身份验证提示分析工作簿
作为 IT 专业人员,你需要有关环境中身份验证提示的正确信息,以便能够检测到意外提示并进一步进行调查。 身份验证提示分析工作簿旨在为你提供此类信息。
先决条件
若要将 Azure 工作簿用于 Microsoft Entra ID,需要:
- 使用 Premium P1 许可证的 Microsoft Entra 租户
- 一个 Log Analytics 工作区和对该工作区的访问权限
- Azure Monitor 和 Microsoft Entra ID 的相应角色
Log Analytics 工作区
必须先创建 Log Analytics 工作区,然后才能使用 Microsoft Entra 工作簿。 有多个因素决定对 Log Analytics 工作区的访问。 需要为工作区和发送数据的资源提供适当的角色。
有关详细信息,请参阅管理对 Log Analytics 工作区的访问权限。
Azure Monitor 角色
Azure Monitor 提供两个内置角色,用于查看监视数据和编辑监视设置。 Azure 基于角色的访问控制 (RBAC) 还提供两个授予类似访问权限的 Log Analytics 内置角色。
视图:
- 监视查阅者
- Log Analytics 读者
查看和修改设置:
- 监视参与者
- Log Analytics 参与者
Microsoft Entra 角色
只读访问权限允许查看工作簿内的 Microsoft Entra ID 日志数据、从 Log Analytics 查询数据或在 Microsoft Entra 管理中心读取日志。 更新访问权限增加了创建和编辑诊断设置的功能,以便将 Microsoft Entra 数据发送到 Log Analytics 工作区。
“读取”:
- 报告读者
- 安全读取者
- 全局读取者
更新:
- 安全管理员
有关 Microsoft Entra 内置角色的详细信息,请参阅 Microsoft Entra 内置角色。
有关 Log Analytics RBAC 角色的详细信息,请参阅 Azure 内置角色。
说明
你最近是否从用户那里收到有关太多身份验证提示的抱怨?
过度提示用户可能会影响高效工作,并可能导致用户被诱骗进行多重身份验证 (MFA)。 需要明确的是,我们不是在谈论是否需要 MFA,而是应该多久提示一次用户。
以下因素可能会导致过度提示:
- 应用程序配置不正确
- 过度激进的提示策略
- 网络攻击
身份验证提示分析工作簿标识各种类型的身份验证提示。 这些类型基于不同的因素,包括用户、应用程序、操作系统、进程等。
可以在以下情况下使用此工作簿:
- 调查有关用户收到过多提示的反馈。
- 检测归因于一种特定身份验证方法、策略应用程序或设备的过度提示。
- 查看高配置文件用户的身份验证提示数。
- 跟踪旧版 TLS 和其他身份验证过程的详细信息。
如何访问工作簿
使用适当的角色组合登录到 Microsoft Entra 管理中心。
浏览到“标识”>“监视和运行状况”>“工作簿”。
从“使用情况”部分选择“身份验证提示分析”工作簿。
工作簿的各个部分
此工作簿按以下各项细分身份验证提示:
- 方法
- 设备状态
- 应用程序
- 用户
- 状态
- 操作系统
- 进程详细信息
- 策略
在许多环境中,最常用的应用是业务生产力应用。 任何意料之外的事都应进行调查。 下面的图表按应用程序显示身份验证提示。
按应用程序显示的提示列表视图会显示时间戳和请求 ID 等有助于进行调查的其他信息。
此外,你还可以获得租户的平均提示数和中值提示数的摘要。
此工作簿还有助于跟踪可改进用户体验的有效方法,并减少提示和相对百分比。
筛选器
利用筛选器来获取更精细的数据视图:
通过筛选具有多个身份验证请求的特定用户或仅显示出现登录失败的应用程序,也可发现值得注意的事项并继续进行修正。
最佳做法
如果数据未显示或显示的数据似乎不正确,请确认已在相应的资源上设置了“Log Analytics 工作区”和“订阅”。
如果视觉对象加载时间过长,请尝试将时间筛选器减少到 24 小时或更短。
若要了解影响 MFA 提示的不同策略的详细信息,请参阅优化重新验证提示和了解 Microsoft Entra 多重身份验证的会话生存期。
若要了解如何将用户从基于电信的方法移动到 Authenticator 应用,请参阅如何运行注册活动以设置 Microsoft Authenticator - Microsoft Authenticator 应用。