Microsoft Entra Health 运行状况监控提供了一组租户级别的运行状况指标,您可以监控,并在检测到潜在问题或故障条件时收到警报。 有多个健康监测场景可以被监控,包括条件访问阻止策略。 若要详细了解 Microsoft Entra Health 的工作原理,请参阅:
本文介绍与条件访问阻止策略相关的运行状况指标,例如,它意外阻止用户访问资源或策略未按预期工作。
重要
Microsoft Entra Health 场景监控和警报目前处于预览阶段。 此信息与可能在发布前进行实质性修改的预发行版产品相关。 Microsoft 不对此处提供的信息作任何明示或默示的担保。
先决条件
查看健康监控信号以及配置和接收警报需要不同的角色、权限和许可证要求。 我们建议使用具有最低访问权限的角色,以符合零信任指导。
- 租户需要具有 Microsoft Entra P1 或 P2 许可证才能查看 Microsoft Entra 健康场景监控信号。
- 拥有Microsoft Entra P1 或 P2 许可证和至少 100 名月活跃用户的租户需要查看警报和接收警报通知。
- 报告读取者角色是查看应用场景监视信号、警报和警报配置所需的最低特权角色。
- 支持管理员是更新警报和更新警报通知配置所需的最低特权角色。
- 条件访问管理员角色是查看和修改条件访问策略所必需的。
- 需要
HealthMonitoringAlert.Read.All权限才能使用 Microsoft Graph API 查看警报。 - 需要
HealthMonitoringAlert.ReadWrite.All权限才能使用 Microsoft Graph API 查看并修改警报。 - 有关角色的完整列表,请参阅按任务列出的最低特权角色。
调查警报和信号
调查警报从收集数据开始。 使用 Microsoft Entra 管理中心中的 Microsoft Entra Health,可以在一个位置查看信号和警报详细信息。 还可以使用Microsoft图形 API 查看信号和警报。 有关详细信息,请参阅 如何调查健康场景警报 ,以获取如何使用 Microsoft Graph API 收集数据的指导。
至少以报告读取者身份登录到 Microsoft Entra 管理中心。
浏览到 标识>监控与健康状况>健康状况。 该页将打开“服务级别协议”(SLA)成就页。
选择“运行状况监视”选项卡。
选择 条件访问阻止策略 方案,然后选择活动警报。
查看 “查看数据图 ”部分中的信号,以熟悉模式并识别异常。
调查常见的条件访问问题。
查看登录日志。
- 查看登录日志详细信息。
- 查找“条件访问”状态为“失败”的登录。
检查审核日志,了解最近的策略更改。
了解信号
条件访问阻止策略的 Microsoft Entra Health 信号可能会触发警报,前提是由于条件访问策略阻止访问资源的用户数出现峰值或下降。
- 峰值可能意味着已启用新策略,或者修改现有策略以面向更广泛的用户和资源集。
- 下降可能意味着策略已禁用或修改,以面向较小的用户和资源集。
这些更改可能是有意或无意的。
- 如果更改是有意的,则不需要执行其他操作。
- 如果更改无意中,则应在审核日志中查看修改的条件访问策略。
缓解常见问题
以下常见问题可能导致条件访问阻止策略警报触发警报。 此列表并不详尽,但提供了调查的起点。
许多用户收到“无法从此处到达”消息
如果在登录期间出现“无法访问此处”错误消息的次数增加,条件访问块警报可能会触发。 如果用户尝试访问的应用程序只能从满足组织的移动设备管理策略的设备或客户端应用程序访问,则会出现此消息。
- 接收此警报的大量用户激增可能表示对组织的移动设备管理策略的更改。
- 少数用户的峰值可能表示其特定设备存在问题。
若要调查,请执行以下操作:
转到所选方案的 “受影响的实体 ”部分,并为用户选择“ 视图 ”。
- 如果此问题影响大量用户,则可能需要解决的移动设备管理策略发生更改。
- 如果问题影响几个用户,则它可能与其特定设备相关。 他们可能需要将设备加入组织的网络。 选择一个用户以直接导航到他们的个人资料。
若要修正影响大量用户的问题,请执行以下步骤:
查看审核日志,查看对条件访问策略所做的更改。
- 筛选为 类别:策略 并查找以下事件:
- 添加条件访问策略
- 删除条件访问策略
- 更新条件访问策略
- 还可以使用以下 Microsoft Graph API 查询:
- 获取
https://microsoftgraph.chinacloudapi.cn/beta/auditLogs/directoryAudits?$filter=loggedByService eq 'Conditional Access' - 获取
https://microsoftgraph.chinacloudapi.cn/beta/auditLogs/directoryAudits?$filter=loggedByService eq 'Conditional Access' and operationType eq 'Update' - 获取
https://microsoftgraph.chinacloudapi.cn/beta/auditLogs/directoryAudits?$filter=loggedByService eq 'Conditional Access' and operationType eq ‘Add’ - 获取
https://microsoftgraph.chinacloudapi.cn/beta/auditLogs/directoryAudits?$filter=loggedByService eq 'Conditional Access' and operationType eq 'Delete' - 获取
https://microsoftgraph.chinacloudapi.cn/beta/auditLogs/directoryAudits?$filter=loggedByService eq 'Conditional Access' and activityDateTime ge 2024-12-04T22:03:57.2013763Z
- 获取
- 筛选为 类别:策略 并查找以下事件:
查看移动设备管理策略,确保正确配置它们。 以 Intune 管理员身份登录到 Microsoft Intune 管理中心,并浏览到设备>配置以查看策略。
若要修正影响特定用户的问题:
- 将他们的工作设备连接到组织的网络。
- 将个人设备注册到组织的网络。