У нас есть групповая политика в нашей локальной Active Directory, которая запрещает пользователям входить в систему вне определенных часов. Служба синхронизации работает между нашей Active Directory и Azure AD, поэтому я предполагаю, что этот атрибут скопирован в Azure AD.
Мы применяем MFA для всех учетных записей, и у нас есть политики условного доступа, которые дополнительно ограничивают вход по IP-адресу. Как и большинство, мы видим постоянные попытки получить доступ из многих стран. В журналах я ожидаю увидеть, что злоумышленники достигнут порога блокировки, но иногда я вижу один, который указывает на сбой, потому что пользователь пытался войти в систему вне разрешенных часов. Ни одна из этих попыток не привела к срабатыванию политик условного доступа, поскольку они никогда не проходили успешной аутентификации.
У меня такой вопрос: почему в журнале указывается сбой из-за часов входа в систему, а не из-за блокировки? Все попытки, запускающие сообщение о часах входа в систему, находятся за пределами нашего диапазона IP-адресов. Я бы подумал, что отказ в входе в систему вне разрешенных часов будет активирован после аутентификации. Я что-то упускаю?