如何調查需要使用 Microsoft Entra 多重要素驗證的登入

Microsoft Entra Health 監視提供一組租用戶層級健康情況計量，您可以在偵測到潛在問題或失敗狀況時監視和警示。 可以監控多個健康狀況，包括 Microsoft Entra 多重要素驗證（MFA）。

此案例：

• 匯總使用 Microsoft Entra 雲端 MFA 服務成功完成 MFA 登入的用戶數目。
• 使用 Microsoft Entra MFA 擷取互動式登錄，並匯總成功和失敗。
• 當使用者重新整理會話而不完成互動式 MFA 或使用無密碼登入方法時排除。

本文說明這些健康情況計量，以及如何針對收到警示時的潛在問題進行疑難解答。 如需如何與健康情況監視案例互動以及如何調查所有警示的詳細資訊，請參閱 如何調查健康情況警示。

重要

Microsoft Entra Health 案例監視和警示目前處於預覽狀態。 這項資訊與發行前版本產品有關，在發行前可能會大幅修改。 Microsoft針對此處提供的資訊，不提供任何明示或默示擔保。 Microsoft Entra 系統管理中心體驗會分階段發行給客戶，因此您可能看不到本文所述的所有功能。

必要條件

有不同的角色、許可權和授權需求，可檢視健康情況監視訊號並設定和接收警示。 建議您使用具有最低權限存取權的角色，以符合零信任指導。

• 需要具有 Microsoft Entra P1 或 P2 授權 的租使用者，才能 檢視 Microsoft Entra 健康情況監視訊號。
• 需要租使用者同時具有非試用版 Microsoft Entra P1 或 P2 授權 並且至少有 100 名每月活躍使用者，才能 檢視警示 和 接收警示通知。
• 報表讀取者角色是檢視案例監視訊號、警示和警示組態所需的最低特殊許可權角色。
• 技術服務人員系統管理員是更新警示和更新警示通知設定所需的最低特殊許可權角色。
• 需要 HealthMonitoringAlert.Read.All 許可權， 才能使用 Microsoft Graph API 來檢視警示。
• HealthMonitoringAlert.ReadWrite.All需要許可權，才能使用 Microsoft Graph API 來檢視和修改警示。
• 如需角色的完整清單，請參閱 依工作設定的最低許可權角色。

調查訊號和警示

調查警示的開頭是收集數據。 透過 Microsoft Entra 系統管理中心的 Microsoft Entra Health，您可以在單一位置檢視訊號和警示詳細數據。 您也可以使用 Microsoft Graph API 來檢視訊號和警示。 如需詳細資訊，請參閱 如何調查健康情況案例警示，以取得如何使用 Microsoft Graph API 收集數據的指引。

1. 登入 Microsoft Entra 系統管理中心， 以報表讀取者 的身份登入，至少為。

2. 瀏覽至 [身分識別>監控與健康>健康]。 頁面會開啟到服務等級協定（SLA）達成率頁面。

3. 選擇 [健康監控] 標籤。

4. 選取需要 Entra ID MFA 案例的 登入，然後選取作用中的警示。

   

5. 檢視 檢視數據圖形 區段的訊號，以熟悉模式並識別異常狀況。

   

6. 檢查登入記錄。

   • 檢閱登入記錄詳細數據。
   • 尋找遭到封鎖而無法登入 的使用者，並 套用需要 MFA 的條件式存取原則。

7. 檢查稽核記錄中是否有最近的原則變更。

   • 使用稽核記錄來針對條件式存取原則變更進行疑難解答。

減輕常見問題

下列常見問題可能會導致 MFA 登入尖峰。這份清單並不詳盡，但會提供您調查的起點。

應用程式設定問題

需要 MFA 的登入增加可能表示原則變更或新功能推出可能會觸發大量用戶同時登入。

若要調查：

1. 從所選案例的 [受影響的實體] 區段中，選取 [檢視] 應用程式。

   • 受影響的應用程式清單會出現在面板中。 選取應用程式以直接瀏覽至應用程式的詳細資料，您可以在其中檢視稽核記錄和其他詳細數據。
   • 使用 Microsoft Graph API，請在影響摘要中尋找「應用程式」resourceType。

2. 檢閱應用程式的稽核記錄。

   • 判斷應用程式是否最近新增或重新設定，這可能會觸發大量使用者登入。

3. 檢查登入記錄。

   • 使用 Application 資料行來篩選相同的應用程式或日期範圍，以尋找任何其他模式。

使用者驗證問題

需要 MFA 的登入增加可能表示暴力密碼破解攻擊，其中對用戶帳戶進行多次未經授權的登入嘗試。

若要調查：

1. 從所選情境的 [受影響的實體] 區段中，選取 [使用者檢視]。

   • 受影響的使用者清單會出現在面板中。 選取使用者以直接流覽至其設定檔，您可以在其中檢視其登入活動和其他詳細數據。
   • 使用 Microsoft Graph API，在影響摘要中尋找「使用者」resourceType 和 impactedCount 值。

2. 檢查登入記錄。

   • 在登入記錄中使用下列篩選：
     • 狀態：失敗
     • 驗證需求：多重要素驗證
     • 調整日期以符合影響摘要中所指出的時間範圍。
   • 失敗的登入嘗試是否來自相同的IP位址？
   • 來自相同用戶的失敗登入嘗試嗎？
   • 執行登入診斷，以排除標準使用者錯誤問題或初始 MFA 設定問題。

網路問題

可能會發生區域性系統中斷，需要大量用戶同時登入。

若要調查：

1. 從所選情境的 [受影響的實體] 區段中，選取 [使用者檢視]。

   • 受影響的使用者清單會出現在面板中。 選取使用者以直接流覽至其設定檔，您可以在其中檢視其登入活動和其他詳細數據。
   • 使用 Microsoft Graph API，在影響摘要中尋找「使用者」resourceType 和 impactedCount 值。

2. 檢查您的系統和網路健康情況，以查看中斷或更新是否符合與異常相同的時間範圍。

3. 檢閱登入記錄。

   • 調整您的篩選，以顯示來自受影響使用者所在區域的登入。

4. 如果您的組織使用全域安全存取，請檢閱 流量記錄。

相關內容

• 為所有用戶設定 MFA 的條件式存取
• 針對常見的登入錯誤進行疑難解答
• 了解條件式存取和 Intune