Så här undersöker du inloggningar som kräver en kompatibel eller hanterad enhetsavisering

Microsoft Entra Health-övervakning tillhandahåller en uppsättning hälsomått på klientorganisationsnivå som du kan övervaka och aviseringar när ett potentiellt problem eller feltillstånd identifieras. Det finns flera hälsoscenarier som kan övervakas, inklusive två relaterade till enheter:

• Inloggningar som kräver en kompatibel enhet med villkorsstyrd åtkomst
• Inloggningar som kräver en hanterad enhet för villkorlig åtkomst

Med de här scenarierna kan du övervaka och ta emot aviseringar om användarautentisering som uppfyller en princip för villkorsstyrd åtkomst som kräver inloggning från en kompatibel eller hanterad enhet. Mer information om hur Microsoft Entra Health fungerar finns i:

• Vad är Microsoft Entra Health?
• Så här använder du hälsoövervakningssignaler och aviseringar för Microsoft Entra

Den här artikeln beskriver hälsomått som rör kompatibla och hanterade enheter och hur du felsöker ett potentiellt problem när du får en avisering.

Förutsättningar

Det finns olika roller, behörigheter och licenskrav för att visa hälsoövervakningssignaler och konfigurera och ta emot aviseringar. Vi rekommenderar att du använder en roll med minst behörighet för att anpassa till Nolltillit vägledning.

• En klientorganisation med en Microsoft Entra P1- eller P2-licens krävs för att visa övervakningssignalerna för Microsoft Entra-hälsoscenariot.
• En klientorganisation med både en Microsoft Entra P1- eller P2-licensoch minst 100 månatliga aktiva användare krävs för att visa aviseringar och ta emot aviseringar.
• Rollen Rapportläsare är den minst privilegierade roll som krävs för att visa scenarioövervakningssignaler, aviseringar och aviseringskonfigurationer.
• Supportadministratören är den minst privilegierade roll som krävs för att uppdatera aviseringar och uppdatera aviseringskonfigurationer.
• Behörigheten HealthMonitoringAlert.Read.All krävs för att visa aviseringarna med hjälp av Microsoft Graph API.
• Behörigheten HealthMonitoringAlert.ReadWrite.All krävs för att visa och ändra aviseringarna med hjälp av Microsoft Graph API.
• En fullständig lista över roller finns i Minsta privilegierade roll efter uppgift.

Undersöka aviseringen och signalen

Att undersöka en avisering börjar med att samla in data.

1. Samla in signalinformationen och sammanfattningen av påverkan.
   • Visa signalen i administrationscentret för Microsoft Entra för att bekanta dig med mönstret och identifiera avvikelser.
   • Kör API:et Listaviseringar för att hämta alla aviseringar för klientorganisationen.
   • Kör API:et Hämta avisering för att hämta information om en specifik avisering.
2. Granska intune-enhetsefterlevnadsprinciperna.
   • Mer information finns i Översikt över Enhetsefterlevnad i Intune.
   • Lär dig hur du övervakar efterlevnadsprinciper för enheter.
   • Om du inte använder Intune granskar du enhetshanteringslösningens efterlevnadsprinciper.
3. Undersök vanliga problem med villkorsstyrd åtkomst.
   • Felsöka efterlevnadsprinciper för villkorlig åtkomst för enheter.
   • Felsöka inloggningsproblem med villkorsstyrd åtkomst.
4. Granska inloggningsloggarna.
   • Granska inloggningslogginformationen.
   • Leta efter användare som blockeras från att logga in och ha en kompatibel enhetsprincip tillämpad.
5. Kontrollera granskningsloggarna för de senaste principändringarna.
   • Använd granskningsloggarna för att felsöka principändringar för villkorsstyrd åtkomst.

Åtgärda vanliga problem

Följande vanliga problem kan orsaka en topp i inloggningar som kräver en kompatibel eller hanterad enhet. Den här listan är inte fullständig, men ger en startpunkt för din undersökning.

Många användare blockeras från att logga in från kända enheter

Om en stor grupp användare blockeras från att logga in på kända enheter kan en topp indikera att dessa enheter har fallit ur kompatibilitet.

Så här undersöker du:

• I konsekvenssammanfattningenresourceType, om impactedCount är "användare" och värdet anger en stor andel av organisationens användare, kanske du tittar på ett brett spridningsproblem.
• Kontrollera intune-enhetens efterlevnadsprincip.
• Kontrollera efterlevnadsprinciperna för dina villkorliga åtkomstenheter.

Användaren blockeras från att logga in från en okänd enhet

Om ökningen av blockerade inloggningar kommer från en okänd enhet kan den toppen indikera att en angripare har skaffat en användares autentiseringsuppgifter och försöker logga in från en enhet som används för sådana attacker.

Så här undersöker du:

• I konsekvenssammanfattningen, om resourceType är "användare" och impactedCount värdet visar en liten delmängd av användarna, kan problemet vara användarspecifikt.
• Granska inloggningsloggarna.
• Undersöka risker med Microsoft Entra ID Protection.
  • Obs! Microsoft Entra ID Protection kräver en Microsoft Entra P2-licens.

Nätverksproblem

Det kan uppstå ett regionalt systemstopp som kräver att ett stort antal användare loggar in samtidigt.

Så här undersöker du:

• I konsekvenssammanfattningenresourceType, om impactedCount är "användare" och värdet visar en stor andel av organisationens användare, kanske du tittar på ett brett spridningsproblem.
• Kontrollera systemets och nätverkets hälsotillstånd för att se om ett avbrott eller en uppdatering matchar samma tidsram som avvikelsen.

Nästa steg

• Skapa en efterlevnadspolicy i Microsoft Intune
• Läs mer om villkorlig åtkomst och Intune
• Läs mer om Microsoft Entra-anslutna enheter
• Vad är enhetshantering?
• Läs mer om villkorlig åtkomst och Intune
• Läs mer om Hybrid-anslutna Microsoft Entra-enheter