如何調查需要多重要素驗證的登入

Microsoft Entra Health 監視提供一組租用戶層級健康情況計量，您可以在偵測到潛在問題或失敗狀況時監視和警示。 可以監視多個健康情況案例，包括多重要素驗證 （MFA）。

此案例：

• 匯總使用 Microsoft Entra 雲端 MFA 服務成功完成 MFA 登入的用戶數目。
• 使用 MFA 擷取互動式登錄，並匯總成功和失敗。
• 當使用者重新整理會話而不完成互動式 MFA 或使用無密碼登入方法時排除。

本文說明這些健康情況計量，以及如何針對收到警示時的潛在問題進行疑難解答。

必要條件

有不同的角色、許可權和授權需求，可檢視健康情況監視訊號並設定和接收警示。 建議您使用具有最低權限存取權的角色，以符合零信任指導。

• 需要具有 Microsoft Entra P1 或 P2 授權 的租使用者，才能 檢視 Microsoft Entra 健康情況監視訊號。
• 需要同時擁有Microsoft Entra P1 或 P2 授權和至少 100 名每月作用中使用者的租使用者，才能檢視警示和接收警示通知。
• 報表讀取者角色是檢視案例監視訊號、警示和警示組態所需的最低特殊許可權角色。
• 技術服務人員系統管理員是更新警示和更新警示通知設定所需的最低特殊許可權角色。
• 需要 HealthMonitoringAlert.Read.All 許可權， 才能使用 Microsoft Graph API 來檢視警示。
• HealthMonitoringAlert.ReadWrite.All需要許可權，才能使用 Microsoft Graph API 來檢視和修改警示。
• 如需角色的完整清單，請參閱 依工作設定的最低許可權角色。

收集資料

調查警示的開頭是收集數據。

1. 收集訊號詳細數據和影響摘要。
   • 在 Microsoft Entra 系統管理中心檢視訊號，以熟悉模式並識別異常狀況。
   • 執行 List alerts API 來檢索租戶的所有警示。
   • 執行 取得警示 API 來擷取特定警示的詳細數據。
2. 檢查登入記錄。
   • 檢閱登入記錄詳細數據。
   • 尋找遭到封鎖而無法登入 的使用者，並 套用需要 MFA 的條件式存取原則。
3. 檢查稽核記錄中是否有最近的原則變更。
   • 使用稽核記錄來針對條件式存取原則變更進行疑難解答。

減輕常見問題

下列常見問題可能會導致 MFA 登入尖峰。這份清單並不詳盡，但會提供您調查的起點。

應用程式設定問題

需要 MFA 的登入增加可能表示原則變更或新功能推出可能會觸發大量用戶同時登入。

若要調查：

• 在影響摘要中，如果 resourceType 是 「應用程式」，而且只列出一兩個應用程式，請檢查稽核記錄中是否有列出的應用程式變更。
• 在稽核記錄中，使用 [ 目標] 資料行篩選應用程式，或從企業應用程式開啟稽核記錄，因此已設定篩選。
• 判斷應用程式是否最近新增或重新設定。
• 在登入記錄中，使用 [ 應用程式 ] 資料行來篩選相同的應用程式或日期範圍，以尋找任何其他模式。

使用者驗證問題

需要 MFA 的登入增加可能表示暴力密碼破解攻擊，其中對用戶帳戶進行多次未經授權的登入嘗試。

若要調查：

• 在影響摘要中，如果 resourceType 是 「使用者」，而 impactedCount 值會顯示一小部分的使用者，則問題可能是使用者特定的。
• 在登入記錄中使用下列篩選：
  • 狀態：失敗
  • 驗證需求：多重要素驗證
  • 調整日期以符合影響摘要中所指出的時間範圍。
• 失敗的登入嘗試是否來自相同的IP位址？
• 來自相同用戶的失敗登入嘗試嗎？
• 執行登入診斷，以排除標準使用者錯誤問題或初始 MFA 設定問題。

網路問題

可能會發生區域性系統中斷，需要大量用戶同時登入。

若要調查：

• 在影響摘要中，如果 resourceType 是 「使用者」，而 impactedCount 值會顯示您組織使用者的很大百分比，您可能會查看廣泛的分散問題。
• 檢查您的系統和網路健康情況，以查看中斷或更新是否符合與異常相同的時間範圍。

下一步

• 為所有用戶設定 MFA 的條件式存取
• 針對常見的登入錯誤進行疑難解答
• 了解條件式存取和 Intune