Как исследовать входы, требующие соответствующего или управляемого оповещения устройства

Мониторинг работоспособности Microsoft Entra Health предоставляет набор метрик работоспособности на уровне клиента, которые можно отслеживать и оповещать при обнаружении потенциальной проблемы или сбоя. Существует несколько сценариев работоспособности, которые можно отслеживать, включая два связанных с устройствами:

• Вход, требующий устройства, соответствующего условному доступу
• Для входа требуется управляемое устройство условного доступа

Эти сценарии позволяют отслеживать и получать оповещения о проверке подлинности пользователей, удовлетворяющей политике условного доступа, требующей входа с соответствующего или управляемого устройства. Дополнительные сведения о работе Microsoft Entra Health см. в следующих статье:

• Что такое Microsoft Entra Health?
• Использование сигналов и оповещений мониторинга работоспособности Microsoft Entra

В этой статье описываются метрики работоспособности, связанные с совместимыми и управляемыми устройствами, а также способы устранения потенциальных проблем при получении оповещения.

Необходимые компоненты

Существуют различные роли, разрешения и требования лицензии для просмотра сигналов мониторинга работоспособности и настройки и получения оповещений. Мы рекомендуем использовать роль с минимальными привилегиями для согласования с руководством по нулю доверия.

• Клиент с лицензией Microsoft Entra P1 или P2 необходим для просмотра сигналов мониторинга сценария работоспособности Microsoft Entra.
• Клиент с лицензиейMicrosoft Entra P1 или P2 и по крайней мере 100 ежемесячных активных пользователей требуется для просмотра оповещений и получения уведомлений об оповещениях.
• Роль читателя отчетов — это наименее привилегированная роль, необходимая для просмотра сигналов мониторинга сценариев, оповещений и конфигураций оповещений.
• Администратор службы технической поддержки является наименее привилегированной ролью, необходимой для обновления оповещений и обновления конфигураций уведомлений оповещений.
• Разрешение HealthMonitoringAlert.Read.All требуется для просмотра оповещений с помощью API Microsoft Graph.
• Разрешение HealthMonitoringAlert.ReadWrite.All требуется для просмотра и изменения оповещений с помощью API Microsoft Graph.
• Полный список ролей см. в разделе "Наименее привилегированная роль" по задачам.

Изучение оповещения и сигнала

Изучение оповещения начинается с сбора данных.

1. Соберите сведения о сигнале и сводку о влиянии.
   • Просмотрите сигнал в Центре администрирования Microsoft Entra, чтобы ознакомиться с шаблоном и определить аномалии.
   • Запустите API оповещений списка, чтобы получить все оповещения для клиента.
   • Запустите API получения оповещений, чтобы получить сведения о конкретном оповещении.
2. Просмотрите политики соответствия устройств Intune.
   • Дополнительные сведения см. в обзоре соответствия устройств Intune.
   • Узнайте, как отслеживать политики соответствия устройств.
   • Если вы не используете Intune, ознакомьтесь с политиками соответствия решения по управлению устройствами.
3. Изучите распространенные проблемы условного доступа.
   • Устранение неполадок политик соответствия устройств условного доступа.
   • Устранение неполадок при входе условного доступа.
4. Просмотрите журналы входа.
   • Просмотрите сведения о журнале входа.
   • Найдите пользователей, которые заблокированы для входа и применяют соответствующую политику устройства.
5. Проверьте журналы аудита для последних изменений политики.
   • Используйте журналы аудита для устранения неполадок с изменениями политики условного доступа.

Устранение распространенных проблем

Следующие распространенные проблемы могут привести к всплеску входов, требующих соответствующего или управляемого устройства. Этот список не является исчерпывающим, но предоставляет отправную точку для исследования.

Многие пользователи заблокированы для входа с известных устройств

Если большая группа пользователей заблокирована для входа на известные устройства, пик может указать, что эти устройства не соответствуют требованиям.

Чтобы изучить:

• В сводке по влиянию, если resourceType это "пользователь" и impactedCount значение указывает на большой процент пользователей вашей организации, может возникнуть проблема с широким распространением.
• Проверьте политику соответствия устройств Intune.
• Проверьте политики соответствия устройств условного доступа.

Пользователь заблокирован для входа с неизвестного устройства

Если увеличение заблокированных входов происходит с неизвестного устройства, это может указывать на то, что злоумышленник приобрел учетные данные пользователя и пытается войти с устройства, используемого для таких атак.

Чтобы изучить:

• В сводке влияния, если resourceType это "пользователь" и impactedCount значение отображает небольшое подмножество пользователей, проблема может быть конкретной пользователем.
• Просмотрите журналы входа.
• Изучение риска с помощью Защита идентификации Microsoft Entra.
  • Примечание. для Защита идентификации Microsoft Entra требуется лицензия Microsoft Entra P2.

проблемы с сетью.

Может произойти сбой региональной системы, требующий одновременного входа в систему большого количества пользователей.

Чтобы изучить:

• В сводке по влиянию, если resourceType это "пользователь" и impactedCount значение показывает большой процент пользователей вашей организации, может возникнуть проблема с широким распространением.
• Проверьте работоспособность системы и сети, чтобы узнать, совпадает ли сбой или обновление в том же интервале времени, что и аномалия.

Следующие шаги

• Создание политики соответствия требованиям в Microsoft Intune
• Сведения об условном доступе и Intune
• Сведения об устройствах, присоединенных к Microsoft Entra
• Что такое управление устройствами
• Сведения об условном доступе и Intune
• Сведения о гибридных устройствах, присоединенных к Microsoft Entra