciona, confira:

• O que é o Microsoft Entra Health?
• Como usar os sinais e alertas de monitoramento de integridade do Microsoft Entra

Este artigo descreve as métricas de integridade relacionadas a dispositivos gerenciados e compatíveis e como solucionar um possível problema quando você recebe um alerta.

Pré-requisitos

Há diferentes funções, permissões e requisitos de licença para exibir sinais de monitoramento de integridade e configurar e receber alertas. Recomendamos usar uma função com acesso de privilégio mínimo para se alinhar às diretrizes de Confiança Zero.

• Um locatário com uma licença Microsoft Entra P1 ou P2 é necessário para exibir os sinais de monitoramento do cenário de integridade do Microsoft Entra.
• Um locatário com uma licença Microsoft Entra P1 ou P2 e pelo menos 100 usuários ativos mensais é necessário para exibir alertas e receber notificações de alerta.
• A função Leitor de relatórios é a que tem menos privilégios, e é necessária para exibir sinais de monitoramento de cenário, alertas e configurações de alerta.
• A função Administrador da assistência técnica é a que tem menos privilégios, e é necessária para atualizar alertas e atualizar as configurações de notificação de alerta.
• A permissão HealthMonitoringAlert.Read.All é necessária para exibir os alertas usando a API do Microsoft Graph.
• A permissão HealthMonitoringAlert.ReadWrite.All é necessária para exibir e modificar os alertas usando a API do Microsoft Graph.
• Para uma lista completa de funções, confira Função com menos privilégios por tarefa.

Investigar o alerta e o sinal

A investigação de um alerta começa com a coleta de dados.

1. Colete os detalhes do sinal e o resumo do impacto.
   • Para obter mais informações, consulte Visão geral do monitoramento de integridade do Microsoft Graph.
   • Execute a API Listar alertas para recuperar todos os alertas para o locatário.
   • Execute a API Obter alerta para recuperar os detalhes de um alerta específico.
2. Examine as políticas de conformidade de dispositivo do Intune.
   • Para obter mais informações, consulte Visão geral de conformidade do dispositivo do Intune.
   • Saiba como Monitorar políticas de conformidade de dispositivo.
   • Se você não estiver usando o Intune, examine as políticas de conformidade da solução de gerenciamento de dispositivos.
3. Investigue problemas comuns de Acesso condicional.
   • Solução problemas de políticas de conformidade com o dispositivo de Acesso Condicional.
   • Solucionar problemas de início de sessão com o Acesso Condicional.
4. Examine os logs de entrada.
   • Examine os detalhes do log de entrada.
   • Procure usuários impedidos de entrar em e aplique uma política de dispositivo em conformidade.
5. Verifique os logs de auditoria para obter alterações recentes na política.
   • Use logs de auditoria para solucionar problemas de alterações na política de acesso condicional.

Atenuar problemas comuns

Os problemas comuns a seguir podem causar um pico de entradas que exigem um dispositivo em conformidade ou gerenciado. Essa lista não é exaustiva, mas fornece um ponto de partida para sua investigação.

Muitos usuários são impedidos de entrar em dispositivos conhecidos

Se um grande grupo de usuários for impedido de entrar em dispositivos conhecidos, um pico poderá indicar que esses dispositivos estão fora de conformidade.

Para Investigar:

• No resumo do impacto, se resourceType for "usuário" e o valor de impactedCount indicar uma grande porcentagem dos usuários da sua organização, você poderá estar analisando um problema de ampla distribuição.
• Verifique a Política de conformidade do dispositivo do Intune.
• Verifique as Políticas de conformidade com o dispositivo de Acesso Condicional.

O usuário é impedido de entrar em um dispositivo desconhecido

Se o aumento das entradas bloqueadas for proveniente de um dispositivo desconhecido, esse pico poderá indicar que um invasor adquiriu as credenciais de um usuário e está tentando entrar de um dispositivo usado para esses ataques.

Para Investigar:

• No resumo do impacto, se resourceType for "usuário" e o valor impactedCount mostrar um pequeno subconjunto de usuários, o problema poderá ser específico do usuário.
• Examine os logs de entrada.
• Investigue o risco com o Microsoft Entra ID Protection.
  • Observação: O Microsoft Entra ID Protection requer uma licença Microsoft Entra P2.

Problemas de rede

É possível que ocorra uma interrupção regional do sistema que exija que um grande número de usuários faça login ao mesmo tempo.

Para investigar, faça o seguinte:

• No resumo do impacto, se resourceType for "usuário" e o valor impactedCount indicar uma grande porcentagem dos usuários da organização, isso poderá consistir em um problema de ampla distribuição.
• Verifique a integridade do sistema e da rede para analisar se uma interrupção ou atualização corresponde ao mesmo período da anomalia.

Próximas etapas

• Criar uma política de conformidade no Microsoft Intune
• Saiba mais sobre o Acesso Condicional e o Intune
• Saiba mais sobre Dispositivos ingressados no Microsoft Entra
• O que é gerenciamento de dispositivo
• Saiba mais sobre o Acesso Condicional e o Intune
• Saiba mais sobre Dispositivos ingressados no Microsoft Entra de forma híbrida