監控和疑難解答持續存取評估
系統管理員可以監視和疑難解答登入事件,其中 持續存取評估 (CAE) 會以多種方式套用。
持續存取評估登入報告
系統管理員可以監視套用持續存取評估 (CAE) 的使用者登入。 這項信息位於 Microsoft Entra 登入記錄中:
- 登入 Microsoft Entra 系統管理中心, 至少 安全性讀取器。
- 瀏覽至 身分識別>監控 & 健康情況>登入記錄。
- 套用 Is CAE Token 篩選條件。
從這裡,系統管理員可以看到其使用者登入事件的相關信息。 選取任何登入項目以查看會話的詳細資訊,例如套用的條件式存取政策,以及 CAE 是否已啟用。
每個驗證有多個登入要求。 有些位於互動式標籤上,而另一些則位於非互動式標籤上。CAE 只會在互動式標籤或非互動式標籤的一種要求上標示為 true。系統管理員必須檢查這兩個標籤,以確認使用者的驗證是否已啟用 CAE。
搜尋特定的登入企圖
登入記錄包含成功和失敗事件的相關信息。 使用篩選來縮小搜尋範圍。 例如,如果使用者登入Teams,請使用[應用程式] 篩選器,並將它設定為Teams。 系統管理員可能需要檢查來自互動式和非互動式索引標籤的登入,以找出特定的登入。 若要進一步縮小搜尋範圍,系統管理員可能會套用多個篩選。
連續存取評估活頁簿
持續存取評估深入解析活頁簿可讓系統管理員檢視及監視其租戶的 CAE 使用量見解。 這個表格顯示IP不匹配的驗證嘗試。 此活頁簿可在 [條件式存取] 類別下找到範本。
存取 CAE 活頁簿範本
必須先完成 Log Analytics 整合,才能顯示活頁簿。 如需如何將Microsoft Entra 登入記錄串流至Log Analytics工作區的詳細資訊,請參閱將 整合 Microsoft Entra 記錄與 Azure 監視器記錄一文。
- 登入 Microsoft Entra 系統管理中心, 至少 安全性讀取器。
- 瀏覽至 Identity>Monitoring & health>Workbooks。
- 在 [公共範本]下,搜尋 持續存取評估洞察。
持續存取評估分析 活頁簿包含以下表格:
Microsoft Entra ID 與資源提供者之間的潛在 IP 位址不一致
Microsoft Entra ID & 資源提供者數據表之間的潛在 IP 位址不相符,可讓系統管理員調查Microsoft Entra ID 偵測到的 IP 位址與資源提供者偵測到的 IP 位址不相符的會話。
此活頁簿表格會藉由顯示個別的IP位址,以及是否在會話期間發出CAE權杖,來說明這些情境。
每個登入的連續存取評估深入解析
活頁簿中每個登入頁面的持續存取評估見解匯集了來自登入記錄的多個要求,並將它們整合為顯示發出 CAE 令牌的單一要求。
例如,當使用者在其桌面上開啟 Outlook,並嘗試存取 Exchange Online 內的資源時,此活頁簿可能會派上用場。 此登入動作可能會對應至記錄中的多個互動式和非互動式登入要求,使得問題難以診斷。
IP 位址設定
您的識別提供者和資源提供者可能會看到不同的IP位址。 這可能是因為下列範例而發生這種不相符的情況:
- 您的網路實施分割隧道。
- 您的資源提供者使用 IPv6 位址,且Microsoft Entra ID 是使用 IPv4 位址。
- 由於網路設定,Microsoft Entra ID 看到來自用戶端的一個IP位址,而您的資源提供者會看到與用戶端不同的IP位址。
如果此案例存在於您的環境中,若要避免無限迴圈,Microsoft Entra ID 會發出一小時的 CAE 令牌,而且不會在該一小時內強制執行用戶端位置變更。 即使在此情況下,相較於傳統的一小時令牌,安全性也會改善,因為我們仍在評估用戶端位置變更事件以外的其他事件。
系統管理員可以檢視依時間範圍和應用程式篩選的記錄。 系統管理員可以比較偵測到的不相符IP數目與指定時段內的登入總數。
若要解除封鎖使用者,系統管理員可以將特定IP位址新增至受信任的具名位置。
- 以至少 條件式存取系統管理員的身分登入 Microsoft Entra 系統管理中心。
- 瀏覽到 保護>條件式存取>已命名位置。 您可以在這裏建立或更新受信任的IP位置。
注意
將IP位址新增為受信任的具名位置之前,請先確認IP位址實際上屬於預定的組織。
如需具名位置的詳細資訊,請參閱文章 使用位置條件。