Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Администраторы могут отслеживать и устранять неполадки в событиях входа, в которых непрерывной оценки доступа (CAE) применяется несколькими способами.
Отчеты об оценке непрерывного доступа и входов в систему
Администраторы могут отслеживать входы пользователей, где применяется оценка непрерывного доступа (CAE). Эти сведения находятся в журналах входа Microsoft Entra:
- Войдите в Центр администрирования Microsoft Entra по крайней мере с ролью чтения безопасности.
- Перейдите к Entra ID>Мониторинг и работоспособность>Журналы входов.
- Примените фильтр токена CAE.
Отсюда администраторы получают сведения о событиях входа пользователя. Выберите любой вход, чтобы просмотреть сведения о сеансе, например о том, какие политики условного доступа применены и включены ли ЦС.
Для каждой проверки подлинности существует несколько запросов на авторизацию. Некоторые находятся на интерактивной вкладке, а другие на неинтерактивной вкладке. CAE помечается как истинный только для одного из запросов, которые могут быть либо на интерактивной, либо на неинтерактивной вкладке. Администраторы должны проверить обе вкладки, чтобы убедиться, включена ли проверка подлинности пользователя с поддержкой CAE или нет.
Поиск конкретных попыток входа
Журналы входа показывают события успешности и сбоя. Используйте фильтры, чтобы сузить поиск. Например, если пользователь входит в Teams, примените фильтр приложений и установите его в Teams. Администраторам может потребоваться проверить вход на интерактивных и неинтерактивных вкладках, чтобы найти конкретный вход. Чтобы сузить поиск, администраторы могут применить несколько фильтров.
Инструменты для оценки непрерывного доступа
Книга аналитики непрерывного доступа позволяет администраторам просматривать и отслеживать аналитические сведения об использовании ЦС для своих клиентов. В таблице показаны попытки проверки подлинности с несоответствием IP-адресов. Эта книга доступна в качестве шаблона в категории условного доступа.
Получение доступа к шаблону рабочего журнала CAE
Прежде чем будут показаны книги, необходимо выполнить интеграцию Log Analytics. Сведения о том, как передавать журналы входа Microsoft Entra в рабочую область Log Analytics, см. в статье "Интеграция журналов Microsoft Entra с журналами Azure Monitor".
- Войдите в Центр администрирования Microsoft Entra по крайней мере с ролью чтения безопасности.
- Перейдите к Entra ID>мониторинг и работоспособность>рабочие книги.
- В разделе "Общедоступные шаблоны" найдите аналитические сведения об оценке непрерывного доступа.
Книга аналитики непрерывного доступа содержит следующую таблицу:
Потенциальное несоответствие IP-адресов между идентификатором Microsoft Entra и поставщиком ресурсов
Потенциальное несоответствие IP-адресов между идентификатором Microsoft Entra и таблицей поставщика ресурсов позволяет администраторам исследовать сеансы, в которых IP-адрес, обнаруженный идентификатором Microsoft Entra ID, не соответствует IP-адресу, обнаруженного поставщиком ресурсов.
Эта таблица книги выделяет эти сценарии, показывая соответствующие IP-адреса и указывая, был ли токен CAE выдан во время сеанса.
Аналитика оценки непрерывного доступа для каждого входа
Инстайты непрерывной оценки доступа на странице входа рабочей книги соединяют несколько запросов из журналов входа и отображают один запрос, в котором был выдан токен оценки непрерывного доступа.
Эта книга полезна, например, когда пользователь открывает Outlook на рабочем столе и пытается получить доступ к ресурсам в Exchange Online. Это действие входа может сопоставляться с несколькими интерактивными и неинтерактивными запросами на вход в журналы, что затрудняет диагностику проблем.
Конфигурация IP-адресов
Поставщик идентификации и поставщики ресурсов могут видеть разные IP-адреса. Это несоответствие может произойти из-за следующих причин:
- Ваша сеть включает функцию раздельного туннелирования.
- Поставщик ресурсов использует IPv6-адрес и идентификатор Microsoft Entra использует IPv4-адрес.
- Из-за конфигураций сети идентификатор Microsoft Entra видит один IP-адрес от клиента, а поставщик ресурсов видит другой IP-адрес от клиента.
Если этот сценарий существует в вашей среде, чтобы избежать бесконечных циклов, Microsoft Entra ID выдает токен CAE, действительный в течение одного часа, и не требует изменения местоположения клиента в течение этого времени. Безопасность даже в этом случае улучшается по сравнению с традиционными одночасовыми маркерами, поскольку мы продолжаем оценивать другие события, помимо событий изменения расположения клиента.
Администраторы могут просматривать записи, отфильтрованные по диапазону времени и приложению, и сравнивать количество несовпадных IP-адресов, обнаруженных с общим числом входов в указанный период.
Чтобы разблокировать пользователей, администраторы могут добавлять определенные IP-адреса в надежное именованное расположение.
- Войдите в Центр администрирования Microsoft Entra как минимум администратор условного доступа.
- Перейдите к Entra ID>условного доступа>именованным расположениям. Здесь можно создать или обновить надежные IP-расположения.
Заметка
Перед добавлением IP-адреса в качестве доверенного именованного расположения убедитесь, что IP-адрес принадлежит предполагаемой организации.
Дополнительные сведения об именованных расположениях см. в разделе "Использование условия расположения".
Связанное содержимое
- Интеграция журналов Microsoft Entra с журналами Azure Monitor
- Дополнительные сведения об использовании условия расположения.
- Изучите оценку непрерывного доступа.