Co to jest tryb Tylko raport dostępu warunkowego?

Dostęp warunkowy jest powszechnie używany przez naszych klientów, aby zachować bezpieczeństwo, stosując odpowiednie mechanizmy kontroli dostępu w odpowiednich okolicznościach. Jednak jednym z wyzwań związanych z wdrażaniem zasad dostępu warunkowego w organizacji jest określenie wpływu na użytkowników końcowych. Może być trudno przewidzieć liczbę i nazwy użytkowników, których dotyczy typowe inicjatywy w dziedzinie zabezpieczeń. Te inicjatywy mogą obejmować: blokowanie starszego uwierzytelniania, wymaganie uwierzytelniania wieloskładnikowego dla populacji użytkowników lub implementowanie zasad ryzyka logowania.

Tryb tylko do raportu to nowy stan zasad dostępu warunkowego, który umożliwia administratorom ocenę wpływu zasad dostępu warunkowego przed ich włączeniem w ich środowisku.

  • Zasady dostępu warunkowego można oceniać w trybie tylko raportu, z wyjątkiem elementów zawartych w zakresie "Akcje użytkownika".
  • Podczas logowania zasady w trybie tylko do raportu są oceniane, ale nie są wymuszane.
  • Wyniki są rejestrowane na kartach Dostęp warunkowy i Tylko raport szczegółów dziennika logowania.
  • Klienci z subskrypcją usługi Azure Monitor mogą monitorować wpływ zasad dostępu warunkowego przy użyciu skoroszytu szczegółowych informacji o dostępie warunkowym.

Ostrzeżenie

Zasady w trybie tylko do raportowania, które wymagają zgodnych urządzeń, mogą monitować użytkowników na komputerach Mac, iOS i Android o wybranie certyfikatu urządzenia podczas oceny zasad, mimo że zgodność urządzenia nie jest wymuszana. Te monity mogą być powtarzane, dopóki urządzenie nie zostanie zgodne. Aby uniemożliwić użytkownikom końcowym otrzymywanie monitów podczas logowania, wyklucz platformy urządzeń Mac, iOS i Android z zasad tylko do raportowania, które wykonują kontrole zgodności urządzeń. Należy pamiętać, że tryb tylko do raportu nie ma zastosowania w przypadku zasad dostępu warunkowego z zakresem "Akcje użytkownika".

Screenshot showing the report-only tab in a sign-in log.

Wyniki zasad

Gdy zasady w trybie tylko do raportu są oceniane dla danego logowania, istnieją cztery nowe możliwe wartości wyników:

Result opis
Tylko raport: powodzenie Wszystkie skonfigurowane warunki zasad, wymagane nieinterakcyjne mechanizmy kontroli udzielania i kontrole sesji zostały spełnione. Na przykład wymaganie uwierzytelniania wieloskładnikowego jest spełnione przez oświadczenie uwierzytelniania wieloskładnikowego już obecne w tokenie lub zgodne zasady urządzeń są spełnione przez przeprowadzenie sprawdzania urządzenia na zgodnym urządzeniu.
Tylko raport: niepowodzenie Wszystkie skonfigurowane warunki zasad zostały spełnione, ale nie wszystkie wymagane nieinterakcyjne kontrole dotacji lub kontrole sesji zostały spełnione. Na przykład zasady dotyczą użytkownika, w którym skonfigurowano kontrolkę bloku, lub urządzenie kończy się niepowodzeniem zgodnych zasad urządzenia.
Tylko raport: wymagana akcja użytkownika Wszystkie skonfigurowane warunki zasad zostały spełnione, ale akcja użytkownika będzie wymagana do spełnienia wymaganych kontrolek dotacji lub kontrolek sesji. W trybie tylko do raportu użytkownik nie jest monitowany o spełnienie wymaganych kontrolek. Na przykład użytkownicy nie są monitowani o wyzwania związane z uwierzytelnianiem wieloskładnikowym ani warunki użytkowania.
Tylko raport: nie zastosowano Nie wszystkie skonfigurowane warunki zasad zostały spełnione. Na przykład użytkownik jest wykluczony z zasad lub zasady dotyczą tylko niektórych zaufanych nazwanych lokalizacji.

Skoroszyt Szczegółowe informacje dostępu warunkowego

Administracja istratory mają możliwość tworzenia wielu zasad w trybie tylko do raportowania, dlatego należy zrozumieć zarówno indywidualny wpływ poszczególnych zasad, jak i łączny wpływ wielu zasad ocenianych razem. Nowy skoroszyt Szczegółowe informacje dostępu warunkowego umożliwia administratorom wizualizowanie zapytań dostępu warunkowego i monitorowanie wpływu zasad dla danego zakresu czasu, zestawu aplikacji i użytkowników.