Inzichten en rapportage van voorwaardelijke toegang

Met de werkmap inzichten en rapportage van voorwaardelijke toegang kunt u de impact van beleid voor voorwaardelijke toegang in uw organisatie in de loop van de tijd begrijpen. Tijdens het aanmelden kan een of meer beleidsregels voor voorwaardelijke toegang van toepassing zijn, waarbij toegang wordt verleend als aan bepaalde besturingselementen voor toekenning wordt voldaan of als anders toegang wordt geweigerd. Omdat tijdens elke aanmelding meerdere beleidsregels voor voorwaardelijke toegang kunnen worden geëvalueerd, kunt u met de werkmap inzichten en rapportage de impact van een afzonderlijk beleid of een subset van alle beleidsregels onderzoeken.

Vereisten

Als u de werkmap inzichten en rapportage wilt inschakelen, moet uw tenant het volgende hebben:

• Een Log Analytics-werkruimte voor het bewaren van aanmeldingslogboekgegevens.
• Microsoft Entra ID P1-licenties voor het gebruik van voorwaardelijke toegang.

Gebruikers moeten ten minste de rol Beveiligingslezer hebben toegewezen en de rol Inzender voor Log Analytics-werkruimte.

Aanmeldingslogboeken van Microsoft Entra ID streamen naar Azure Monitor-logboeken

Als u Microsoft Entra-logboeken niet hebt geïntegreerd met Azure Monitor-logboeken, moet u de volgende stappen uitvoeren voordat de werkmap wordt geladen:

1. Een Log Analytics-werkruimte maken in Azure Monitor.
2. Integreer Microsoft Entra-logboeken met Azure Monitor-logboeken.

Uitleg

Ga als volgende te werk om toegang te krijgen tot de werkmap inzichten en rapportage:

1. Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een beveiligingslezer.
2. Blader naar Inzichten en rapportage voor voorwaardelijke toegang>beveiligen.>

Aan de slag: Parameters selecteren

Met het dashboard inzichten en rapportage kunt u de impact van een of meer beleidsregels voor voorwaardelijke toegang gedurende een opgegeven periode bekijken. Begin met het instellen van alle parameters boven aan de werkmap.

Beleid voor voorwaardelijke toegang: selecteer een of meer beleidsregels voor voorwaardelijke toegang om de gecombineerde impact ervan weer te geven. Beleidsregels worden onderverdeeld in twee groepen: ingeschakeld en beleid voor alleen rapporten. Standaard zijn alle ingeschakelde beleidsregels geselecteerd. Deze ingeschakelde beleidsregels zijn het beleid dat momenteel wordt afgedwongen in uw tenant.

Tijdsbereik: selecteer een tijdsbereik van 4 uur tot 90 dagen. Als u een tijdsbereik verder hebt geselecteerd dan wanneer u de Microsoft Entra-logboeken hebt geïntegreerd met Azure Monitor, worden alleen aanmeldingen weergegeven na de integratietijd.

Gebruiker: standaard toont het dashboard de impact van het geselecteerde beleid voor alle gebruikers. Als u wilt filteren op een afzonderlijke gebruiker, typt u de naam van de gebruiker in het tekstveld. Als u wilt filteren op alle gebruikers, typt u Alle gebruikers in het tekstveld of laat u de parameter leeg.

App: standaard toont het dashboard de impact van het geselecteerde beleid voor alle apps. Als u wilt filteren op een afzonderlijke app, typt u de naam van de app in het tekstveld. Als u wilt filteren op alle apps, typt u Alle apps in het tekstveld of laat u de parameter leeg.

Gegevensweergave: Selecteer of u wilt dat het dashboard resultaten weergeeft in termen van het aantal gebruikers of het aantal aanmeldingen. Een afzonderlijke gebruiker kan honderden aanmeldingen hebben voor veel apps met veel verschillende resultaten gedurende een bepaald tijdsbereik. Als u de gegevensweergave selecteert voor gebruikers, kan een gebruiker worden opgenomen in het aantal geslaagde en mislukte pogingen. Als er bijvoorbeeld 10 gebruikers zijn, kunnen 8 van hen een succes hebben in de afgelopen 30 dagen en kunnen 9 van hen een fout hebben in de afgelopen 30 dagen.

Samenvatting van de impact

Zodra de parameters zijn ingesteld, wordt de impactsamenvatting geladen. In de samenvatting ziet u hoeveel gebruikers of aanmeldingen tijdens het tijdsbereik hebben geresulteerd in Geslaagd, Mislukt, Gebruikersactie vereist of Niet toegepast wanneer het geselecteerde beleid is geëvalueerd.

Totaal: het aantal gebruikers of aanmeldingen tijdens de periode waarin ten minste één van de geselecteerde beleidsregels is geëvalueerd.

Geslaagd: het aantal gebruikers of aanmeldingen tijdens de periode waarin het gecombineerde resultaat van het geselecteerde beleid geslaagd of alleen rapport is: Geslaagd.

Fout: het aantal gebruikers of aanmeldingen tijdens de periode waarin het resultaat van ten minste één van de geselecteerde beleidsregels is Mislukt of Alleen rapporteren: Fout.

Gebruikersactie vereist: het aantal gebruikers of aanmeldingen tijdens de periode waarin het gecombineerde resultaat van het geselecteerde beleid alleen rapport is : gebruikersactie vereist. Gebruikersactie is vereist wanneer een interactief toekenningsbeheer, zoals meervoudige verificatie, is vereist. Omdat interactieve toekenningsbesturingselementen niet worden afgedwongen door beleid voor alleen rapporten, kan het slagen of mislukken niet worden bepaald.

Niet toegepast: het aantal gebruikers of aanmeldingen tijdens de periode waarin ten minste één van de geselecteerde beleidsregels is geëvalueerd.

De impact begrijpen

Bekijk de uitsplitsing van gebruikers of aanmeldingen voor elk van de voorwaarden. U kunt de aanmeldingen van een bepaald resultaat (bijvoorbeeld Geslaagd of Mislukt) filteren door boven aan de werkmap de samenvattingstegels te selecteren. U kunt de uitsplitsing van aanmeldingen voor elk van de voorwaarden voor voorwaardelijke toegang zien: apparaatstatus, apparaatplatform, client-app, locatie, toepassing en aanmeldingsrisico's.

Details van de aanmelding

U kunt de aanmeldingen van een specifieke gebruiker ook onderzoeken door te zoeken naar aanmeldingen onder aan het dashboard. In de query worden de meest voorkomende gebruikers weergegeven. Als u een gebruiker selecteert, wordt de query gefilterd.

Een beleid voor voorwaardelijke toegang in modus Alleen rapporteren configureren

Een beleid voor voorwaardelijke toegang in modus Alleen rapporteren configureren:

1. Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een Beheer istrator voor voorwaardelijke toegang.
2. Blader naar voorwaardelijke toegang voor beveiliging>.
3. Selecteer een bestaand beleid of maak een nieuw beleid.
4. Stel onder Beleid inschakelen de wisselknop in op de modus Alleen-rapporteren.
5. Selecteer Opslaan

Probleemoplossing

Waarom mislukken query's vanwege een machtigingsfout?

Voor toegang tot de werkmap hebt u de juiste machtigingen nodig in Microsoft Entra ID en Log Analytics. Als u wilt testen of u over de juiste werkruimtemachtigingen beschikt door een voorbeeldquery voor Log Analytics uit te voeren:

1. Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een beveiligingslezer.
2. Blader naar Log Analytics voor identiteitsbewaking>en -status>.
3. Typ SigninLogs in het queryvak en selecteer Uitvoeren.
4. Als de query geen resultaten retourneert, is uw werkruimte mogelijk niet juist geconfigureerd.

Zie het artikel Microsoft Entra-logboeken integreren met Azure Monitor-logboeken voor meer informatie over het streamen van Microsoft Entra-aanmeldingslogboeken naar een Log Analytics-werkruimte.

Waarom mislukken de query's in de werkmap?

Klanten merken dat query's soms mislukken als de verkeerde of meerdere werkruimten aan de werkmap zijn gekoppeld. Als u dit probleem wilt oplossen, selecteert u Bewerken boven aan de werkmap en vervolgens het Instellingen tandwiel. Selecteer en verwijder vervolgens werkruimten die niet aan de werkmap zijn gekoppeld. Er mag slechts één werkruimte zijn gekoppeld aan elke werkmap.

Waarom is de parameter beleid voor voorwaardelijke toegang leeg?

De lijst met beleidsregels wordt gegenereerd door te kijken naar het beleid dat wordt geëvalueerd voor de meest recente gebeurtenis met aanmeldingsgegevens. Als uw tenant geen recente aanmeldingen bevat, moet u mogelijk enkele minuten wachten totdat de werkmap de lijst met beleidsregels voor voorwaardelijke toegang laadt. Lege resultaten kunnen direct na het configureren van Log Analytics plaatsvinden of als een tenant geen recente aanmeldingsactiviteit heeft.

Waarom duurt het lang voordat de werkmap is geladen?

Afhankelijk van het geselecteerde tijdsbereik en de grootte van uw tenant, kan de werkmap een buitengewoon groot aantal aanmeldingsgebeurtenissen evalueren. Voor grote tenants kan het aantal aanmeldingen de querycapaciteit van Log Analytics overschrijden. Probeer het tijdsbereik te verkorten tot 4 uur en kijk of de werkmap wordt geladen.

Waarom retourneert de werkmap na het laden van een paar minuten nul resultaten?

Wanneer het aantal aanmeldingen de querycapaciteit van Log Analytics overschrijdt, retourneert de werkmap nul resultaten. Probeer het tijdsbereik te verkorten tot 4 uur en kijk of de werkmap wordt geladen.

Kan ik mijn parameterselecties opslaan?

U kunt de parameterselecties boven aan de werkmap opslaan door naar Voorwaardelijke toegangsinzichten en rapportage voor>identiteitsbewaking>en>-statuswerkmappen te gaan. Hier vindt u de werkmapsjabloon, waar u de werkmap kunt bewerken en een kopie kunt opslaan in uw werkruimte, inclusief de parameterselecties, in Mijn rapporten of gedeelde rapporten.

Kan ik de werkmap bewerken en aanpassen met andere query's?

U kunt de werkmap bewerken en aanpassen door naar Voorwaardelijke toegangsinzichten en rapportage voor>identiteitsbewaking>en -statuswerkmappen> te gaan. Hier vindt u de werkmapsjabloon, waar u de werkmap kunt bewerken en een kopie kunt opslaan in uw werkruimte, inclusief de parameterselecties, in Mijn rapporten of gedeelde rapporten. Als u de query's wilt bewerken, selecteert u Bewerken boven aan de werkmap.

Gerelateerde inhoud

• De modus alleen rapporteren bij voorwaardelijke toegang

• Zie het artikel Azure Monitor-werkmappen gebruiken voor Microsoft Entra-rapporten voor meer informatie over Microsoft Entra-werkmappen.

• Algemeen beleid voor voorwaardelijke toegang