Övervaka och felsöka utvärdering av kontinuerlig åtkomst

Administratörer kan övervaka och felsöka inloggningshändelser där utvärdering av kontinuerlig åtkomst (CAE) tillämpas på flera sätt.

Inloggningsrapportering för utvärdering av kontinuerlig åtkomst

Administratörer kan övervaka användarinloggningar där utvärdering av kontinuerlig åtkomst (CAE) tillämpas. Den här informationen finns i inloggningsloggarna för Microsoft Entra:

  1. Logga in på administrationscentret för Microsoft Entra som minst en säkerhetsläsare.
  2. Bläddra till Loggar för identitetsövervakning>och hälsoinloggning.>
  3. Använd filtret Är CAE-token.

Skärmbild som visar hur du lägger till ett filter i inloggningsloggen för att se var CAE tillämpas eller inte.

Härifrån får administratörer information om användarens inloggningshändelser. Välj valfri inloggning för att se information om sessionen, till exempel vilka principer för villkorsstyrd åtkomst som tillämpas och om CAE är aktiverat.

Det finns flera inloggningsbegäranden för varje autentisering. Vissa finns på den interaktiva fliken, medan andra är på den icke-interaktiva fliken. CAE markeras bara som sant för en av de begäranden som den kan vara på den interaktiva fliken eller på en icke-interaktiv flik. Administratörer måste kontrollera båda flikarna för att bekräfta om användarens autentisering är CAE-aktiverad eller inte.

Söka efter specifika inloggningsförsök

Inloggningsloggar innehåller information om lyckade och misslyckade händelser. Använd filter för att begränsa sökningen. Om en användare till exempel har loggat in på Teams använder du programfiltret och ställer in det på Teams. Administratörer kan behöva kontrollera inloggningarna från både interaktiva och icke-interaktiva flikar för att hitta den specifika inloggningen. Administratörer kan använda flera filter för att begränsa sökningen ytterligare.

Arbetsböcker för utvärdering av kontinuerlig åtkomst

Med arbetsboken för utvärderingsinsikter för kontinuerlig åtkomst kan administratörer visa och övervaka CAE-användningsinsikter för sina klienter. Tabellen visar autentiseringsförsök med IP-matchningar. Den här arbetsboken finns som mall under kategorin Villkorsstyrd åtkomst.

Åtkomst till CAE-arbetsboksmallen

Log Analytics-integreringen måste slutföras innan arbetsböcker visas. Mer information om hur du strömmar Inloggningsloggar för Microsoft Entra till en Log Analytics-arbetsyta finns i artikeln Integrera Microsoft Entra-loggar med Azure Monitor-loggar.

  1. Logga in på administrationscentret för Microsoft Entra som minst en säkerhetsläsare.
  2. Bläddra till Identitetsövervakning>och hälsoarbetsböcker.>
  3. Under Offentliga mallar söker du efter insikter om utvärdering av kontinuerlig åtkomst.

Arbetsboken För utvärdering av kontinuerlig åtkomst innehåller följande tabell:

Potentiell IP-adressmatchning mellan Microsoft Entra-ID och resursprovider

Den potentiella IP-adressmatchningen mellan microsoft entra-ID och resursprovidertabellen gör att administratörer kan undersöka sessioner där IP-adressen som identifieras av Microsoft Entra-ID inte matchar den IP-adress som identifierats av resursprovidern.

Den här arbetsbokstabellen belyser dessa scenarier genom att visa respektive IP-adresser och om en CAE-token utfärdades under sessionen.

Insikter om utvärdering av kontinuerlig åtkomst per inloggning

Insikter för utvärdering av kontinuerlig åtkomst per inloggningssida i arbetsboken ansluter flera begäranden från inloggningsloggarna och visar en enda begäran där en CAE-token utfärdades.

Den här arbetsboken kan vara praktisk, till exempel när: En användare öppnar Outlook på skrivbordet och försöker komma åt resurser i Exchange Online. Den här inloggningsåtgärden kan mappas till flera interaktiva och icke-interaktiva inloggningsbegäranden i loggarna, vilket gör det svårt att diagnostisera problem.

Konfigurera IP-adress

Din identitetsprovider och resursprovider kan se olika IP-adresser. Det här matchningsfelet kan inträffa på grund av följande exempel:

  • Nätverket implementerar delade tunnlar.
  • Din resursprovider använder en IPv6-adress och Microsoft Entra-ID använder en IPv4-adress.
  • På grund av nätverkskonfigurationer ser Microsoft Entra-ID en IP-adress från klienten och resursprovidern ser en annan IP-adress än klienten.

Om det här scenariot finns i din miljö, för att undvika oändliga loopar, utfärdar Microsoft Entra-ID en CAE-token på en timme och framtvingar inte ändring av klientplats under den perioden på en timme. Även i det här fallet förbättras säkerheten jämfört med traditionella entimmestoken eftersom vi fortfarande utvärderar de andra händelserna förutom händelser för ändring av klientplats.

Administratörer kan visa poster filtrerade efter tidsintervall och program. Administratörer kan jämföra antalet felmatchade IP-adresser som identifierats med det totala antalet inloggningar under en angiven tidsperiod.

För att avblockera användare kan administratörer lägga till specifika IP-adresser till en betrodd namngiven plats.

  1. Logga in på Microsoft Entra admincenter som administratör för villkorsstyrd åtkomst.
  2. Bläddra till Skydd>Villkorlig åtkomst>Namngivna platser. Här kan du skapa eller uppdatera betrodda IP-platser.

Kommentar

Innan du lägger till en IP-adress som en betrodd namngiven plats kontrollerar du att IP-adressen faktiskt tillhör den avsedda organisationen.

Mer information om namngivna platser finns i artikeln Använda platsvillkoret.