Microsoft Entra Health 监视提供了一组租户级运行状况指标,可以监视这些指标,以帮助改善租户的运行状况。 安全断言标记语言(SAML)身份验证方案监视 SAML 2.0 身份验证尝试,即租户的 Microsoft Entra 云服务已成功处理。
- 将 SAML 2.0 标识提供者 (IdP) 用于单一登录
- 此指标当前不包括与 Microsoft Entra ID 集成的 WS-FED/SAML 1.1 应用。
- 此场景无法提供警报。
重要
Microsoft Entra Health 场景监视和警报目前处于预览阶段。 此信息与可能在发布前进行实质性修改的预发行版产品相关。 Microsoft 不对此处提供的信息作任何明示或默示的担保。
先决条件
查看健康监控信号以及配置和接收警报需要不同的角色、权限和许可证要求。 我们建议使用具有最低访问权限的角色,以符合零信任指导。
- 需要具有 Microsoft Entra P1 或 P2 许可证 的租户才能查看Microsoft Entra 运行状况方案监视信号。
- 报表读取者角色是查看方案监视信号所需的最低特权角色。
- 需要
HealthMonitoringAlert.Read.All权限才能使用 Microsoft Graph API 查看警报。 - 有关角色的完整列表,请参阅按任务列出的最低特权角色。
调查信号和警报
调查警报从收集数据开始。 使用 Microsoft Entra 管理中心中的 Microsoft Entra Health,可以在一个位置查看信号和警报详细信息。 还可以使用Microsoft图形 API 查看信号和警报。 有关详细信息,请参阅 如何调查运行状况方案警报 ,以获取有关如何使用 Microsoft 图形 API 收集数据的指导。
至少以报告读取者身份登录到 Microsoft Entra 管理中心。
浏览到 Entra ID>监视和健康>健康。 该页将打开“服务级别协议”(SLA)成就页。
选择“运行状况监视”选项卡。
使用 SAML 身份验证方案选择应用程序的登录,然后从打开的页面中选择活动警报。
查看 “查看数据图 ”部分中的信号,以熟悉模式并识别异常。
查看登录日志。
- 查看登录日志详细信息。
- 在 Microsoft Entra 管理中心,可能需要添加 身份验证协议 列,然后筛选 SAML 2.0 登录以查找登录中的模式。
缓解常见问题
以下常见问题可能导致使用 SAML 身份验证的应用程序的登录次数激增或减少。 通常,如果在未正确配置 SAML 身份验证的情况下推出新应用程序,则会触发此警报。 此列表并不详尽,但提供了调查的起点。
应用程序缺少签名证书
SAML 登录的减少可能表示用户被阻止,因为应用程序缺少签名证书。 应用程序对象被视为已损坏,用户无法登录到应用程序。
进行调查:
- 从所选方案的 “受影响的实体 ”部分,为应用程序选择 “视图 ”。
- 受影响的应用程序列表将显示在面板中。 选择应用程序以直接进入应用程序注册详细信息。
- 检查应用程序的 “证书和机密 ”部分,确保签名证书存在且有效。
- 如果签名证书缺失或已过期,则需要使用有效的证书对其进行更新。
- 浏览到企业应用程序>单一登录,然后选择“SAML 证书”磁贴中的“编辑”以更新证书。
- 更新证书并验证配置后,请删除不再需要的任何旧证书。
回复 URL 缺失或不正确
SAML 登录次数减少也可能指示 SAML 回复 URL 缺失或不正确。 登录尝试被阻止,因为Microsoft不知道在何处发送登录响应。
进行调查:
- 从所选方案的 “受影响的实体 ”部分,为应用程序选择 “视图 ”。
- 受影响的应用程序列表将显示在面板中。 选择应用程序以直接导航到其注册详细信息。
- 从 企业应用程序>单一登录 后查看 基本 SAML 配置 磁贴,并确保正确配置了 回复 URL。
- 如果回复 URL 缺失或不正确,则需要使用正确的 URL 对其进行更新。
应用程序访问配置错误
SAML 登录的下降可能意味着应用程序的访问权限配置不正确,从而阻止用户登录。 此下降可能会影响少量用户或大群体,具体视用户或应用程序是否缺少正确的权限而定。
如果登录次数下降影响少数用户:
- 从所选方案的 “受影响的实体 ”部分,为用户选择 “视图 ”。
- 选择一个用户以直接进入其个人资料,在那里您可以查看其组成员身份和角色权限。
如果登录数量的下降影响大量用户:
- 从所选方案的 “受影响的实体 ”部分,为任何受影响的应用程序选择 “查看” 链接。
- 确认适当的登录配置和应用权限已到位。
- 查看可能阻止对应用程序访问的任何条件访问策略。