如何調查需要符合規範或受控裝置警示的登入
Microsoft Entra Health 監視提供一組租用戶層級健康情況計量,您可以在偵測到潛在問題或失敗狀況時監視和警示。 可以監視多個健康情況案例,包括兩個與裝置相關的案例:
- 需要條件式存取相容裝置的登入
- 需要條件式存取受控裝置的登入
這些案例可讓您監視和接收使用者驗證的警示,以滿足需要從相容或受控裝置登入的條件式存取原則。 若要深入瞭解Microsoft Entra Health 的運作方式,請參閱:
本文說明與相容與受控裝置相關的健康情況計量,以及如何針對收到警示時的潛在問題進行疑難解答。
必要條件
有不同的角色、許可權和授權需求,可檢視健康情況監視訊號並設定和接收警示。 建議您使用具有最低權限存取權的角色,以符合零信任指導。
- 需要具有 Microsoft Entra P1 或 P2 授權 的租使用者,才能 檢視 Microsoft Entra 健康情況監視訊號。
- 需要同時擁有Microsoft Entra P1 或 P2 授權和至少 100 名每月作用中使用者的租使用者,才能檢視警示和接收警示通知。
- 報表讀取者角色是檢視案例監視訊號、警示和警示組態所需的最低特殊許可權角色。
- 技術服務人員系統管理員是更新警示和更新警示通知設定所需的最低特殊許可權角色。
- 需要
HealthMonitoringAlert.Read.All許可權, 才能使用 Microsoft Graph API 來檢視警示。 -
HealthMonitoringAlert.ReadWrite.All需要許可權,才能使用 Microsoft Graph API 來檢視和修改警示。 - 如需角色的完整清單,請參閱 依工作設定的最低許可權角色。
調查警示和訊號
調查警示的開頭是收集數據。
- 收集訊號詳細數據和影響摘要。
- 檢閱您的 Intune 裝置合規性政策。
- 如需詳細資訊,請參閱 Intune 裝置合規性概觀。
- 瞭解如何 監視裝置合規性政策。
- 如果您未使用 Intune,請檢閱裝置管理解決方案的合規性政策。
- 調查常見的條件式存取問題。
- 針對條件式存取裝置合規性原則進行疑難解答。
- 針對條件式存取登入問題進行疑難解答。
- 檢查登入記錄。
- 檢閱登入記錄詳細數據。
- 尋找遭到封鎖的用戶無法登入 ,並 套用符合規範的裝置原則。
- 檢查稽核記錄中是否有最近的原則變更。
- 使用稽核記錄來針對條件式存取原則變更進行疑難解答。
減輕常見問題
下列常見問題可能會導致登入需要符合規範或受控裝置的登入尖峰。 這份清單並不詳盡,但會提供您調查的起點。
許多使用者被封鎖無法從已知裝置登入
如果封鎖大量用戶無法登入已知裝置,尖峰可能表示這些裝置已不符合規範。
若要調查:
- 在影響摘要中,如果
resourceType是 「使用者」,而impactedCount值表示貴組織使用者的百分比很大,您可能會查看廣泛的散佈問題。 - 檢查您的 Intune 裝置合規性政策。
- 檢查您的 條件式存取裝置合規性原則。
用戶無法從未知的裝置登入
如果封鎖的登入增加來自未知的裝置,該尖峰可能表示攻擊者已取得使用者的認證,並嘗試從用於這類攻擊的裝置登入。
若要調查:
- 在影響摘要中,如果
resourceType是 「使用者」,而impactedCount值會顯示一小部分的使用者,則問題可能是使用者特定的。 - 檢閱登入記錄。
-
使用 Microsoft Entra ID Protection 調查風險。
- 注意:Microsoft Entra ID Protection 需要Microsoft Entra P2 授權。
網路問題
可能會發生區域性系統中斷,需要大量用戶同時登入。
若要調查:
- 在影響摘要中,如果
resourceType是 「使用者」,而impactedCount值會顯示您組織使用者的很大百分比,您可能會查看廣泛的分散問題。 - 檢查您的系統和網路健康情況,以查看中斷或更新是否符合與異常相同的時間範圍。