Insikter och rapportering för villkorsstyrd åtkomst

  • Artikel

Med insikts- och rapporteringsarbetsboken för villkorsstyrd åtkomst kan du förstå effekten av principer för villkorsstyrd åtkomst i din organisation över tid. Under inloggningen kan en eller flera principer för villkorsstyrd åtkomst gälla, vilket ger åtkomst om vissa beviljandekontroller uppfylls eller nekar åtkomst på annat sätt. Eftersom flera principer för villkorsstyrd åtkomst kan utvärderas under varje inloggning kan du i arbetsboken insikter och rapporter undersöka effekten av en enskild princip eller en delmängd av alla principer.

Förutsättningar

Om du vill aktivera arbetsboken för insikter och rapporter måste din klientorganisation ha:

  • En Log Analytics-arbetsyta för att behålla inloggningsloggdata.
  • Microsoft Entra ID P1-licenser för användning av villkorsstyrd åtkomst.

Användare måste ha minst rollen Säkerhetsläsare tilldelad och Log Analytics-arbetsytan Deltagarroller tilldelade.

Strömma inloggningsloggar från Microsoft Entra-ID till Azure Monitor-loggar

Om du inte har integrerat Microsoft Entra-loggar med Azure Monitor-loggar måste du vidta följande steg innan arbetsboken läses in:

  1. Skapa en Log Analytics-arbetsyta i Azure Monitor.
  2. Integrera Microsoft Entra-loggar med Azure Monitor-loggar.

Så här fungerar det

Så här kommer du åt arbetsboken insikter och rapporter:

  1. Logga in på administrationscentret för Microsoft Entra som minst en säkerhetsläsare.
  2. Bläddra till Insikter och rapportering om villkorlig åtkomst>för skydd.>

Kom igång: Välj parametrar

Med instrumentpanelen för insikter och rapportering kan du se effekten av en eller flera principer för villkorsstyrd åtkomst under en angiven period. Börja med att ange var och en av parametrarna överst i arbetsboken.

Screenshot showing the Conditional Access insights and reporting workbook.

Princip för villkorsstyrd åtkomst: Om du vill visa deras kombinerade effekt väljer du en eller flera principer för villkorsstyrd åtkomst. Principer är uppdelade i två grupper: Aktiverade principer och Principer endast för rapporter. Som standard är alla aktiverade principer markerade. Dessa aktiverade principer är de principer som för närvarande tillämpas i din klientorganisation.

Tidsintervall: Välj ett tidsintervall från 4 timmar till så långt tillbaka som 90 dagar. Om du valde ett tidsintervall längre tillbaka än när du integrerade Microsoft Entra-loggarna med Azure Monitor visas endast inloggningar efter tiden för integreringen.

Användare: Som standard visar instrumentpanelen effekten av de valda principerna för alla användare. Om du vill filtrera efter en enskild användare skriver du användarens namn i textfältet. Om du vill filtrera efter alla användare skriver du Alla användare i textfältet eller lämnar parametern tom.

App: Som standard visar instrumentpanelen effekten av de valda principerna för alla appar. Om du vill filtrera efter en enskild app skriver du namnet på appen i textfältet. Om du vill filtrera efter alla appar skriver du Alla appar i textfältet eller lämnar parametern tom.

Datavy: Välj om du vill att instrumentpanelen ska visa resultat när det gäller antalet användare eller antal inloggningar. En enskild användare kan ha hundratals inloggningar till många appar med många olika resultat under ett visst tidsintervall. Om du väljer att datavyn ska vara användare kan en användare inkluderas i både antalet lyckade och misslyckade. Om det till exempel finns 10 användare kan 8 av dem ha ett resultat av framgång under de senaste 30 dagarna och 9 av dem kan ha ett fel under de senaste 30 dagarna.

Påverkanssammanfattning

När parametrarna har angetts läses effektsammanfattningen in. Sammanfattningen visar hur många användare eller inloggningar under tidsintervallet som resulterade i lyckade, misslyckade, användaråtgärder som krävdes eller Inte tillämpades när de valda principerna utvärderades.

Screenshot showing an example impact summary in the Conditional Access workbook.

Totalt: Antalet användare eller inloggningar under den tidsperiod då minst en av de valda principerna utvärderades.

Lyckades: Antalet användare eller inloggningar under den tidsperiod då det kombinerade resultatet av de valda principerna var Lyckades eller Endast rapport: Lyckades.

Fel: Antalet användare eller inloggningar under den tidsperiod då resultatet av minst en av de valda principerna var Fel eller Endast rapport: Fel.

Användaråtgärd krävs: Antalet användare eller inloggningar under den tidsperiod då det kombinerade resultatet av de valda principerna var Endast rapport: Användaråtgärd krävs. Användaråtgärd krävs när en interaktiv beviljandekontroll, till exempel multifaktorautentisering, krävs. Eftersom interaktiva beviljandekontroller inte framtvingas av principer som endast gäller för rapporter kan det inte fastställas hur lyckad eller misslyckad den är.

Inte tillämpat: Antalet användare eller inloggningar under tidsperioden då ingen av de valda principerna tillämpades.

Förstå effekten

Screenshot showing a workbook breakdown per condition and status.

Visa uppdelningen av användare eller inloggningar för vart och ett av villkoren. Du kan filtrera inloggningarna för ett visst resultat (till exempel Lyckat eller Misslyckat) genom att välja på sammanfattningspanelerna överst i arbetsboken. Du kan se uppdelningen av inloggningar för vart och ett av villkoren för villkorlig åtkomst: enhetstillstånd, enhetsplattform, klientapp, plats, program och inloggningsrisk.

Inloggningsinformation

Screenshot showing workbook sign-in details.

Du kan också undersöka inloggningar för en viss användare genom att söka efter inloggningar längst ned på instrumentpanelen. Frågan visar de vanligaste användarna. Om du väljer en användare filtreras frågan.

Kommentar

När du laddar ned inloggningsloggarna väljer du JSON-format för att inkludera resultatdata för endast villkorlig åtkomst.

Konfigurera en princip för villkorsstyrd åtkomst i rapportläge

Så här konfigurerar du en princip för villkorsstyrd åtkomst i rapportläge:

  1. Logga in på administrationscentret för Microsoft Entra som minst administratör för villkorsstyrd åtkomst.
  2. Bläddra till Villkorlig åtkomst för skydd>.
  3. Välj en befintlig princip eller skapa en ny princip.
  4. Under Aktivera princip anger du växlingsknappen till Läget Endast rapport.
  5. Välj Spara

Dricks

Om du redigerar tillståndet Aktivera princip för en befintlig princip från till Endast rapport inaktiveras befintlig principtillämpning.

Felsökning

Varför misslyckas frågor på grund av ett behörighetsfel?

För att få åtkomst till arbetsboken behöver du rätt behörigheter i Microsoft Entra-ID och Log Analytics. Så här testar du om du har rätt arbetsytebehörigheter genom att köra en log analytics-exempelfråga:

  1. Logga in på administrationscentret för Microsoft Entra som minst en säkerhetsläsare.
  2. Bläddra till Identitetsövervakning>och hälsologganalys.>
  3. Skriv SigninLogs i frågerutan och välj Kör.
  4. Om frågan inte returnerar några resultat kanske arbetsytan inte är korrekt konfigurerad.

Screenshot showing how to troubleshoot failing queries.

Mer information om hur du strömmar Inloggningsloggar för Microsoft Entra till en Log Analytics-arbetsyta finns i artikeln Integrera Microsoft Entra-loggar med Azure Monitor-loggar.

Varför misslyckas frågorna i arbetsboken?

Kunder märker att frågor ibland misslyckas om fel eller flera arbetsytor är associerade med arbetsboken. Åtgärda problemet genom att välja Redigera överst i arbetsboken och sedan Inställningar kugghjulet. Välj och ta sedan bort arbetsytor som inte är associerade med arbetsboken. Det bör bara finnas en arbetsyta som är associerad med varje arbetsbok.

Varför är parametern Principer för villkorsstyrd åtkomst tom?

Listan över principer genereras genom att titta på de principer som utvärderas för den senaste inloggningshändelsen. Om det inte finns några senaste inloggningar i klientorganisationen kan du behöva vänta några minuter på att arbetsboken ska läsa in listan över principer för villkorsstyrd åtkomst. Tomma resultat kan inträffa omedelbart efter konfigurationen av Log Analytics eller om en klientorganisation inte har den senaste inloggningsaktiviteten.

Varför tar det lång tid att läsa in arbetsboken?

Beroende på det valda tidsintervallet och storleken på din klientorganisation kan arbetsboken utvärdera ett utomordentligt stort antal inloggningshändelser. För stora klienter kan mängden inloggningar överskrida Log Analytics frågekapacitet. Försök att förkorta tidsintervallet till 4 timmar och se sedan om arbetsboken läses in.

Varför returnerar arbetsboken noll resultat när den har lästs in i några minuter?

När mängden inloggningar överskrider frågekapaciteten för Log Analytics returnerar arbetsboken noll resultat. Försök att förkorta tidsintervallet till 4 timmar och se sedan om arbetsboken läses in.

Kan jag spara mina parameterval?

Du kan spara dina parameterval överst i arbetsboken genom att gå till Identitetsövervakning>>och hälsoarbetsböcker>Villkorlig åtkomst Insikter och rapportering. Här hittar du arbetsboksmallen, där du kan redigera arbetsboken och spara en kopia på din arbetsyta, inklusive parametervalen, i Mina rapporter eller Delade rapporter.

Kan jag redigera och anpassa arbetsboken med andra frågor?

Du kan redigera och anpassa arbetsboken genom att gå till Insikter och rapportering för identitetsövervakning>>och hälsoarbetsböcker>för villkorlig åtkomst. Här hittar du arbetsboksmallen, där du kan redigera arbetsboken och spara en kopia på din arbetsyta, inklusive parametervalen, i Mina rapporter eller Delade rapporter. Om du vill börja redigera frågorna väljer du Redigera överst i arbetsboken.

Relaterat innehåll