Koşullu Erişim içgörüleri ve raporlama

  • Makale

Koşullu Erişim içgörüleri ve raporlama çalışma kitabı, Koşullu Erişim ilkelerinin kuruluşunuzdaki etkisini zaman içinde anlamanıza olanak tanır. Oturum açma sırasında bir veya daha fazla Koşullu Erişim ilkesi uygulanabilir, belirli izin denetimleri karşılanırsa erişim izni verebilir veya erişimi reddedebilir. Her oturum açma sırasında birden çok Koşullu Erişim ilkesi değerlendirilebileceği için içgörüler ve raporlama çalışma kitabı tek bir ilkenin veya tüm ilkelerin bir alt kümesinin etkisini incelemenize olanak tanır.

Önkoşullar

İçgörüleri ve raporlama çalışma kitabını etkinleştirmek için kiracınızda aşağıdakiler olmalıdır:

  • Oturum açma günlük verilerini korumak için bir Log Analytics çalışma alanı.
  • Koşullu Erişim kullanmak için Microsoft Entra Id P1 lisansları.

Kullanıcılara en azından Güvenlik Okuyucusu rolü atanmış ve Log Analytics çalışma alanı Katkıda Bulunan rolleri atanmış olmalıdır.

Microsoft Entra Id'den Azure İzleyici günlüklerine oturum açma günlüklerini akışla aktarma

Microsoft Entra günlüklerini Azure İzleyici günlükleriyle tümleştirmezseniz, çalışma kitabı yüklenmeden önce aşağıdaki adımları uygulamanız gerekir:

  1. Azure İzleyici'de Log Analytics çalışma alanı oluşturun.
  2. Microsoft Entra günlüklerini Azure İzleyici günlükleriyle tümleştirin.

Nasıl çalışır?

İçgörülere ve raporlama çalışma kitabına erişmek için:

  1. Microsoft Entra yönetim merkezinde en azından Güvenlik Okuyucusu olarak oturum açın.
  2. Koruma>Koşullu Erişim> Analizler ve raporlama'ya göz atın.

Başlarken: Parametreleri seçme

İçgörüler ve raporlama panosu, belirli bir süre boyunca bir veya daha fazla Koşullu Erişim ilkelerinin etkisini görmenizi sağlar. Başlangıç olarak, çalışma kitabının en üstündeki parametrelerin her birini ayarlayın.

Screenshot showing the Conditional Access insights and reporting workbook.

Koşullu Erişim ilkesi: Birleştirilmiş etkilerini görüntülemek için bir veya daha fazla Koşullu Erişim ilkesi seçin. İlkeler iki gruba ayrılır: Etkin ve Yalnızca rapor ilkeleri. Varsayılan olarak, tüm Etkin ilkeler seçilir. Bu etkin ilkeler, kiracınızda şu anda zorlanan ilkelerdir.

Zaman aralığı: 4 saat ile en fazla 90 gün arasında bir zaman aralığı seçin. Microsoft Entra günlüklerini Azure İzleyici ile tümleştirdiğinizden daha eski bir zaman aralığı seçtiyseniz, yalnızca tümleştirme zamanından sonra oturum açma işlemleri görünür.

Kullanıcı: Varsayılan olarak, pano seçilen ilkelerin tüm kullanıcılar için etkisini gösterir. Tek bir kullanıcıya göre filtrelemek için, metin alanına kullanıcının adını yazın. Tüm kullanıcılara göre filtrelemek için metin alanına Tüm kullanıcılar yazın veya parametresini boş bırakın.

Uygulama: Pano varsayılan olarak seçili ilkelerin tüm uygulamalar için etkisini gösterir. Tek bir uygulamaya göre filtrelemek için metin alanına uygulamanın adını yazın. Tüm uygulamalara göre filtrelemek için metin alanına Tüm uygulamalar yazın veya parametresini boş bırakın.

Veri görünümü: Panonun sonuçları kullanıcı sayısı veya oturum açma sayısı açısından göstermesini isteyip istemediğinizi seçin. Tek bir kullanıcının belirli bir zaman aralığında birçok farklı sonuca sahip birçok uygulamada yüzlerce oturum açması olabilir. Veri görünümünü kullanıcı olarak seçerseniz, bir kullanıcı hem Başarı hem de Başarısızlık sayılarına dahil edilebilir. Örneğin, 10 kullanıcı varsa, bunların 8'i son 30 gün içinde başarılı olabilir ve bunların 9'unda son 30 gün içinde bir hata olabilir.

Etki özeti

Parametreler ayarlandıktan sonra etki özeti yüklenir. Özette, zaman aralığı boyunca kaç kullanıcının veya oturum açma işleminin Başarılı, Başarısız, Kullanıcı eylemi gerekli veya Seçili ilkeler değerlendirildiğinde Uygulanmadı ile sonuçlandığı gösterilir.

Screenshot showing an example impact summary in the Conditional Access workbook.

Toplam: Seçilen ilkelerden en az birinin değerlendirildiği zaman aralığındaki kullanıcı veya oturum açma sayısı.

Başarı: Seçilen ilkelerin birleşik sonucunun Başarılı veya Yalnızca Rapor: Başarılı olduğu zaman aralığındaki kullanıcı veya oturum açma sayısı.

Hata: Seçilen ilkelerden en az birinin sonucunun Hata veya Yalnızca Rapor: Hata olduğu zaman aralığındaki kullanıcı veya oturum açma sayısı.

Kullanıcı eylemi gerekli: Seçili ilkelerin birleşik sonucunun Yalnızca rapor: Kullanıcı eyleminin gerekli olduğu zaman aralığındaki kullanıcı veya oturum açma sayısı. Çok faktörlü kimlik doğrulaması gibi etkileşimli bir izin denetimi gerektiğinde kullanıcı eylemi gereklidir. Etkileşimli izin denetimleri yalnızca rapor ilkeleri tarafından zorlanmadığından, başarı veya başarısızlık belirlenemez.

Uygulanmadı: Seçili ilkelerden hiçbirinin uygulanmadığı zaman aralığındaki kullanıcı veya oturum açma sayısı.

Etkiyi anlama

Screenshot showing a workbook breakdown per condition and status.

Koşulların her biri için kullanıcıların veya oturum açmaların dökümünü görüntüleyin. Çalışma kitabının üst kısmındaki özet kutucuklarını seçerek belirli bir sonucun (örneğin, Başarılı veya Başarısız) oturum açma adımlarını filtreleyebilirsiniz. Koşullu Erişim koşullarının her biri için oturum açmaların dökümünü görebilirsiniz: cihaz durumu, cihaz platformu, istemci uygulaması, konum, uygulama ve oturum açma riski.

Oturum açma ayrıntıları

Screenshot showing workbook sign-in details.

Panonun en altında oturum açma bilgilerini arayarak belirli bir kullanıcının oturum açma bilgilerini de araştırabilirsiniz. Sorgu en sık kullanılan kullanıcıları görüntüler. Kullanıcı seçildiğinde sorgu filtrelenir.

Not

Oturum açma günlüklerini indirirken, Koşullu Erişim yalnızca rapor sonuç verilerini eklemek için JSON biçimini seçin.

Koşullu Erişim ilkesini yalnızca rapor modunda yapılandırma

Koşullu Erişim ilkesini yalnızca rapor modunda yapılandırmak için:

  1. Microsoft Entra yönetim merkezinde en az Koşullu Erişim Yönetici istratörü olarak oturum açın.
  2. Koruma>Koşullu Erişim'e göz atın.
  3. Mevcut bir ilkeyi seçin veya yeni bir ilke oluşturun.
  4. İlkeyi etkinleştir'in altında iki durumlu düğmeyi Yalnızca rapor moduna ayarlayın.
  5. Kaydet'i seçin.

İpucu

Var olan bir ilkenin İlke durumunu Etkinleştir ayarının Açık olandan Yalnızca rapora düzenlenmesi, mevcut ilke zorlamasını devre dışı bırakır.

Sorun giderme

İzin hatası nedeniyle sorgular neden başarısız oluyor?

Çalışma kitabına erişmek için Microsoft Entra Id ve Log Analytics'te uygun izinlere sahip olmanız gerekir. Örnek bir log analytics sorgusu çalıştırarak uygun çalışma alanı izinlerine sahip olup olmadığınızı test etmek için:

  1. Microsoft Entra yönetim merkezinde en azından Güvenlik Okuyucusu olarak oturum açın.
  2. Kimlik>İzleme ve sistem durumu>Log Analytics'e göz atın.
  3. Sorgu kutusuna yazın SigninLogs ve Çalıştır'ı seçin.
  4. Sorgu herhangi bir sonuç döndürmezse çalışma alanınız doğru yapılandırılmamış olabilir.

Screenshot showing how to troubleshoot failing queries.

Microsoft Entra oturum açma günlüklerini Log Analytics çalışma alanına aktarma hakkında daha fazla bilgi için Microsoft Entra günlüklerini Azure İzleyici günlükleriyle tümleştirme makalesine bakın.

Çalışma kitabındaki sorgular neden başarısız oluyor?

Müşteriler bazen çalışma kitabıyla yanlış veya birden çok çalışma alanı ilişkilendirildiğinde sorguların başarısız olduğunu fark eder. Bu sorunu çözmek için çalışma kitabının üst kısmındaki Düzenle'yi ve ardından Ayarlar dişlisini seçin. Çalışma kitabıyla ilişkilendirilmeyen çalışma alanlarını seçin ve kaldırın. Her çalışma kitabıyla ilişkilendirilmiş yalnızca bir çalışma alanı olmalıdır.

Koşullu Erişim ilkeleri parametresi neden boş?

İlke listesi, en son oturum açma olayı için değerlendirilen ilkelere bakılarak oluşturulur. Kiracınızda son oturum açma işlemleri yoksa, çalışma kitabının Koşullu Erişim ilkeleri listesini yüklemesi için birkaç dakika beklemeniz gerekebilir. Boş sonuçlar Log Analytics yapılandırıldıktan hemen sonra veya kiracıda son oturum açma etkinliği yoksa oluşabilir.

Çalışma kitabının yüklenmesi neden uzun sürüyor?

Seçilen zaman aralığına ve kiracınızın boyutuna bağlı olarak, çalışma kitabı olağanüstü sayıda oturum açma olayını değerlendiriyor olabilir. Büyük kiracılar için oturum açma hacmi Log Analytics'in sorgu kapasitesini aşabilir. Zaman aralığını 4 saate kısaltmayı deneyin, ardından çalışma kitabının yüklenip yüklenmediğini görün.

Birkaç dakika yükledikten sonra çalışma kitabı neden sıfır sonuç döndürer?

Oturum açma hacmi Log Analytics'in sorgu kapasitesini aştığında çalışma kitabı sıfır sonuç döndürür. Zaman aralığını 4 saate kısaltmayı deneyin, ardından çalışma kitabının yüklenip yüklenmediğini görün.

Parametre seçimlerimi kaydedebilir miyim?

Kimlik>İzleme ve sistem durumu>Çalışma Kitapları>Koşullu Erişim Analizler ve raporlama'ya giderek parametre seçimlerinizi çalışma kitabının en üstüne kaydedebilirsiniz. Burada, çalışma kitabını düzenleyebileceğiniz ve parametre seçimleri dahil olmak üzere çalışma alanınıza kopya kaydedebileceğiniz çalışma kitabı şablonunu Raporlarım veya Paylaşılan raporlar bölümünde bulabilirsiniz.

Çalışma kitabını diğer sorgularla düzenleyebilir ve özelleştirebilir miyim?

Kimlik>İzleme ve sistem durumu>Çalışma Kitapları Koşullu Erişim Analizler ve raporlama'ya giderek çalışma kitabını>düzenleyebilir ve özelleştirebilirsiniz. Burada, çalışma kitabını düzenleyebileceğiniz ve parametre seçimleri dahil olmak üzere çalışma alanınıza kopya kaydedebileceğiniz çalışma kitabı şablonunu Raporlarım veya Paylaşılan raporlar bölümünde bulabilirsiniz. Sorguları düzenlemeye başlamak için çalışma kitabının üst kısmındaki Düzenle'yi seçin.

İlgili içerik