Informações e relatórios do Acesso Condicional

A pasta de trabalho de relatórios e insights do Acesso Condicional permite que você compreenda o impacto das políticas de Acesso Condicional em sua organização ao longo do tempo. Durante o login, uma ou mais políticas de Acesso Condicional podem ser aplicadas, concedendo acesso se determinados controles de concessão forem satisfeitos ou negando acesso de outra forma. Como várias políticas de Acesso Condicional podem ser avaliadas durante cada entrada, a pasta de trabalho de insights e relatórios permite examinar o impacto de uma política individual ou de um subconjunto de todas as políticas.

Pré-requisitos

Para habilitar a pasta de trabalho de insights e relatórios, seu locatário deve ter:

• Um espaço de trabalho do Log Analytics para reter dados de logs de entrada.
• O Microsoft Entra ID P1 licencia para usar o Acesso Condicional.

Os usuários devem ter pelo menos a função de Leitor de Segurança atribuída e as funções de Colaborador do espaço de trabalho do Log Analytics atribuídas.

Transmitir logs de entrada da ID do Microsoft Entra para os logs do Azure Monitor

Se você não tiver integrado os logs do Microsoft Entra com os logs do Azure Monitor, precisará executar as seguintes etapas antes que a pasta de trabalho seja carregada:

1. Crie um espaço de trabalho do Log Analytics no Azure Monitor.
2. Integre os logs do Microsoft Entra com os logs do Azure Monitor.

Como funciona

Para acessar a pasta de trabalho de insights e relatórios:

1. Entre no centro de administração do Microsoft Entra como pelo menos um Leitor de Segurança.
2. Navegue até Informações e relatórios de Acesso>Condicional de Proteção.>

Primeiros passos: selecione parâmetros

O painel de insights e relatórios permite que você veja o impacto de uma ou mais políticas de Acesso Condicional durante um período especificado. Comece definindo cada um dos parâmetros na parte superior da pasta de trabalho.

Política de Acesso Condicional: para ver o seu impacto combinado, selecione uma ou mais políticas de Acesso Condicional. As políticas são separadas em dois grupos: Políticas habilitadas e Políticas somente relatório. Por padrão, todas as políticas Habilitadas são selecionadas. Essas políticas habilitadas são as políticas atualmente aplicadas em seu locatário.

Intervalo de tempo: selecione um intervalo de tempo de 4 horas a até 90 dias. Se você selecionou um intervalo de tempo mais recuado do que quando integrou os logs do Microsoft Entra com o Azure Monitor, somente os logins após o tempo de integração serão exibidos.

Usuário: por padrão, o painel mostra o impacto das políticas selecionadas para todos os usuários. Para filtrar por um usuário individual, digite o nome do usuário no campo de texto. Para filtrar por todos os usuários, digite Todos os usuários no campo de texto ou deixe o parâmetro vazio.

Aplicativo: por padrão, o painel mostra o impacto das políticas selecionadas para todos os aplicativos. Para filtrar por um aplicativo individual, digite o nome do aplicativo no campo de texto. Para filtrar por todos os aplicativos, digite Todos os aplicativos no campo de texto ou deixe o parâmetro vazio.

Visualização de dados: selecione se deseja que o painel mostre resultados em termos de número de usuários ou número de entradas. Um usuário individual pode ter centenas de entradas em muitos aplicativos com muitos resultados diferentes durante um determinado intervalo de tempo. Se você selecionar a exibição de dados para ser usuários, um usuário poderá ser incluído nas contagens de Sucesso e Falha. Por exemplo, se houver 10 usuários, 8 deles podem ter um resultado de sucesso nos últimos 30 dias e 9 deles podem ter uma falha nos últimos 30 dias.

Resumo do impacto

Uma vez definidos os parâmetros, o resumo do impacto é carregado. O resumo mostra quantos usuários ou entradas durante o intervalo de tempo resultaram em Êxito, Falha, Ação do usuário necessária ou Não aplicada quando as políticas selecionadas foram avaliadas.

Total: o número de usuários ou entradas durante o período em que pelo menos uma das políticas selecionadas foi avaliada.

Sucesso: o número de usuários ou entradas durante o período em que o resultado combinado das políticas selecionadas foi Sucesso ou Somente relatório: Sucesso.

Falha: O número de usuários ou entradas durante o período em que o resultado de pelo menos uma das políticas selecionadas foi Falha ou Somente relatório: Falha.

Ação do usuário necessária: o número de usuários ou entradas durante o período em que o resultado combinado das políticas selecionadas foi Somente relatório: ação do usuário necessária. A ação do usuário é necessária quando um controle de concessão interativo, como autenticação multifator, é necessário. Como os controles de concessão interativos não são impostos por políticas somente de relatório, o sucesso ou a falha não podem ser determinados.

Não aplicado: o número de usuários ou entradas durante o período em que nenhuma das políticas selecionadas foi aplicada.

Compreender o impacto

Visualize o detalhamento de usuários ou logins para cada uma das condições. Você pode filtrar as entradas de um resultado específico (por exemplo, Êxito ou Falha) selecionando os blocos de resumo na parte superior da pasta de trabalho. Você pode ver o detalhamento de entradas para cada uma das condições de Acesso Condicional: estado do dispositivo, plataforma do dispositivo, aplicativo cliente, local, aplicativo e risco de entrada.

Detalhes de início de sessão

Você também pode investigar as entradas de um usuário específico pesquisando entradas na parte inferior do painel. A consulta exibe os usuários mais frequentes. Selecionar um usuário filtra a consulta.

Configurar uma política de Acesso Condicional no modo somente relatório

Para configurar uma política de Acesso Condicional no modo somente relatório:

1. Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Acesso Condicional.
2. Navegue até Acesso condicional de proteção>.
3. Selecione uma política existente ou crie uma nova política.
4. Em Ativar política , defina a alternância para o modo Somente relatório.
5. Selecione Guardar

Resolução de Problemas

Por que as consultas estão falhando devido a um erro de permissões?

Para acessar a pasta de trabalho, você precisa das permissões adequadas no Microsoft Entra ID e no Log Analytics. Para testar se você tem as permissões de espaço de trabalho adequadas executando uma consulta de análise de log de exemplo:

1. Entre no centro de administração do Microsoft Entra como pelo menos um Leitor de Segurança.
2. Navegue até Monitoramento de identidades>& análise de log de integridade.>
3. Digite SigninLogs na caixa de consulta e selecione Executar.
4. Se a consulta não retornar nenhum resultado, seu espaço de trabalho pode não estar configurado corretamente.

Para obter mais informações sobre como transmitir logs de entrada do Microsoft Entra para um espaço de trabalho do Log Analytics, consulte o artigo Integrar logs do Microsoft Entra com logs do Azure Monitor.

Por que as consultas na pasta de trabalho estão falhando?

Os clientes notam que as consultas às vezes falham se os espaços de trabalho errados ou múltiplos estiverem associados à pasta de trabalho. Para corrigir esse problema, selecione Editar na parte superior da pasta de trabalho e, em seguida, a engrenagem Configurações. Selecione e remova espaços de trabalho que não estão associados à pasta de trabalho. Deve haver apenas um espaço de trabalho associado a cada pasta de trabalho.

Por que o parâmetro Políticas de acesso condicional está vazio?

A lista de políticas é gerada examinando as políticas avaliadas para o evento de entrada mais recente. Se não houver entradas recentes em seu locatário, talvez seja necessário aguardar alguns minutos para que a pasta de trabalho carregue a lista de políticas de Acesso Condicional. Resultados vazios podem acontecer imediatamente após a configuração do Log Analytics ou se um locatário não tiver atividade de entrada recente.

Por que a pasta de trabalho está demorando muito para carregar?

Dependendo do intervalo de tempo selecionado e do tamanho do seu locatário, a pasta de trabalho pode estar avaliando um número extraordinariamente grande de eventos de entrada. Para locatários grandes, o volume de entradas pode exceder a capacidade de consulta do Log Analytics. Tente encurtar o intervalo de tempo para 4 horas e, em seguida, veja se a pasta de trabalho carrega.

Depois de carregar por alguns minutos, por que a pasta de trabalho está retornando zero resultados?

Quando o volume de entradas excede a capacidade de consulta do Log Analytics, a pasta de trabalho retorna zero resultados. Tente encurtar o intervalo de tempo para 4 horas e, em seguida, veja se a pasta de trabalho carrega.

Posso salvar minhas seleções de parâmetros?

Você pode salvar suas seleções de parâmetros na parte superior da pasta de trabalho indo para Monitoramento de identidade>, ~ integridade>, Pastas de trabalho, Acesso condicional,>Insights e relatórios. Aqui você encontra o modelo de pasta de trabalho, onde você pode editar a pasta de trabalho e salvar uma cópia em seu espaço de trabalho, incluindo as seleções de parâmetros, em Meus relatórios ou Relatórios compartilhados.

Posso editar e personalizar a pasta de trabalho com outras consultas?

Você pode editar e personalizar a pasta de trabalho indo para Monitoramento de Identidade>, Pastas de trabalho>, Pastas de trabalho,>Acesso Condicional, Insights e relatórios. Aqui você encontra o modelo de pasta de trabalho, onde você pode editar a pasta de trabalho e salvar uma cópia em seu espaço de trabalho, incluindo as seleções de parâmetros, em Meus relatórios ou Relatórios compartilhados. Para começar a editar as consultas, selecione Editar na parte superior da pasta de trabalho.

Conteúdos relacionados

• Modo somente relatório de Acesso Condicional

• Para obter mais informações sobre pastas de trabalho do Microsoft Entra, consulte o artigo Como usar pastas de trabalho do Azure Monitor para relatórios do Microsoft Entra.

• Políticas comuns de acesso condicional