Мониторинг и устранение неполадок непрерывной оценки доступа

Администраторы могут различными способами отслеживать события входа с примененной непрерывной оценкой доступа (CAE) и устранять проблемы с ними.

Отчеты о событиях входа с непрерывной оценкой доступа

Администратор istrators могут отслеживать входы пользователей, где применяется оценка непрерывного доступа (CAE). Эти сведения находятся в журналах входа Microsoft Entra:

  1. Войдите в Центр администрирования Microsoft Entra как минимум средство чтения безопасности.
  2. Перейдите к журналам мониторинга удостоверений и работоспособности>>входа.
  3. Примените фильтр Является маркером CAE.

Снимок экрана, показывающий, как добавить фильтр в журнал входа, чтобы узнать, где применяется ЦС.

Отсюда администраторы получают сведения о событиях входа пользователя. Выберите любой вход, чтобы просмотреть сведения о сеансе, например о том, какие политики условного доступа применены и включены ли ЦС.

Для каждой проверки подлинности существует несколько запросов на вход. Некоторые находятся на интерактивной вкладке, в то время как другие находятся на неинтерактивной вкладке. CAE помечается только для одного из запросов, которые могут быть на интерактивной вкладке или неинтерактивной вкладке. Администратор должны проверка обе вкладки, чтобы убедиться, включена ли проверка подлинности пользователя.

Поиск конкретных попыток входа

Журналы входа содержат сведения о событиях успешности и сбоях. Используйте фильтры для сужения результатов поиска. Например, если пользователь вошел в Teams, используйте фильтр приложений и задайте для него значение Teams. Администратор может потребоваться проверка вход на интерактивных и неинтерактивных вкладках, чтобы найти конкретный вход. Чтобы сузить поиск, администраторы могут применить несколько фильтров.

Книги непрерывной оценки доступа

Книга аналитики непрерывной оценки доступа позволяет администраторам просматривать и отслеживать аналитику использования непрерывной оценки доступа для арендаторов. В таблице отображаются попытки аутентификации с несоответствием IP-адресов. Эту книгу можно найти в виде шаблона в категории "Условный доступ".

Доступ к шаблону книги непрерывной оценки доступа

Перед отображением книг необходимо завершить интеграцию с Log Analytics. Дополнительные сведения о том, как передавать журналы входа Microsoft Entra в рабочую область Log Analytics, см. в статье "Интеграция журналов Microsoft Entra с журналами Azure Monitor".

  1. Войдите в Центр администрирования Microsoft Entra как минимум средство чтения безопасности.
  2. Перейдите к книгам мониторинга и работоспособности>удостоверений>.
  3. В разделе Общедоступные шаблоны выполните поиск по строке Аналитика непрерывной оценки доступа.

Книга аналитики непрерывной оценки доступа содержит следующую таблицу:

Потенциальное несоответствие IP-адресов между идентификатором Microsoft Entra и поставщиком ресурсов

Потенциальное несоответствие IP-адресов между таблицей поставщика ресурсов и идентификатором Microsoft Entra позволяет администраторам исследовать сеансы, в которых IP-адрес, обнаруженный идентификатором Microsoft Entra, не совпадает с IP-адресом, обнаруженным поставщиком ресурсов.

Эта таблица книги упрощает изучение таких сценариев, отображая соответствующие IP-адреса и сведения о том, был ли выдан маркер непрерывной проверки доступа во время сеанса.

Аналитика непрерывной оценки доступа по событиям входа

Страница аналитики непрерывной оценки доступа по событиям входа в книге подключает несколько запросов из журналов входа и отображает один запрос, в котором был выдан маркер CAE.

Эта книга может пригодиться, например, если пользователь открывает Outlook на рабочем столе и пытается получить доступ к ресурсам внутри Exchange Online. Это действие входа может сопоставляться с несколькими интерактивными и неинтерактивными запросами на вход в журналы, что затрудняет диагностику проблем.

Конфигурация IP-адресов

Поставщик удостоверений и поставщики ресурсов могут видеть разные IP-адреса. Это несоответствие может произойти из-за следующих примеров:

  • в вашей сети реализовано раздельное туннелирование;
  • Поставщик ресурсов использует IPv6-адрес и идентификатор Microsoft Entra использует IPv4-адрес.
  • Из-за конфигураций сети идентификатор Microsoft Entra видит один IP-адрес от клиента, а поставщик ресурсов видит другой IP-адрес от клиента.

Если этот сценарий существует в вашей среде, чтобы избежать бесконечных циклов, идентификатор Microsoft Entra id выдает маркер ЦС за один час и не применяет изменение расположения клиента в течение этого часа. Даже в этом случае уровень безопасности повышается по сравнению с традиционными часовыми маркерами, так как мы все еще оцениваем и другие события (помимо событий изменения расположения клиента).

Администраторы могут просматривать записи, отфильтрованные по диапазону времени и приложению. Администраторы могут сравнить количество обнаруженных несовпадающих IP-адресов с общим количеством событий входа за указанный период времени.

Чтобы разблокировать пользователей, администраторы могут добавить определенные IP-адреса к доверенному именованному расположению.

  1. Войдите в Центр администрирования Microsoft Entra в качестве администратора условного доступа.
  2. Перейдите к именованным расположениям условного доступа>защиты>. Здесь можно создать или обновить доверенные расположения IP-адресов.

Примечание.

Перед добавлением IP-адреса в качестве доверенного именованного расположения убедитесь, что IP-адрес действительно принадлежит соответствующей организации.

Дополнительные сведения об именованных расположениях см. в статье "Использование условия расположения".