管理员可以监视和排查以多种方式应用 持续访问评估(CAE) 的登录事件。
持续访问评估和登录报告
管理员可以监视应用持续访问评估(CAE)的用户登录。 此信息位于 Microsoft Entra 登录日志中:
- 至少以安全读取者身份登录到Microsoft Entra 管理中心。
- 导航到 Entra ID>监视和运行状况>登录日志。
- 应用 Is CAE 令牌 筛选器。
在此处,管理员会看到有关其用户登录事件的信息。 选择任何登录以查看有关会话的详细信息,例如应用了条件访问策略以及是否启用了 CAE。
每个身份验证都有多个登录请求。 有些位于交互式选项卡上,而另一些则位于非交互式选项卡上。CAE 仅针对可在交互式选项卡或非交互式选项卡上的请求之一标记为 true。管理员必须检查这两个选项卡,以确认用户的身份验证是否已启用 CAE。
搜索特定的登录尝试
登录日志包含有关成功和失败事件的信息。 使用筛选器缩小搜索范围。 例如,如果用户登录到 Teams,请使用应用程序筛选器并将其设置为 Teams。 管理员可能需要检查交互式和非交互式的登录记录以查找特定的登录。 为了进一步缩小搜索范围,管理员可以应用多个筛选器。
连续访问评估工作簿
连续访问评估洞察工作簿允许管理员查看和监控他们租户的 CAE 使用洞察。 该表显示身份验证尝试中IP地址不匹配的情况。 此工作簿可以作为模板在条件访问类别下找到。
访问 CAE 工作簿模板
在显示工作簿之前,必须完成 Log Analytics 集成。 有关如何将 Microsoft Entra 登录日志流式传输到 Log Analytics 工作区的详细信息,请参阅文章 :将 Microsoft Entra 日志与 Azure Monitor 日志集成。
- 以至少“安全读取者”身份登录 Microsoft Entra 管理中心。
- 浏览到 Entra ID>监控与健康>工作簿。
- 在 “公共模板”下,搜索 “持续访问评估见解”。
连续访问评估见解工作簿包含以下表:
Microsoft Entra ID 和资源提供程序之间的潜在 IP 地址不匹配
Microsoft Entra ID 和资源提供程序表之间的潜在 IP 地址不匹配允许管理员调查Microsoft Entra ID 检测到的 IP 地址与资源提供程序检测到的 IP 地址不匹配的会话。
此工作簿表通过显示相应的 IP 地址以及是否在会话期间颁发 CAE 令牌来阐明这些方案。
每次登录的连续性访问评估见解
工作簿中的登录页逐个显示连续访问评估见解,连接来自登录日志的多个请求,并展示颁发 CAE 令牌的请求。
例如,此工作簿可能很方便,例如:用户在桌面上打开 Outlook 并尝试访问 Exchange Online 中的资源。 此登录作可能会映射到日志中的多个交互式和非交互式登录请求,从而难以诊断问题。
IP 地址配置
标识提供者和资源提供程序可能会看到不同的 IP 地址。 由于以下示例,可能会出现这种不匹配:
- 你的网络实现了分流隧道。
- 资源提供程序正在使用 IPv6 地址,Microsoft Entra ID 正在使用 IPv4 地址。
- 由于网络配置,Microsoft Entra ID 从客户端看到一个 IP 地址,资源提供程序看到不同于客户端的 IP 地址。
如果您的环境中存在这种情况,为了避免无限循环,Microsoft Entra ID 会颁发一小时的 CAE 令牌,并且在该一小时内不会强制实施客户端位置更改。 即使在这种情况下,安全性也比传统的一小时令牌有所改进,因为我们仍在评估除客户端位置更改事件以外的其他事件。
管理员可以查看按时间范围和应用程序筛选的记录。 管理员可以将检测到的不匹配 IP 数与指定时间段内的登录总数进行比较。
若要取消阻止用户,管理员可以将特定 IP 地址添加到受信任的命名位置。
- 以至少条件访问管理员身份登录到 Microsoft Entra 管理中心。
- 导航到 Entra ID>条件访问>命名位置。 可在此处创建或更新受信任的 IP 位置。
注释
在将 IP 地址添加为受信任的命名位置之前,请确认该 IP 地址实际上属于预期组织。
有关命名位置的详细信息,请参阅文章 “使用位置条件”。