通过

如何调查需要合规或受管理设备的登录警报

  • 项目

Microsoft Entra Health 监控可提供一组租户级健康指标,以供您监测,并在检测到潜在问题或故障状况时发出警报。 可以监视多个健康场景,包括与设备相关的两种情况:

  • 需要条件访问合规设备的登录
  • 需要使用受条件访问管理的设备进行登录

本文介绍与合规和受管理设备相关的运行状况指标,以及如何排查收到警报时发生的潜在问题。 有关如何与运行状况监视方案交互以及如何调查所有警报的详细信息,请参阅 如何调查运行状况方案警报

重要

Microsoft Entra Health 场景监控和警报目前处于预览阶段。 此信息与可能在发布前进行实质性修改的预发行版产品相关。 Microsoft 不对此处提供的信息作任何明示或默示的担保。

先决条件

查看健康监控信号以及配置和接收警报需要不同的角色、权限和许可证要求。 我们建议使用具有最低访问权限的角色,以符合零信任指导

  • 若要查看 Microsoft Entra 运行状况方案监视信号,一个具有 Microsoft Entra P1 或 P2 许可证的租户是必需的。
  • 要查看警报和接收警报通知,租户需要同时拥有非试用版Microsoft Entra P1 或 P2 许可证,以及至少 100 位月活跃用户
  • 报告读取者角色是查看应用场景监视信号、警报和警报配置所需的最低特权角色。
  • 支持管理员是更新警报和更新警报通知配置所需的最低特权角色。
  • 需要 HealthMonitoringAlert.Read.All 权限才能使用 Microsoft Graph API 查看警报。
  • 需要 HealthMonitoringAlert.ReadWrite.All 权限才能使用 Microsoft Graph API 查看并修改警报。
  • 有关角色的完整列表,请参阅按任务列出的最低特权角色

调查信号和警报

调查警报从收集数据开始。 使用 Microsoft Entra 管理中心中的 Microsoft Entra Health,可以在一个位置查看信号和警报详细信息。 还可以使用Microsoft图形 API 查看信号和警报。 有关详细信息,请参阅 如何调查健康场景警报,以便获得关于如何使用 Microsoft Graph API 收集数据的指导。

  1. 至少以报告读取者的身份登录到 Microsoft Entra 管理中心

  2. 浏览到“标识”>“监视和运行状况”>“运行状况”。 该页将打开“服务级别协议”(SLA)成就页。

  3. 选择“运行状况监视”选项卡。

  4. 选择要求使用合规设备登录要求使用托管设备登录场景,然后选择活动警报。

    Microsoft Entra Health 主页的屏幕截图。

  5. 查看 “查看数据图” 部分中的信号,以熟悉模式并识别异常。

    需要托管设备信号的登录的屏幕截图。

  6. 查看 Intune 设备合规性策略。

  7. 调查常见的条件访问问题。

  8. 查看登录日志。

  9. 检查审核日志,了解最近的策略更改。

缓解常见问题

以下常见问题可能会导致需要合规或受管理设备的登录激增。 此列表并不详尽,但提供了调查的起点。

许多用户被阻止从已知设备登录

如果大量用户被阻止登录到已知设备,激增情况可能表明这些设备已不合规。 如果受影响的用户数表示组织用户的百分比较高,则可能是一个普遍的问题。

若要调查,请执行以下操作:

  1. 在所选方案的“受影响的实体”部分中,为用户选择“查看”

    • 受影响的用户示例将显示在面板中。 选择一个用户,直接进入他们的个人主页,在那里您可以查看他们的登录活动和其他相关信息。
    • 使用 Microsoft 图形 API,在影响摘要中查找“用户”resourceTypeimpactedCount 值。

    受影响实体的屏幕截图。

  2. 查看 Intune 设备合规性策略

  3. 检查条件访问设备合规性策略

用户被阻止从未知设备登录

如果阻止登录次数的增加来自未知设备,那么这一高峰可能表明攻击者已获取了用户的凭证,并正在尝试从用于攻击的设备中登录。 如果受影响的用户数显示一小部分用户,则问题可能是用户特定的。

若要调查,请执行以下操作:

  1. 在所选方案的“受影响的实体”部分中,为用户选择“查看”
    • 受影响的用户列表将显示在面板中。 选择一个用户,直接进入他们的个人主页,在那里您可以查看他们的登录活动和其他相关信息。
    • 使用 Microsoft 图形 API,在影响摘要中查找“用户”resourceTypeimpactedCount 值。
  2. 查看登录日志

网络问题

可能会发生区域系统中断,这要求大量用户同时登录。

若要调查,请执行以下操作:

  1. 在所选方案的“受影响的实体”部分中,为用户选择“查看”

    • 受影响的用户列表将显示在面板中。 选择一个用户,直接进入他们的个人主页,在那里您可以查看他们的登录活动和其他相关信息。
    • 使用 Microsoft 图形 API,在影响摘要中查找“用户”resourceTypeimpactedCount 值。

  2. 检查系统和网络运行状况,以查看中断或更新是否匹配与异常相同的时间范围。

  3. 查看登录日志

    • 调整筛选器以显示来自受影响用户所在区域的登录。

相关内容