Como investigar logins que exigem autenticação multifator

O monitoramento do Microsoft Entra Health fornece um conjunto de métricas de integridade no nível do locatário para acompanhamento e envia alertas quando detecta um possível problema ou condição de falha. Há diversos cenários de integridade que podem ser monitorados, incluindo a MFA (autenticação multifator).

Este cenário:

• Agrega o número de usuários que fizeram login por MFA usando um serviço de MFA em nuvem do Microsoft Entra.
• Captura logins interativos com MFA, agregando sucessos e falhas.
• Exclui o registro quando um usuário atualiza a sessão sem concluir a MFA interativa ou usa métodos de login sem senha.

Este artigo descreve essas métricas de integridade e explica como solucionar possíveis problemas ao receber um alerta.

Pré-requisitos

Há diferentes funções, permissões e requisitos de licença para exibir sinais de monitoramento de integridade e configurar e receber alertas. Recomendamos usar uma função com acesso de privilégio mínimo para se alinhar às diretrizes de Confiança Zero.

• Um locatário com uma licença Microsoft Entra P1 ou P2 é necessário para exibir os sinais de monitoramento do cenário de integridade do Microsoft Entra.
• Um locatário com uma licença Microsoft Entra P1 ou P2 e pelo menos 100 usuários ativos mensais é necessário para exibir alertas e receber notificações de alerta.
• A função Leitor de relatórios é a que tem menos privilégios, e é necessária para exibir sinais de monitoramento de cenário, alertas e configurações de alerta.
• A função Administrador da assistência técnica é a que tem menos privilégios, e é necessária para atualizar alertas e atualizar as configurações de notificação de alerta.
• A permissão HealthMonitoringAlert.Read.All é necessária para exibir os alertas usando a API do Microsoft Graph.
• A permissão HealthMonitoringAlert.ReadWrite.All é necessária para exibir e modificar os alertas usando a API do Microsoft Graph.
• Para uma lista completa de funções, confira Função com menos privilégios por tarefa.

Coletar dados

A investigação de um alerta começa com a coleta de dados.

1. Colete os detalhes do sinal e o resumo do impacto.
   • Para saber mais, confira Visão geral do monitoramento de integridade do Microsoft Graph.
2. Examine os logs de entrada.
   • Analise os detalhes do log do login.
   • Procure os usuários impedidos de entrar e aplique uma política de acesso condicional que exija MFA.
3. Verifique os logs de auditoria para conferir as alterações recentes na política.
   • Use logs de auditoria para solucionar problemas de alterações na política de acesso condicional.

Minimizar problemas comuns

Os problemas comuns a seguir podem causar um pico nos logins por MFA. Essa lista não está completa, mas fornece um ponto de partida para a investigação.

Problemas de configuração de aplicativo

Um aumento nos logins que exigem MFA pode indicar uma mudança de política ou o lançamento de um novo recurso que pode ter levado um grande número de usuários a fazer login praticamente ao mesmo tempo.

Para investigar, faça o seguinte:

• No resumo do impacto, se resourceType for "aplicativo" e houver somente um ou dois aplicativos listados, verifique os logs de auditoria em busca de alterações nos aplicativos listados.
• Nos logs de auditoria, use a coluna Destino para filtrar o aplicativo ou abra os logs de auditoria de Aplicativos Corporativos para que o filtro já esteja definido.
• Determine se o aplicativo foi adicionado ou reconfigurado recentemente.
• Nos logs do login, use a coluna Aplicativo para filtrar o mesmo aplicativo ou intervalo de datas e procurar outros padrões.

Problemas de autenticação do usuário

Um aumento nos logins que exigem MFA pode indicar um ataque de força bruta, em que muitas tentativas de login não autorizadas são feitas na conta de um usuário.

Para investigar, faça o seguinte:

• No resumo do impacto, se resourceType for "usuário" e o valor impactedCount mostrar um pequeno subconjunto de usuários, o problema poderá ser específico do usuário.
• Use os seguintes filtros nos logs de login:
  • Status: falha
  • Requisito de autenticação: autenticação multifator
  • Ajuste a data para corresponder ao período indicado no resumo do impacto.
• As tentativas de login com falha são provenientes do mesmo endereço IP?
• As tentativas de login com falha são provenientes do mesmo usuário?
• Execute o diagnóstico de login para descartar problemas de erro padrão do usuário ou problemas de configuração inicial da MFA.

Problemas de rede

É possível que ocorra uma interrupção regional do sistema que exija que um grande número de usuários faça login ao mesmo tempo.

Para investigar, faça o seguinte:

• No resumo do impacto, se resourceType for "usuário" e o valor impactedCount indicar uma grande porcentagem dos usuários da organização, isso poderá consistir em um problema de ampla distribuição.
• Verifique a integridade do sistema e da rede para analisar se uma interrupção ou atualização corresponde ao mesmo período da anomalia.

Próximas etapas

• Configurar o acesso condicional para MFA com relação a todos os usuários
• Solução de problemas comuns de login
• Saiba mais sobre o Acesso Condicional e o Intune