Monitorare e risolvere i problemi di valutazione dell'accesso continuo

Gli amministratori possono monitorare e risolvere i problemi relativi agli eventi di accesso in cui viene applicata la valutazione dell'accesso continuo (CAE) in diversi modi.

Reportistica sulla valutazione continua degli accessi per l'autenticazione

Gli amministratori possono monitorare gli accessi utente in cui viene applicata la valutazione dell'accesso continuo (CAE). Queste informazioni sono disponibili nei log di accesso di Microsoft Entra:

1. Accedi al centro di amministrazione di Microsoft Entra come almeno un lettore di sicurezza .
2. Passare a Entra ID>Monitoraggio e integrità>Registri degli accessi.
3. Applicare il filtro Is CAE Token .

Da qui, gli amministratori dispongono di informazioni sugli eventi di accesso dell'utente. Selezionare qualsiasi accesso utente per visualizzare i dettagli sulla sessione, come i criteri di Accesso Condizionale applicati e se l'abilitazione CAE è attiva.

Sono presenti più richieste di accesso per ogni autenticazione. Alcune si trovano nella scheda interattiva, mentre altre si trovano nella scheda non interattiva. CAE è contrassegnato come true solo per una delle richieste che può trovarsi nella scheda interattiva o nella scheda non interattiva. Gli amministratori devono controllare entrambe le schede per verificare se l'autenticazione dell'utente è abilitata o meno.

Ricerca di tentativi di accesso specifici

I log di accesso mostrano eventi di esito positivo e negativo. Usare i filtri per restringere la ricerca. Ad esempio, se un utente accede a Teams, applicare il filtro Applicazione e impostarlo su Teams. Gli amministratori potrebbero dover controllare gli accessi da schede interattive e non interattive per individuare l'accesso specifico. Per restringere ulteriormente la ricerca, gli amministratori potrebbero applicare più filtri.

Cartelle di lavoro di valutazione dell'accesso continuo

La cartella di lavoro delle informazioni dettagliate sulla valutazione dell'accesso continuo consente agli amministratori di visualizzare e monitorare le informazioni dettagliate sull'utilizzo di CAE per i tenant. La tabella mostra i tentativi di autenticazione con mancate corrispondenze IP. Questa cartella di lavoro è disponibile come modello nella categoria Accesso condizionale.

Accesso al modello di cartella di lavoro CAE

Prima di visualizzare le cartelle di lavoro, è necessario completare l'integrazione di Log Analytics. Per informazioni su come trasmettere i log di accesso di Microsoft Entra a un'area di lavoro Log Analytics, vedere Integrare i log di Microsoft Entra con i log di Monitoraggio di Azure.

1. Accedi al centro di amministrazione di Microsoft Entra come almeno un lettore di sicurezza .
2. Passare a Entra ID>Monitoraggio e salute>Cartelle di lavoro.
3. In Modelli pubblici cercare Informazioni dettagliate sulla valutazione dell'accesso continuo.

La cartella di lavoro Informazioni dettagliate sulla valutazione dell'accesso continuo contiene la tabella seguente:

Potenziale mancata corrispondenza dell'indirizzo IP tra l'ID Microsoft Entra e il provider di risorse

La potenziale mancata corrispondenza dell'indirizzo IP tra Microsoft Entra ID e la tabella del provider di risorse consente agli amministratori di analizzare le sessioni in cui l'indirizzo IP rilevato dall'ID Microsoft Entra non corrisponde all'indirizzo IP rilevato dal provider di risorse.

Questa tabella della cartella di lavoro evidenzia questi scenari mostrando i rispettivi indirizzi IP e se è stato emesso un token CAE durante la sessione.

Informazioni dettagliate sulla valutazione continua dell'accesso per sessione di autenticazione

Le informazioni dettagliate di valutazione dell'accesso continuo per ogni pagina di accesso nella cartella di lavoro connettono più richieste dai log di accesso e visualizza una singola richiesta in cui è stato emesso un token CAE.

Questa cartella di lavoro è utile, ad esempio, quando un utente apre Outlook sul desktop e tenta di accedere alle risorse in Exchange Online. Questa azione di accesso potrebbe essere mappata a più richieste di accesso interattive e non interattive nei log rendendo difficile la diagnosi dei problemi.

Configurazione dell'indirizzo IP

I provider di identità e di risorse potrebbero visualizzare diversi indirizzi IP. Questa mancata corrispondenza può verificarsi a causa dei motivi seguenti:

• La rete implementa il split tunneling.
• Il provider di risorse usa un indirizzo IPv6 e l'ID Microsoft Entra usa un indirizzo IPv4.
• A causa delle configurazioni di rete, Microsoft Entra ID vede un indirizzo IP dal client e il provider di risorse vede un indirizzo IP diverso dal client.

Se questo scenario esiste nell'ambiente in uso, per evitare cicli infiniti, Microsoft Entra ID emette un token CAE di un'ora e non impone la modifica della posizione del client durante tale periodo di un'ora. Anche in questo caso, la sicurezza è migliorata rispetto ai token tradizionali di un'ora, perché stiamo ancora valutando gli altri eventi oltre agli eventi di modifica della posizione del client.

Gli amministratori possono visualizzare i record filtrati in base all'intervallo di tempo e all'applicazione e confrontare il numero di indirizzi IP non corrispondenti rilevati con il numero totale di accessi durante un periodo specificato.

Per sbloccare gli utenti, gli amministratori possono aggiungere indirizzi IP specifici a una posizione denominata attendibile.

1. Accedere all'interfaccia di amministrazione di Microsoft Entra almeno un amministratore dell'accesso condizionale .
2. Passare a Entra ID>Accesso condizionale>Località denominate. Qui è possibile creare o aggiornare percorsi IP attendibili.

Per altre informazioni sulle località denominate, vedere Uso della condizione di posizione.

Contenuto correlato

• Integrare i log di Microsoft Entra con i log di Monitoraggio di Azure
• Altre informazioni sull'uso della condizione di posizione.
• Esplorare la valutazione dell'accesso continuo.