Поделиться через

Мониторинг и устранение неполадок при оценке непрерывного доступа

  • Статья

Администраторы могут отслеживать и устранять неполадки в событиях входа, в которых непрерывной оценки доступа (CAE) применяется несколькими способами.

Отчеты об оценке непрерывного доступа и входов в систему

Администраторы могут отслеживать входы пользователей, где применяется оценка непрерывного доступа (CAE). Эти сведения находятся в журналах входа Microsoft Entra:

  1. Войдите в Центр администрирования Microsoft Entra по крайней мере средства чтения безопасности.
  2. Перейдите к мониторингу удостоверений и журналам входа>& работоспособности>.
  3. Примените фильтр с маркером CAE.

снимок экрана, показывающий, как добавить фильтр в журнал входа, чтобы узнать, где применяется ЦС.

Отсюда администраторы получают сведения о событиях входа пользователя. Выберите любой вход, чтобы просмотреть сведения о сеансе, например о том, какие политики условного доступа применены и включены ли ЦС.

Для каждой проверки подлинности существует несколько запросов на авторизацию. Некоторые находятся на интерактивной вкладке, а другие на неинтерактивной вкладке. CAE помечается как истинный только для одного из запросов, которые могут быть либо на интерактивной, либо на неинтерактивной вкладке. Администраторы должны проверить обе вкладки, чтобы убедиться, включена ли проверка подлинности пользователя с поддержкой CAE или нет.

Поиск конкретных попыток входа

Журналы входа содержат сведения о событиях успеха и неудач. Используйте фильтры, чтобы сузить поиск. Например, если пользователь вошел в Teams, используйте фильтр приложений и задайте для него значение Teams. Администраторам может потребоваться проверить вход на интерактивных и неинтерактивных вкладках, чтобы найти конкретный вход. Чтобы сузить поиск, администраторы могут применить несколько фильтров.

Инструменты для оценки непрерывного доступа

Книга аналитических данных по непрерывной оценке доступа позволяет администраторам просматривать и отслеживать сведения об использовании НОД для своих арендаторов. В таблице отображаются попытки проверки подлинности с несоответствием IP-адресов. Эту книгу можно найти в качестве шаблона в категории условного доступа.

Получение доступа к шаблону рабочего журнала CAE

Интеграция Log Analytics должна быть завершена перед отображением рабочих книг. Дополнительные сведения о том, как передавать журналы входа Microsoft Entra в рабочую область Log Analytics, см. в статье Интеграция журналов Microsoft Entra с журналами Azure Monitor.

  1. Войдите в Центр администрирования Microsoft Entra по крайней мере средства чтения безопасности.
  2. Перейдите к идентификации>мониторинга & работоспособности>рабочие тетради.
  3. В разделе Общедоступные шаблонывыполните поиск по запросу информация о непрерывной оценке доступа.

В книге Continuous access evaluation insights содержится следующая таблица:

Потенциальное несоответствие IP-адресов между идентификатором Microsoft Entra и поставщиком ресурсов

Потенциальное несоответствие IP-адресов между таблицей поставщика ресурсов Microsoft Entra ID & и самим идентификатором Microsoft Entra ID позволяет администраторам исследовать сеансы, в которых IP-адрес, обнаруженный Microsoft Entra ID, не совпадает с IP-адресом, обнаруженным поставщиком ресурсов.

Эта таблица книги проливает свет на эти сценарии путем отображения соответствующих IP-адресов и того, был ли маркер CAE выдан во время сеанса.

Аналитика оценки непрерывного доступа для каждого входа

Инстайты непрерывной оценки доступа на странице входа рабочей книги соединяют несколько запросов из журналов входа и отображают один запрос, в котором был выдан токен оценки непрерывного доступа.

Эта книга может пригодиться, например, когда пользователь открывает Outlook на рабочем столе и пытается получить доступ к ресурсам в Exchange Online. Это действие входа может сопоставляться с несколькими интерактивными и неинтерактивными запросами на вход в журналы, что затрудняет диагностику проблем.

Конфигурация IP-адресов

Поставщик идентификации и поставщики ресурсов могут видеть разные IP-адреса. Это несоответствие может произойти из-за следующих примеров:

  • Ваша сеть включает функцию раздельного туннелирования.
  • Поставщик ресурсов использует IPv6-адрес и идентификатор Microsoft Entra использует IPv4-адрес.
  • Из-за конфигураций сети идентификатор Microsoft Entra видит один IP-адрес от клиента, а поставщик ресурсов видит другой IP-адрес от клиента.

Если этот сценарий существует в вашей среде, чтобы избежать бесконечных циклов, Microsoft Entra ID выдает токен CAE, действительный в течение одного часа, и не требует изменения местоположения клиента в течение этого времени. Безопасность даже в этом случае улучшается по сравнению с традиционными одночасовыми маркерами, поскольку мы продолжаем оценивать другие события, помимо событий изменения расположения клиента.

Администраторы могут просматривать записи, отфильтрованные по диапазону времени и приложению. Администраторы могут сравнить количество несовпадных IP-адресов, обнаруженных с общим количеством входов в течение указанного периода времени.

Чтобы разблокировать пользователей, администраторы могут добавлять определенные IP-адреса в доверенное именованное местоположение.

  1. Войдите в Центр администрирования Microsoft Entra по крайней мере администратора условного доступа.
  2. Перейдите к Защита>Условный доступ>Именованные расположения. Здесь можно создать или обновить надежные IP-расположения.

Заметка

Перед добавлением IP-адреса в качестве доверенного именованного расположения убедитесь, что IP-адрес фактически принадлежит предполагаемой организации.

Для получения дополнительных сведений об именованных местоположениях, см. статью Использование условия местоположения.

Связанное содержимое