驗證提示分析活頁簿
身為 IT 專業人士,您需要環境中有關驗證提示的正確資訊,以便偵測到非預期的提示並進一步調查。 提供您這種類型的資訊便是驗證提示分析活頁簿的目標。
必要條件
若要使用適用於 Microsoft Entra ID 的 Azure 活頁簿,您需要:
- 具有 Premium P1 授權的 Microsoft Entra 租用戶
- Log Analytics 工作區 和 對該工作區的存取權
- 適用於 Azure 監視器 和 Microsoft Entra ID 的適當角色
Log Analytics 工作區
您必須「先」建立 Log Analytics 工作區,才能使用 Microsoft Entra 活頁簿。 有數個因素決定對 Log Analytics 工作區的存取。 您需要工作區的正確角色 ,以及 傳送資料的資源。
如需詳細資訊,請參閱管理 Log Analytics 工作區的存取權。
Azure 監視器角色
Azure 監視器提供 兩個內建角色 檢視監視資料和編輯監視設定。 Azure 角色型存取控制 (RBAC) 也提供兩個授與類似存取權的 Log Analytics 內建角色。
檢視:
- 監視讀取器
- Log Analytics 讀者
檢視和修改設定:
- 監視參與者
- Log Analytics 參與者
Microsoft Entra 角色
唯讀存取權可讓您檢視活頁簿內的 Microsoft Entra ID 記錄資料、從 Log Analytics 查詢資料,或在 Microsoft Entra 系統管理中心讀取記錄。 更新存取權可新增建立和編輯診斷設定,以便將 Microsoft Entra 資料傳送至 Log Analytics 工作區。
讀取:
- 報告讀取者
- 安全性讀取者
- 全域讀取者
更新:
- 安全性系統管理員
如需 Microsoft Entra 內建角色的詳細資訊,請參閱 Microsoft Entra 內建角色。
如需 Log Analytics RBAC 角色的詳細資訊,請參閱 Azure 內建角色。
描述
您最近是否曾聽到使用者抱怨收到太多驗證提示?
過度提示使用者可能會影響使用者的生產力,而且通常會造成使用者遭受 MFA 的誘騙。 為了清楚明瞭,MFA 很重要! 我們不會討論您是否應該要求 MFA,而會討論您應該提示使用者的頻率。
一般而言,此案例是由下列原因所造成:
- 應用程式設定錯誤
- 過度積極提示原則
- 網路攻擊
驗證提示分析活頁簿會識別各種類型的驗證提示。 這些類型是以不同的樞紐為基礎,包括使用者、應用程式、作業系統、流程等等。
您可以在下列案例中使用此活頁簿:
- 收到了提示太多的彙總意見反應。
- 偵測到針對特定驗證方法、原則應用程式或裝置上,提示過多的情況。
- 檢視高設定檔使用者的驗證提示計數。
- 追蹤舊版 TLS 和其他驗證流程詳細資料。
如何存取活頁簿
使用適當的角色組合,登入 Microsoft Entra 系統管理中心。
瀏覽至 [身分識別] > [監視和健康狀況] > [活頁簿]。
從 [使用方式] 區段選取 [驗證提示分析活頁簿]。
活頁簿區段
此活頁簿會依下列方式細分驗證提示:
- 方法
- 裝置狀態
- 申請
- 使用者
- 狀態
- 作業系統
- 流程詳細資料
- 原則
在許多環境中,最常使用的應用程式是商務生產力應用程式。 應該調查任何非預期的情況。 下列圖表顯示應用程式的驗證提示。
應用程式清單檢視的提示會顯示其他資訊,例如時間戳記,以及協助調查的要求識別碼。
此外,您會取得租用戶的平均和中位數提示計數有關的摘要。
此活頁簿也有助於追蹤具有影響力的方式,藉以改善使用者體驗,並減少提示和相對百分比。
篩選
利用篩選條件以取得更細微的資料檢視:
篩選有許多驗證要求的特定使用者,或只顯示登入失敗的應用程式,也可能找出有意義的結果可以繼續補救。
最佳作法
如果資料未顯示或似乎未正確顯示,請確認您已在適當的資源上設定 Log Analytics 工作區和訂閱。
如果視覺效果花費太多時間載入,請嘗試將 [時間] 篩選條件縮減為 24 小時或更少。
若要深入瞭解影響 MFA 提示的不同原則,請參閱最佳化重新驗證提示,並了解 Microsoft Entra Multi-Factor Authentication 的工作階段存留期。
若要瞭解如何將使用者從電信型方法移至 Authenticator 應用程式,請參閱如何執行註冊活動以設定 Microsoft Authenticator - Microsoft Authenticator 應用程式。