监视连续访问评估并排查其问题

管理员可通过多种方式监视应用了连续访问评估 (CAE) 的登录事件并排查其问题。

连续访问评估登录报告

管理员可以监视应用连续访问评估 (CAE) 的用户登录。 此信息位于 Microsoft Entra 登录日志中:

  1. 至少以安全读取者身份登录到 Microsoft Entra 管理中心
  2. 浏览到“标识”>“监视和运行状况”>“登录日志”。
  3. 应用“是 CAE 令牌”筛选器。

屏幕截图显示了如何向登录日志中添加筛选器以了解正在应用或者未应用 CAE 的位置。

在此处,管理员将看到有关其用户登录事件的信息。 请选择任一登录以查看有关会话的详细信息,例如应用了哪些条件访问策略,以及是否启用了 CAE。

每项身份验证有多个登录请求。 一些位于交互式选项卡上,另一些则位于非交互式选项卡上。CAE 仅对其中一个请求标记为 true,它可以位于交互式选项卡或非交互式选项卡上。管理员必须检查这两个选项卡,以确认用户的身份验证是否为已启用 CAE。

搜索特定的登录尝试

登录日志包含有关成功和失败事件的信息。 使用筛选器缩小搜索范围。 例如,如果用户已登录到 Teams,请使用“应用程序”筛选器并将其设置为 Teams。 管理员可能需要从交互式和非交互式选项卡中检查登录,以找到特定的登录。 要进一步缩小搜索范围,管理员可以应用多个筛选器。

连续访问评估工作簿

管理员可以使用连续访问评估见解工作簿来查看和监视其租户的 CAE 使用情况见解。 表显示 IP 不匹配的身份验证尝试。 可以在“条件访问”类别下找到作为模板显示的此工作簿。

访问 CAE 工作簿模板

必须先完成 Log Analytics 集成,然后才会显示工作簿。 若要详细了解如何将 Microsoft Entra 登录日志流式传输到 Log Analytics 工作区,请参阅将 Microsoft Entra ID 日志与 Azure Monitor 日志集成一文。

  1. 至少以安全读取者身份登录到 Microsoft Entra 管理中心
  2. 浏览到“标识”>“监视和运行状况”>“工作簿”。
  3. 在“公共模板”下,搜索“连续访问评估见解” 。

“连续访问评估见解”工作簿包含下表:

Microsoft Entra ID 和资源提供程序之间的潜在 IP 地址不匹配情况

借助“Microsoft Entra ID 和资源提供程序之间的潜在 IP 地址不匹配情况”表,管理员可以调查存在以下情况的会话:Microsoft Entra ID 检测到的 IP 地址与资源提供程序检测到的 IP 地址不匹配。

此工作簿表通过显示相应的 IP 地址以及是否在会话期间是否颁发了 CAE 令牌,来阐明这些情况。

每次登录的连续访问评估见解

工作簿中每个登录页的连续访问评估见解从登录日志连接多个请求,并显示颁发 CAE 令牌的单个请求。

例如,在以下情况下,此工作簿可能会派上用场:用户在其桌面上打开 Outlook 并尝试访问 Exchange Online 中的资源。 此登录操作可能会映射到日志中的多个交互式和非交互式登录请求,从而导致问题难以诊断。

IP 地址配置

标识提供者和资源提供程序可能会看到不同的 IP 地址。 发生这种不匹配情况的原因可能如以下示例所述:

  • 网络实施了拆分隧道。
  • 资源提供程序使用的是 IPv6 地址,而 Microsoft Entra ID 使用的是 IPv4 地址。
  • 由于网络配置的原因,Microsoft Entra ID 识别到的是来自客户端的一个 IP 地址,而资源提供程序识别到的是来自客户端的另一个 IP 地址。

如果你的环境中存在这种情况,为了避免无限循环,Microsoft Entra ID 会颁发有效期为一小时的 CAE 令牌,并且在该一小时期限内,它不会强制更改客户端位置。 即使在这种情况下,与传统的一小时令牌相比,安全性也会得到提高,因为除了客户端位置更改事件之外,我们还评估其他事件。

管理员可以查看按时间范围和应用程序筛选的记录。 管理员可以将检测到的不匹配 IP 数量与指定时段的登录总数进行比较。

若要取消阻止用户,管理员可以将特定 IP 地址添加到受信任的命名位置。

  1. 最低以条件访问管理员身份登录到 Microsoft Entra 管理中心
  2. 浏览到“保护”>“条件访问”>“命名位置”。 可在此处创建或更新受信任的 IP 位置。

注意

在将某个 IP 地址添加为受信任的命名位置之前,请确认该 IP 地址确实属于所需的组织。

有关命名位置的详细信息,请参阅使用位置条件一文。