Autentisering frågar efter analysarbetsbok

Som IT-tekniker vill du ha rätt information om autentiseringsprompter i din miljö så att du kan identifiera oväntade frågor och undersöka vidare. Att ge dig den här typen av information är målet för arbetsboken Autentiseringsfrågasanalys .

Förutsättningar

Om du vill använda Azure-arbetsböcker för Microsoft Entra-ID behöver du:

• En Microsoft Entra-klientorganisation med en Premium P1-licens
• En Log Analytics-arbetsyta och åtkomst till den arbetsytan
• Lämpliga roller för Azure Monitor och Microsoft Entra ID

Log Analytics-arbetsyta

Du måste skapa en Log Analytics-arbetsytainnan du kan använda Microsoft Entra-arbetsböcker. flera faktorer avgör åtkomsten till Log Analytics-arbetsytor. Du behöver rätt roller för arbetsytan och de resurser som skickar data.

Mer information finns i Hantera åtkomst till Log Analytics-arbetsytor.

Azure Monitor-roller

Azure Monitor innehåller två inbyggda roller för att visa övervakningsdata och redigera övervakningsinställningar. Rollbaserad åtkomstkontroll i Azure (RBAC) innehåller också två inbyggda Log Analytics-roller som ger liknande åtkomst.

• Vy:

  • Övervakningsläsare
  • Log Analytics Reader

• Visa och ändra inställningar:

  • Övervakningsdeltagare
  • Log Analytics Contributor

Microsoft Entra-roller

Med skrivskyddad åtkomst kan du visa Microsoft Entra ID-loggdata i en arbetsbok, fråga efter data från Log Analytics eller läsa loggar i administrationscentret för Microsoft Entra. Uppdateringsåtkomst ger möjlighet att skapa och redigera diagnostikinställningar för att skicka Microsoft Entra-data till en Log Analytics-arbetsyta.

• Read (läs):

  • Rapportläsare
  • Säkerhetsläsare
  • Global läsare

• Uppdatering:

  • Säkerhetsadministratör

Mer information om inbyggda Microsoft Entra-roller finns i Inbyggda Microsoft Entra-roller.

Mer information om RBAC-rollerna för Log Analytics finns i Inbyggda Azure-roller.

beskrivning

Har du nyligen hört talas om klagomål från dina användare om att få för många autentiseringsprompter?

Överprompterande användare kan påverka användarens produktivitet och leder ofta till att användarna blir phished för MFA. För att vara tydlig är MFA viktigt! Vi pratar inte om du bör kräva MFA, men hur ofta du bör fråga användarna.

Det här scenariot orsakas vanligtvis av:

• Felkonfigurerade program
• Över principer för aggressiva uppmaningar
• Cyberattacker

Autentiseringen frågar efter analysarbetsboken identifierar olika typer av autentiseringsprompter. Typerna baseras på olika pivoter, inklusive användare, program, operativsystem, processer med mera.

Du kan använda den här arbetsboken i följande scenarier:

• Du har fått aggregerad feedback från för många frågor.
• Identifiera över att fråga till en specifik autentiseringsmetod, ett principprogram eller en enhet.
• Så här visar du antalet autentiseringsprompter för högprofilerade användare.
• För att spåra äldre TLS och annan information om autentiseringsprocessen.

Så här kommer du åt arbetsboken

1. Logga in på administrationscentret för Microsoft Entra med lämplig kombination av roller.

2. Bläddra till Identitetsövervakning>och hälsoarbetsböcker.>

3. Välj arbetsboken Autentisering frågar efter analys i avsnittet Användning.

Arbetsboksavsnitt

Den här arbetsboken delar upp autentiseringsanvisningarna genom att:

• Metod
• Enhetstillstånd
• Program
• User
• Status
• Operativsystem
• Processinformation
• Policy

I många miljöer är de mest använda apparna företagsproduktivitetsappar. Allt som inte förväntas bör undersökas. Följande diagram visar autentiseringsprompter per program.

Vyn prompter i programlistan visar ytterligare information, till exempel tidsstämplar och begärande-ID:t som hjälper till med undersökningar.

Dessutom får du en sammanfattning av antalet genomsnittliga och medianaviseringar för din klientorganisation.

Den här arbetsboken hjälper också till att spåra effektfulla sätt att förbättra användarnas upplevelse och minska antalet frågor och den relativa procentandelen.

Filter

Dra nytta av filtren för mer detaljerade vyer av data:

Filtrering för en specifik användare som har många autentiseringsbegäranden eller som bara visar program med inloggningsfel kan också leda till intressanta resultat för att fortsätta att åtgärda.

Bästa praxis

• Om data inte visas eller verkar visas felaktigt kontrollerar du att du har angett Log Analytics-arbetsytan och prenumerationerna på rätt resurser.

  

• Om det tar för lång tid att läsa in de visuella objekten kan du försöka minska tidsfiltret till 24 timmar eller mindre.

  

• Mer information om de olika principer som påverkar MFA-frågor finns i Optimera omautentiseringsprompter och förstå sessionslivslängden för Microsoft Entra-multifaktorautentisering.

• Information om hur du flyttar användare från telekommunikationsbaserade metoder till Authenticator-appen finns i Så här kör du en registreringskampanj för att konfigurera Microsoft Authenticator – Microsoft Authenticator-appen.