身份验证提示分析工作簿

作为 IT 专业人员,你需要有关环境中身份验证提示的正确信息,以便能够检测到意外提示并进一步进行调查。 身份验证提示分析工作簿旨在为你提供此类信息。

先决条件

若要将 Azure 工作簿用于 Microsoft Entra ID,需要:

  • 使用 Premium P1 许可证的 Microsoft Entra 租户
  • 一个 Log Analytics 工作区和对该工作区的访问权限
  • Azure Monitor 和 Microsoft Entra ID 的相应角色

Log Analytics 工作区

必须先创建 Log Analytics 工作区,然后才能使用 Microsoft Entra 工作簿。 有多个因素决定对 Log Analytics 工作区的访问。 需要为工作区和发送数据的资源提供适当的角色。

有关详细信息,请参阅管理对 Log Analytics 工作区的访问权限

Azure Monitor 角色

Azure Monitor 提供两个内置角色,用于查看监视数据和编辑监视设置。 Azure 基于角色的访问控制 (RBAC) 还提供两个授予类似访问权限的 Log Analytics 内置角色。

  • 视图

    • 监视查阅者
    • Log Analytics 读者
  • 查看和修改设置

    • 监视参与者
    • Log Analytics 参与者

Microsoft Entra 角色

只读访问权限允许查看工作簿内的 Microsoft Entra ID 日志数据、从 Log Analytics 查询数据或在 Microsoft Entra 管理中心读取日志。 更新访问权限增加了创建和编辑诊断设置的功能,以便将 Microsoft Entra 数据发送到 Log Analytics 工作区。

  • “读取”

    • 报告读者
    • 安全读取者
    • 全局读取者
  • 更新

    • 安全管理员

有关 Microsoft Entra 内置角色的详细信息,请参阅 Microsoft Entra 内置角色

有关 Log Analytics RBAC 角色的详细信息,请参阅 Azure 内置角色

说明

工作簿类别

你最近是否听说过用户收到太多身份验证提示的投诉?

过度提示用户可能会影响用户的工作效率,并经常导致用户因 MFA 遭到网络钓鱼。 需要明确的是,MFA 是必不可少的! 我们不是在谈论是否需要 MFA,而是应该多久提示一次用户

通常,这种情况是由以下原因引起的:

  • 应用程序配置不正确
  • 过度激进的提示策略
  • 网络攻击

身份验证提示分析工作簿标识各种类型的身份验证提示。 这些类型基于不同的透视,包括用户、应用程序、操作系统、进程等。

可以在以下情况下使用此工作簿:

  • 收到了关于提示太多的聚合反馈。
  • 检测归因于一种特定身份验证方法、策略应用程序或设备的过度提示。
  • 查看高配置文件用户的身份验证提示数。
  • 跟踪旧版 TLS 和其他身份验证过程的详细信息。

如何访问工作簿

  1. 使用适当的角色组合登录到 Microsoft Entra 管理中心

  2. 浏览到“标识”>“监视和运行状况”>“工作簿”。

  3. “使用情况”部分选择“身份验证提示分析”工作簿。

工作簿的各个部分

此工作簿按以下各项细分身份验证提示:

  • 方法
  • 设备状态
  • 应用程序
  • 用户
  • 状态
  • 操作系统
  • 进程详细信息
  • 策略

身份验证方法发出的身份验证提示

在许多环境中,最常用的应用是业务生产力应用。 任何意料之外的事都应进行调查。 下面的图表按应用程序显示身份验证提示。

应用程序发出的身份验证提示

按应用程序显示的提示列表视图会显示时间戳和请求 ID 等有助于进行调查的其他信息。

此外,你还可以获得租户的平均提示数和中值提示数的摘要。

提示百分比(按应用程序)

此工作簿还有助于跟踪可改进用户体验的有效方法,并减少提示和相对百分比。

有关如何减少提示的建议

筛选器

利用筛选器来获取更精细的数据视图:

筛选器

通过筛选具有多个身份验证请求的特定用户或仅显示出现登录失败的应用程序,也可发现值得注意的事项并继续进行修正。

最佳做法

  • 如果数据未显示或显示的数据似乎不正确,请确认已在相应的资源上设置了“Log Analytics 工作区”和“订阅”。

    设置工作区和订阅

  • 如果视觉对象加载时间过长,请尝试将时间筛选器减少到 24 小时或更短。

    设置筛选器