Så här undersöker du inloggningar som kräver multifaktorautentisering

Microsoft Entra Health-övervakning tillhandahåller en uppsättning hälsomått på klientorganisationsnivå som du kan övervaka och aviseringar när ett potentiellt problem eller feltillstånd identifieras. Det finns flera hälsoscenarier som kan övervakas, inklusive multifaktorautentisering (MFA).

Det här scenariot:

• Aggregerar antalet användare som har slutfört en MFA-inloggning med hjälp av en Microsoft Entra Cloud MFA-tjänst.
• Samlar in interaktiva inloggningar med MFA och aggregerar både lyckade och misslyckade.
• Utesluter när en användare uppdaterar sessionen utan att slutföra den interaktiva MFA:en eller med hjälp av lösenordslösa inloggningsmetoder.

Den här artikeln beskriver dessa hälsomått och hur du felsöker ett potentiellt problem när du får en avisering.

Förutsättningar

Det finns olika roller, behörigheter och licenskrav för att visa hälsoövervakningssignaler och konfigurera och ta emot aviseringar. Vi rekommenderar att du använder en roll med minst behörighet för att anpassa till Nolltillit vägledning.

• En klientorganisation med en Microsoft Entra P1- eller P2-licens krävs för att visa övervakningssignalerna för Microsoft Entra-hälsoscenariot.
• En klientorganisation med både en Microsoft Entra P1- eller P2-licensoch minst 100 månatliga aktiva användare krävs för att visa aviseringar och ta emot aviseringar.
• Rollen Rapportläsare är den minst privilegierade roll som krävs för att visa scenarioövervakningssignaler, aviseringar och aviseringskonfigurationer.
• Supportadministratören är den minst privilegierade roll som krävs för att uppdatera aviseringar och uppdatera aviseringskonfigurationer.
• Behörigheten HealthMonitoringAlert.Read.All krävs för att visa aviseringarna med hjälp av Microsoft Graph API.
• Behörigheten HealthMonitoringAlert.ReadWrite.All krävs för att visa och ändra aviseringarna med hjälp av Microsoft Graph API.
• En fullständig lista över roller finns i Minsta privilegierade roll efter uppgift.

Samla in data

Att undersöka en avisering börjar med att samla in data.

1. Samla in signalinformationen och sammanfattningen av påverkan.
   • Visa signalen i administrationscentret för Microsoft Entra för att bekanta dig med mönstret och identifiera avvikelser.
   • Kör List alerts API för att hämta alla aviseringar för hyresgästen.
   • Kör Hämta avisering API för att hämta information om en specifik avisering.
2. Granska inloggningsloggarna.
   • Granska inloggningslogginformationen.
   • Leta efter användare som blockeras från att logga in och ha en princip för villkorsstyrd åtkomst som kräver att MFA tillämpas.
3. Kontrollera granskningsloggarna för de senaste principändringarna.
   • Använd granskningsloggarna för att felsöka principändringar för villkorsstyrd åtkomst.

Åtgärda vanliga problem

Följande vanliga problem kan orsaka en topp i MFA-inloggningar. Den här listan är inte fullständig, men ger en startpunkt för din undersökning.

Problem med programkonfiguration

En ökning av inloggningar som kräver MFA kan tyda på en principändring eller att en ny funktionsdistribution kan utlösa ett stort antal användare för att logga in ungefär samtidigt.

Så här undersöker du:

• I konsekvenssammanfattningen, om resourceType är "program" och det bara finns ett eller två program i listan, kontrollerar du granskningsloggarna för ändringar i de angivna programmen.
• I granskningsloggarna använder du kolumnen Mål för att filtrera efter programmet eller öppna granskningsloggarna från Företagsprogram, så att filtret redan har angetts.
• Kontrollera om programmet nyligen har lagts till eller konfigurerats om.
• I inloggningsloggarna använder du kolumnen Program för att filtrera efter samma program eller datumintervall för att leta efter andra mönster.

Problem med användarautentisering

En ökning av inloggningar som kräver MFA kan tyda på en råstyrkeattack, där flera obehöriga inloggningsförsök görs till en användares konto.

Så här undersöker du:

• I konsekvenssammanfattningen, om resourceType är "användare" och impactedCount värdet visar en liten delmängd av användarna, kan problemet vara användarspecifikt.
• Använd följande filter i inloggningsloggarna:
  • Status: Fel
  • Autentiseringskrav: Multifaktorautentisering
  • Justera datumet så att det matchar den tidsram som anges i konsekvenssammanfattningen.
• Kommer misslyckade inloggningsförsök från samma IP-adress?
• Görs misslyckade inloggningsförsök från samma användare?
• Kör inloggningsdiagnostiken för att utesluta vanliga problem med användarfel eller inledande MFA-konfigurationsproblem.

Nätverksproblem

Det kan uppstå ett regionalt systemstopp som kräver att ett stort antal användare loggar in samtidigt.

Så här undersöker du:

• I konsekvenssammanfattningenresourceType, om impactedCount är "användare" och värdet visar en stor andel av organisationens användare, kanske du tittar på ett brett spridningsproblem.
• Kontrollera systemets och nätverkets hälsotillstånd för att se om ett avbrott eller en uppdatering matchar samma tidsram som avvikelsen.

Nästa steg

• Konfigurera villkorlig åtkomst för MFA för alla användare
• Felsöka vanliga inloggningsfel
• Läs mer om villkorlig åtkomst och Intune