Szczegółowe informacje i raportowanie dostępu warunkowego

  • Artykuł

Skoroszyt szczegółowych informacji o dostępie warunkowym i raportowania umożliwia zrozumienie wpływu zasad dostępu warunkowego w organizacji w czasie. Podczas logowania można zastosować co najmniej jedną zasady dostępu warunkowego, udzielając dostępu, jeśli niektóre mechanizmy kontroli udzielania są spełnione lub nie zezwalają na dostęp. Ponieważ podczas każdego logowania można ocenić wiele zasad dostępu warunkowego, skoroszyt szczegółowych informacji i raportowania umożliwia sprawdzenie wpływu poszczególnych zasad lub podzestawu wszystkich zasad.

Wymagania wstępne

Aby włączyć skoroszyt szczegółowych informacji i raportowania, dzierżawa musi mieć następujące elementy:

  • Obszar roboczy usługi Log Analytics do przechowywania danych dzienników logowania.
  • Licencje microsoft Entra ID P1 do korzystania z dostępu warunkowego.

Użytkownicy muszą mieć przypisaną co najmniej rolę Czytelnik zabezpieczeń i Przypisano role Współautor obszaru roboczego usługi Log Analytics.

Przesyłanie strumieniowe dzienników logowania z identyfikatora Entra firmy Microsoft do dzienników usługi Azure Monitor

Jeśli dzienniki usługi Microsoft Entra nie zostały zintegrowane z dziennikami usługi Azure Monitor, przed załadowaniem skoroszytu należy wykonać następujące czynności:

  1. Utwórz obszar roboczy usługi Log Analytics w usłudze Azure Monitor.
  2. Integrowanie dzienników firmy Microsoft Entra z dziennikami usługi Azure Monitor.

Jak to działa

Aby uzyskać dostęp do szczegółowych informacji i skoroszytu raportowania:

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako czytelnik zabezpieczeń.
  2. Przejdź do sekcji Ochrona>dostępu> warunkowego Szczegółowe informacje i raportowania.

Wprowadzenie: wybieranie parametrów

Pulpit nawigacyjny szczegółowych informacji i raportowania pozwala zobaczyć wpływ co najmniej jednej zasady dostępu warunkowego w określonym przedziale czasu. Zacznij od ustawienia każdego z parametrów w górnej części skoroszytu.

Screenshot showing the Conditional Access insights and reporting workbook.

Zasady dostępu warunkowego: aby wyświetlić ich łączny wpływ, wybierz co najmniej jedną zasadę dostępu warunkowego. Zasady są rozdzielone na dwie grupy: włączone i zasady tylko do raportów. Domyślnie są zaznaczone wszystkie włączone zasady. Te włączone zasady są obecnie wymuszane w dzierżawie.

Zakres czasu: wybierz zakres czasu od 4 godzin do nawet 90 dni. Jeśli wybrano zakres czasu z powrotem niż w przypadku zintegrowania dzienników firmy Microsoft Entra z usługą Azure Monitor, pojawią się tylko logowania po zakończeniu integracji.

Użytkownik: domyślnie pulpit nawigacyjny pokazuje wpływ wybranych zasad dla wszystkich użytkowników. Aby filtrować według pojedynczego użytkownika, wpisz nazwę użytkownika w polu tekstowym. Aby filtrować według wszystkich użytkowników, wpisz Wartość Wszyscy użytkownicy w polu tekstowym lub pozostaw pusty parametr.

Aplikacja: domyślnie pulpit nawigacyjny pokazuje wpływ wybranych zasad dla wszystkich aplikacji. Aby filtrować według poszczególnych aplikacji, wpisz nazwę aplikacji w polu tekstowym. Aby filtrować według wszystkich aplikacji, wpisz Wszystkie aplikacje w polu tekstowym lub pozostaw pusty parametr.

Widok danych: wybierz, czy pulpit nawigacyjny ma wyświetlać wyniki pod względem liczby użytkowników lub liczby logów. Pojedynczy użytkownik może mieć setki logów do wielu aplikacji z wieloma różnymi wynikami w danym zakresie czasu. Jeśli wybierzesz widok danych jako użytkowników, użytkownik może zostać uwzględniony zarówno w liczbie sukcesów, jak i niepowodzeń. Na przykład jeśli istnieje 10 użytkowników, 8 z nich może mieć wynik sukcesu w ciągu ostatnich 30 dni, a 9 z nich może mieć błąd w ciągu ostatnich 30 dni.

Podsumowanie wpływu

Po ustawieniu parametrów ładuje się podsumowanie wpływu. W podsumowaniu pokazano, ilu użytkowników lub logów w przedziale czasu spowodowało powodzenie, niepowodzenie, wymaganą akcję użytkownika lub nie zastosowano po ocenie wybranych zasad.

Screenshot showing an example impact summary in the Conditional Access workbook.

Suma: liczba użytkowników lub logów w okresie, w którym oceniano co najmniej jedną z wybranych zasad.

Powodzenie: liczba użytkowników lub logowań w okresie, w którym łączny wynik wybranych zasad to Powodzenie lub Tylko raport: Powodzenie.

Niepowodzenie: liczba użytkowników lub logowań w okresie, w którym wynik co najmniej jednej z wybranych zasad to Niepowodzenie lub Tylko raport: Niepowodzenie.

Wymagana akcja użytkownika: liczba użytkowników lub logowań w okresie, w którym łączny wynik wybranych zasad to Tylko raport: wymagana akcja użytkownika. Akcja użytkownika jest wymagana, gdy wymagana jest interaktywna kontrola udzielania, taka jak uwierzytelnianie wieloskładnikowe. Ponieważ interakcyjne mechanizmy kontroli udzielania nie są wymuszane przez zasady tylko do raportów, nie można określić powodzenia ani niepowodzenia.

Nie zastosowano: liczba użytkowników lub logów w okresie, w którym żadna z wybranych zasad nie została zastosowana.

Zrozumienie wpływu

Screenshot showing a workbook breakdown per condition and status.

Wyświetlanie podziału użytkowników lub logowań dla każdego z warunków. Możesz filtrować logowania dla określonego wyniku (na przykład Powodzenie lub Niepowodzenie), wybierając kafelki podsumowania w górnej części skoroszytu. Możesz zobaczyć podział logowań dla każdego z warunków dostępu warunkowego: stan urządzenia, platforma urządzenia, aplikacja kliencka, lokalizacja, aplikacja, aplikacja i ryzyko logowania.

Szczegóły logowania

Screenshot showing workbook sign-in details.

Możesz również zbadać logowania określonego użytkownika, wyszukując logowania w dolnej części pulpitu nawigacyjnego. Zapytanie wyświetla najczęściej spotykanych użytkowników. Wybranie użytkownika filtruje zapytanie.

Uwaga

Podczas pobierania dzienników logowania wybierz format JSON, aby uwzględnić dane wynikowe tylko dla dostępu warunkowego.

Konfigurowanie zasad dostępu warunkowego w trybie tylko do raportu

Aby skonfigurować zasady dostępu warunkowego w trybie tylko do raportu:

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako co najmniej Administracja istrator dostępu warunkowego.
  2. Przejdź do strony Ochrona>dostępu warunkowego.
  3. Wybierz istniejące zasady lub utwórz nowe zasady.
  4. W obszarze Włącz zasady ustaw przełącznik w trybie tylko do raportu.
  5. Wybierz pozycję Zapisz

Napiwek

Edytowanie ustawienia Włącz stan zasad istniejących zasad z Włączone na Raport powoduje wyłączenie istniejących wymuszania zasad.

Rozwiązywanie problemów

Dlaczego zapytania kończą się niepowodzeniem z powodu błędu uprawnień?

Aby uzyskać dostęp do skoroszytu, potrzebne są odpowiednie uprawnienia w usłudze Microsoft Entra ID i Log Analytics. Aby sprawdzić, czy masz odpowiednie uprawnienia obszaru roboczego, uruchamiając przykładowe zapytanie usługi Log Analytics:

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako czytelnik zabezpieczeń.
  2. Przejdź do strony Monitorowanie tożsamości>i analiza dzienników kondycji.>
  3. Wpisz SigninLogs w polu zapytania i wybierz pozycję Uruchom.
  4. Jeśli zapytanie nie zwraca żadnych wyników, obszar roboczy może nie zostać poprawnie skonfigurowany.

Screenshot showing how to troubleshoot failing queries.

Aby uzyskać więcej informacji na temat przesyłania strumieniowego dzienników logowania w usłudze Microsoft Entra do obszaru roboczego usługi Log Analytics, zobacz artykuł Integrowanie dzienników firmy Microsoft Entra z dziennikami usługi Azure Monitor.

Dlaczego zapytania w skoroszycie kończą się niepowodzeniem?

Klienci zauważają, że zapytania czasami kończą się niepowodzeniem, jeśli z skoroszytem są skojarzone nieprawidłowe lub wiele obszarów roboczych. Aby rozwiązać ten problem, wybierz pozycję Edytuj w górnej części skoroszytu, a następnie Ustawienia koła zębatego. Wybierz i usuń obszary robocze, które nie są skojarzone ze skoroszytem. Z każdym skoroszytem powinien być skojarzony tylko jeden obszar roboczy.

Dlaczego parametr zasad dostępu warunkowego jest pusty?

Lista zasad jest generowana przez przyjrzenie się zasadom ocenianym pod kątem ostatniego zdarzenia logowania. Jeśli w dzierżawie nie ma ostatnich logów, może być konieczne odczekanie kilku minut, zanim skoroszyt załadował listę zasad dostępu warunkowego. Puste wyniki mogą wystąpić natychmiast po skonfigurowaniu usługi Log Analytics lub jeśli dzierżawa nie ma ostatnich działań logowania.

Dlaczego ładowanie skoroszytu trwa długo?

W zależności od wybranego zakresu czasu i rozmiaru dzierżawy skoroszyt może oceniać niezwykle dużą liczbę zdarzeń logowania. W przypadku dużych dzierżaw liczba logów może przekroczyć pojemność zapytań usługi Log Analytics. Spróbuj skrócić zakres czasu do 4 godzin, a następnie sprawdź, czy skoroszyt zostanie załadowany.

Dlaczego skoroszyt zwraca zero wyników po załadowaniu przez kilka minut?

Gdy liczba logów przekracza pojemność zapytań usługi Log Analytics, skoroszyt zwraca zero wyników. Spróbuj skrócić zakres czasu do 4 godzin, a następnie sprawdź, czy skoroszyt zostanie załadowany.

Czy mogę zapisać wybrane parametry?

Możesz zapisać wybrane parametry w górnej części skoroszytu, przechodząc do obszaru Monitorowanie tożsamości>i kondycja>Skoroszyty>dostępu warunkowego Szczegółowe informacje i raportowania. W tym miejscu znajdziesz szablon skoroszytu, w którym można edytować skoroszyt i zapisać kopię w obszarze roboczym, w tym wybór parametrów, w obszarze Moje raporty lub Raporty udostępnione.

Czy mogę edytować i dostosowywać skoroszyt przy użyciu innych zapytań?

Skoroszyt można edytować i dostosowywać, przechodząc do pozycji Monitorowanie tożsamości>i kondycja>Skoroszyty>dostępu warunkowego Szczegółowe informacje i raportowania. W tym miejscu znajdziesz szablon skoroszytu, w którym można edytować skoroszyt i zapisać kopię w obszarze roboczym, w tym wybór parametrów, w obszarze Moje raporty lub Raporty udostępnione. Aby rozpocząć edytowanie zapytań, wybierz pozycję Edytuj w górnej części skoroszytu.

Powiązana zawartość