通过

如何调查需要Microsoft Entra 多重身份验证的登录

Microsoft Entra Health 监视提供了一组租户级运行状况指标,可以在检测到潜在问题或故障情况时提供监视和警报。 可以监视多个健康情境,其中包括 Microsoft Entra 多重身份验证(MFA)。

在此方案中:

  • 合并使用 Microsoft Entra 云 MFA 服务成功完成 MFA 登录的用户数。
  • 使用 Microsoft Entra MFA 记录交互式登录,汇总成功和失败的结果。
  • 如果用户在未完成交互式 MFA 或使用无密码登录方法的情况下刷新会话,则排除。

本文介绍这些运行状况指标,以及如何排查收到警报时发生的潜在问题。 有关如何与运行状况监视方案交互以及如何调查所有警报的详细信息,请参阅 如何调查运行状况方案警报

重要

Microsoft Entra Health 场景监控和警报目前处于预览阶段。 此信息与可能在发布前进行实质性修改的预发行版产品相关。 Microsoft 不对此处提供的信息作任何明示或默示的担保。

先决条件

查看运行状况监视信号以及配置和接收警报存在不同的角色、权限和许可证要求。 我们建议使用具有最低访问权限的角色,以符合零信任指导

  • 查看 Microsoft Entra 运行状况应用场景监视信号需要具有 Microsoft Entra P1 或 P2 许可证的租户。
  • 要查看警报和接收警报通知,租户需要同时拥有非试用版Microsoft Entra P1 或 P2 许可证,以及至少 100 位月活跃用户
  • 报告读取者角色是查看应用场景监视信号、警报和警报配置所需的最低特权角色。
  • 支持管理员是更新警报和更新警报通知配置所需的最低特权角色。
  • 需要 HealthMonitoringAlert.Read.All 权限才能使用 Microsoft Graph API 查看警报。
  • 需要 HealthMonitoringAlert.ReadWrite.All 权限才能使用 Microsoft Graph API 查看并修改警报。
  • 有关角色的完整列表,请参阅按任务列出的最低特权角色

调查信号和警报

调查警报从收集数据开始。 使用 Microsoft Entra 管理中心中的 Microsoft Entra Health,可以在一个位置查看信号和警报详细信息。 还可以使用Microsoft图形 API 查看信号和警报。 有关详细信息,请参阅 如何调查健康场景警报 ,以获取如何使用 Microsoft Graph API 收集数据的指导。

  1. 至少以报告读取者身份登录到 Microsoft Entra 管理中心

  2. 浏览到 Entra ID>监视和健康>健康。 该页将打开“服务级别协议”(SLA)成就页。

  3. 选择“运行状况监视”选项卡

  4. 选择 需要 Entra ID MFA 的登录场景,然后选择一个活动警报。

    Microsoft Entra Health 主页的屏幕截图。

  5. 查看 “查看数据图 ”部分中的信号,以熟悉模式并识别异常。

    需要 MFA 信号的登录的屏幕截图。

  6. 查看登录日志。

  7. 检查审核日志,了解最近的策略更改。

缓解常见问题

以下常见问题可能会导致 MFA 登录出现高峰。此列表并不详尽,但提供了调查的起点。

应用程序配置问题

需要 MFA 的登录增加可能表明策略更改或新功能推出可能会触发大量用户同时登录。

若要调查:

  1. 从所选方案的 “受影响的实体 ”部分,为应用程序选择 “视图 ”。

    • 受影响的应用程序列表将显示在面板中。 选择应用程序以直接导航到应用程序的详细信息,可在其中查看审核日志和其他详细信息。
    • 使用Microsoft图形 API,在影响摘要中查找“应用程序”。 resourceType

  2. 查看应用程序的审核日志。

    • 确定应用程序最近是否已添加或重新配置,这可能会触发大量用户登录。

  3. 查看登录日志。

    • 使用 “应用程序 ”列筛选同一应用程序或日期范围以查找任何其他模式。

用户身份验证问题

需要 MFA 的登录增加可能表示暴力攻击,其中对用户账户进行了多次未经授权的登录尝试。

若要调查:

  1. 从所选方案的“受影响实体”部分中,为用户选择“视图”

    • 受影响的用户列表将显示在面板中。 选择一个用户,直接进入他们的个人主页,在那里您可以查看他们的登录活动和其他相关信息。
    • 使用 Microsoft 图形 API,在影响摘要中查找“用户”resourceTypeimpactedCount 值。

  2. 查看登录日志。

    • 在登录日志中使用以下筛选器:
      • 状态:失败
      • 身份验证要求:多重身份验证
      • 调整日期以匹配影响摘要中指示的时间范围。
    • 失败的登录尝试是否来自同一 IP 地址?
    • 失败的登录尝试是否来自同一用户?
    • 运行登录诊断,以排除标准用户错误问题或初始 MFA 设置问题。

网络问题

可能会发生区域系统中断,这要求大量用户同时登录。

若要调查:

  1. 从所选方案的“受影响实体”部分中,为用户选择“视图”

    • 受影响的用户列表将显示在面板中。 选择一个用户,直接进入他们的个人主页,在那里您可以查看他们的登录活动和其他相关信息。
    • 使用 Microsoft 图形 API,在影响摘要中查找“用户”resourceTypeimpactedCount 值。

  2. 检查系统和网络运行状况,以查看中断或更新是否匹配与异常相同的时间范围。

  3. 查看登录日志

    • 调整筛选器以显示来自受影响用户所在区域的登录。

相关内容