Insights e relatórios de acesso condicional

A pasta de trabalho de insights e relatórios de acesso condicional permite entender o impacto das políticas de Acesso Condicional em sua organização ao longo do tempo. Durante a entrada, uma ou mais políticas de Acesso Condicional podem ser aplicadas, concedendo acesso se determinados controles de concessão forem atendidos ou negando o acesso caso contrário. Como várias políticas de Acesso Condicional podem ser avaliadas durante cada entrada, a pasta de trabalho de insights e relatórios permite que você examine o impacto da uma política individual ou de um subconjunto de todas as políticas.

Pré-requisitos

Para habilitar a pasta de trabalho de insights e relatórios, seu locatário deve ter:

  • Um workspace do Log Analytics para reter os dados dos logs de entrada.
  • Licenças do Microsoft Entra ID P1 para usar o Acesso Condicional.

Os usuários devem ter pelo menos a função leitor de segurança atribuída e as funções colaborador do workspace do Log Analytics atribuídas.

Como transmitir logs de entrada do Microsoft Entra ID para os logs do Azure Monitor

Caso você ainda não tenha integrado os logs do Microsoft Entra aos logs do Azure Monitor, terá de executar as seguintes etapas antes que a pasta de trabalho seja carregada:

  1. Criar um workspace do Log Analytics no Azure Monitor.
  2. Integrar logs do Microsoft Entra aos logs do Azure Monitor.

Como ele funciona

Para acessar a pasta de trabalho de insights e relatórios:

  1. Entre no Centro de administração do Microsoft Entra como pelo menos Leitor de Segurança.
  2. Navegue até Proteção>Acesso condicional>Insights e relatórios.

Introdução: Selecione os parâmetros

O painel de insights e relatórios permite ver o impacto de uma ou mais políticas de Acesso Condicional durante um período especificado. Comece definindo cada um dos parâmetros na parte superior da pasta de trabalho.

Screenshot showing the Conditional Access insights and reporting workbook.

Política de Acesso Condicional:para exibir o impacto combinado, selecione uma ou mais políticas de Acesso Condicional. As políticas são separadas em dois grupos: Políticas habilitadas e somente relatório. Por padrão, todas as políticas Habilitadas são selecionadas. Essas políticas habilitadas são as políticas aplicadas no locatário atualmente.

Intervalo de tempo: Escolha um intervalo de tempo de 4 horas a 90 dias. Se você selecionou um intervalo de tempo mais antigo do que quando integrou os registros do Microsoft Entra com o Azure Monitor, somente as entradas após o momento da integração serão exibidas.

Usuário: Por padrão, o painel mostra o impacto das políticas selecionadas para todos os usuários. Para filtrar por um usuário individual, digite o nome do usuário no campo de texto. Para filtrar por todos os usuários, digite Todos os usuários no campo de texto ou deixe o parâmetro vazio.

Aplicativo: Por padrão, o painel mostra o impacto das políticas selecionadas para todos os aplicativos. Para filtrar por um aplicativo individual, digite o nome do aplicativo no campo de texto. Para filtrar por todos os aplicativos, digite Todos os aplicativos no campo de texto ou deixe o parâmetro vazio.

Exibição de dados: selecione se deseja que o painel mostre os resultados em termos do número de usuários ou do número de entradas. Um usuário individual pode ter centenas de entradas em muitos aplicativos com muitos resultados diferentes durante um determinado intervalo de tempo. Caso selecione a exibição de dados para ser usuário, um usuário poderá ser incluído nas contagens Êxito e Falha. Por exemplo, se você tiver 10 usuários, 8 deles poderão ter um resultado positivo nos últimos 30 dias e 9 deles poderão ter uma falha nos últimos 30 dias.

Resumo de impacto

Depois que os parâmetros são definidos, o resumo do impacto é carregado. O resumo mostra quantos usuários ou entradas durante o intervalo de tempo resultaram em Êxito, Falha, Requer ação do usuário ou Não aplicado quando as políticas selecionadas foram avaliadas.

Screenshot showing an example impact summary in the Conditional Access workbook.

Total: O número de usuários ou entradas durante o período em que pelo menos uma das políticas selecionadas foi avaliada.

Êxito: O número de usuários ou entradas durante o período em que o resultado combinado das políticas selecionadas foi Êxito ou Somente relatório: Êxito.

Falha: O número de usuários ou entradas durante o período em que o resultado de pelo menos uma das políticas selecionadas foi Êxito ou Somente relatório: Falha.

Requer ação do usuário: O número de usuários ou entradas durante o período em que o resultado combinado das políticas selecionadas foi Somente relatório: Requer ação do usuário. A ação do usuário é necessária quando um controle de concessão interativo, como a autenticação multifator, é exigido. Como os controles de concessão interativos não são impostos por políticas somente relatório, não é possível determinar o êxito ou a falha.

Não aplicado: O número de usuários ou entradas durante o período em que nenhuma das políticas selecionadas foi aplicada.

Reconhecimento do impacto

Screenshot showing a workbook breakdown per condition and status.

Veja o detalhamento de usuários ou entradas de cada uma das condições. Você pode filtrar as entradas de um resultado específico (por exemplo, êxito ou falha), selecionando os blocos de resumo na parte superior da pasta de trabalho. Você pode conferir o detalhamento das entradas de cada uma das condições de Acesso Condicional: estado do dispositivo, plataforma do dispositivo, aplicativo cliente, local, aplicativo e risco de entrada.

Detalhes de entrada

Screenshot showing workbook sign-in details.

Você também pode investigar as entradas de um usuário específico procurando as entradas na parte inferior do painel. A consulta exibe os usuários mais frequentes. A seleção de um usuário filtra a consulta.

Observação

Ao baixar os logs de entradas, escolha o formato JSON para incluir os dados de resultados somente relatório do Acesso Condicional.

Configurar uma política de Acesso Condicional no modo somente relatório

Para configurar uma política de Acesso Condicional no modo somente relatório:

  1. Entre no centro de administração do Microsoft Entra como pelo menos Administrador de acesso condicional.
  2. Navegue até Proteção>Acesso Condicional.
  3. Selecione uma política existente ou crie uma nova.
  4. Em Habilitar política, defina alternar para o modo Somente relatório.
  5. Selecione Salvar

Dica

Editar o estado de Habilitar política de uma política existente de Ativado para Somente relatório desabilita a imposição de política existente.

Solução de problemas

Por que as consultas falham devido a um erro de permissões?

Para acessar a pasta de trabalho, precisará das permissões adequadas no Microsoft Entra ID e no Log Analytics. Para testar se você tem as permissões apropriadas do espaço de trabalho executando uma consulta de exemplo do Log Analytics:

  1. Entre no Centro de administração do Microsoft Entra como pelo menos Leitor de Segurança.
  2. Navegue até Identidade>Monitoramento e integridade>Log Analytics.
  3. Digite SigninLogs na caixa de consulta e selecione Executar.
  4. Se a consulta não retornar nenhum resultado, seu espaço de trabalho pode não estar configurado corretamente.

Screenshot showing how to troubleshoot failing queries.

Para obter mais informações sobre como transmitir logs de entrada do Microsoft Entra para um workspace do Log Analytics, consulte o artigo Como integrar logs do Microsoft Entra com os logs do Azure Monitor.

Por que as consultas na pasta de trabalho falham?

Os clientes notam que as consultas às vezes falham se o espaço de trabalho errado ou vários espaços de trabalho estiverem associados à pasta de trabalho. Para corrigir esse problema, selecione Editar na parte superior da pasta de trabalho e, em seguida, na engrenagem Configurações. Selecione e remova espaços de trabalho que não estão associados à pasta de trabalho. Deve haver apenas um espaço de trabalho associado a cada pasta de trabalho.

Por que o parâmetro de políticas de Acesso Condicional está vazio?

A lista de políticas é gerada observando as políticas avaliadas para o evento de login mais recente. Se não existirem entradas recentes em seu locatário, talvez seja necessário aguardar alguns minutos para que a pasta de trabalho carregue a lista de políticas de Acesso Condicional. Resultados vazios podem ocorrer imediatamente após a configuração do Log Analytics ou se um locatário não tiver uma atividade de entrada recente.

Por que a pasta de trabalho está demorando para ser carregada?

Dependendo do intervalo de tempo selecionado e do tamanho do seu locatário, a pasta de trabalho pode estar avaliando um número extraordinariamente grande de eventos de entrada. Para locatários grandes, o volume de entradas pode exceder a capacidade de consulta do Log Analytics. Tente reduzir o intervalo de tempo para 4 horas e veja se a pasta de trabalho é carregada.

Após alguns minutos de carregamento, por que a pasta de trabalho não retorna resultados?

Quando o volume de entradas excede a capacidade de consulta do Log Analytics, a pasta de trabalho não retorna resultados. Tente reduzir o intervalo de tempo para 4 horas e veja se a pasta de trabalho é carregada.

Posso salvar minhas seleções de parâmetro?

Você pode salvar suas seleções de parâmetro na parte superior da pasta de trabalho, acessando Identidade>Monitoramento e integridade>Pastas de Trabalho>Insights e relatórios de Acesso Condicional. Aqui você encontra o modelo de pasta de trabalho, em que é possível editar a pasta de trabalho e salvar uma cópia no espaço de trabalho, incluindo as seleções de parâmetro, em Meus relatórios ou Relatórios compartilhados.

Posso editar e personalizar a pasta de trabalho com outras consultas?

Você pode editar e personalizar as pastas de trabalho, acessando Identidade>Monitoramento e integridade>Pastas de Trabalho>Insights e relatórios de Acesso Condicional. Aqui você encontra o modelo de pasta de trabalho, em que é possível editar a pasta de trabalho e salvar uma cópia no espaço de trabalho, incluindo as seleções de parâmetro, em Meus relatórios ou Relatórios compartilhados. Para começar a editar as consultas, selecione Editar na parte superior da pasta de trabalho.