Řešení potíží se změnami zásad podmíněného přístupu pomocí protokolů auditu

Protokol auditu Microsoft Entra je cenným zdrojem informací při řešení potíží s tím, proč a jak ve vašem prostředí došlo ke změnám zásad podmíněného přístupu.

Data protokolu auditu jsou ve výchozím nastavení uchovávána pouze 30 dní, což nemusí být pro každou organizaci dostatečně dlouhá doba. Organizace můžou ukládat data po delší dobu změnou nastavení diagnostiky v MICROSOFT Entra ID na:

• Odeslání dat do pracovního prostoru služby Log Analytics
• Archivace dat do účtu úložiště
• Streamování dat do Event Hubs
• Odeslání dat do partnerského řešení

Tyto možnosti najdete v části >Nastavení upravit nastavení> diagnostiky monitorování identit a stavu.> Pokud nastavení diagnostiky nemáte, postupujte podle pokynů v článku Vytvoření nastavení diagnostiky a odešlete protokoly platformy a metriky do různých cílů a vytvořte si je.

Použití protokolu auditu

1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň čtenář sestav.

2. Přejděte do protokolů auditu monitorování a stavu>identit>.

3. Vyberte rozsah dat, který chcete dotazovat.

4. Ve filtru služby vyberte Podmíněný přístup a vyberte tlačítko Použít.

   Protokoly auditu ve výchozím nastavení zobrazují všechny aktivity. Otevřete filtr Aktivity a zpřesníte aktivity. Úplný seznam aktivit protokolu auditu pro podmíněný přístup najdete v aktivitách protokolu auditu.

5. Pokud chcete zobrazit podrobnosti, vyberte řádek. Na kartě Změněné vlastnosti jsou uvedeny změněné hodnoty JSON pro vybranou aktivitu auditu.

Použití Log Analytics

Log Analytics umožňuje organizacím dotazovat se na data pomocí integrovaných dotazů nebo vlastních vytvořených dotazů Kusto. Další informace najdete v tématu Začínáme s dotazy na protokoly ve službě Azure Monitor.

Jakmile povolíte vyhledání přístupu ke službě Log Analytics v Log Analytics pro monitorování identit>a stav.> Tabulka, která je pro správce podmíněného přístupu nejzajímavější, je AuditLogs.

AuditLogs 
| where OperationName == "Update Conditional Access policy"

Změny najdete v části TargetResources>modifiedProperties.

Čtení hodnot

Staré a nové hodnoty z protokolu auditu a Log Analytics jsou ve formátu JSON. Porovnejte dvě hodnoty, abyste viděli změny zásad.

Příklad staré zásady:

{
    "conditions": {
        "applications": {
            "applicationFilter": null,
            "excludeApplications": [
            ],
            "includeApplications": [
                "797f4846-ba00-4fd7-ba43-dac1f8f63013"
            ],
            "includeAuthenticationContextClassReferences": [
            ],
            "includeUserActions": [
            ]
        },
        "clientAppTypes": [
            "browser",
            "mobileAppsAndDesktopClients"
        ],
        "servicePrincipalRiskLevels": [
        ],
        "signInRiskLevels": [
        ],
        "userRiskLevels": [
        ],
        "users": {
            "excludeGroups": [
                "eedad040-3722-4bcb-bde5-bc7c857f4983"
            ],
            "excludeRoles": [
            ],
            "excludeUsers": [
            ],
            "includeGroups": [
            ],
            "includeRoles": [
            ],
            "includeUsers": [
                "All"
            ]
        }
    },
    "displayName": "Common Policy - Require MFA for Azure management",
    "grantControls": {
        "builtInControls": [
            "mfa"
        ],
        "customAuthenticationFactors": [
        ],
        "operator": "OR",
        "termsOfUse": [
            "a0d3eb5b-6cbe-472b-a960-0baacbd02b51"
        ]
    },
    "id": "334e26e9-9622-4e0a-a424-102ed4b185b3",
    "modifiedDateTime": "2021-08-09T17:52:40.781994+00:00",
    "state": "enabled"
}

Aktualizovaný příklad zásad:

{
    "conditions": {
        "applications": {
            "applicationFilter": null,
            "excludeApplications": [
            ],
            "includeApplications": [
                "797f4846-ba00-4fd7-ba43-dac1f8f63013"
            ],
            "includeAuthenticationContextClassReferences": [
            ],
            "includeUserActions": [
            ]
        },
        "clientAppTypes": [
            "browser",
            "mobileAppsAndDesktopClients"
        ],
        "servicePrincipalRiskLevels": [
        ],
        "signInRiskLevels": [
        ],
        "userRiskLevels": [
        ],
        "users": {
            "excludeGroups": [
                "eedad040-3722-4bcb-bde5-bc7c857f4983"
            ],
            "excludeRoles": [
            ],
            "excludeUsers": [
            ],
            "includeGroups": [
            ],
            "includeRoles": [
            ],
            "includeUsers": [
                "All"
            ]
        }
    },
    "displayName": "Common Policy - Require MFA for Azure management",
    "grantControls": {
        "builtInControls": [
            "mfa"
        ],
        "customAuthenticationFactors": [
        ],
        "operator": "OR",
        "termsOfUse": [
        ]
    },
    "id": "334e26e9-9622-4e0a-a424-102ed4b185b3",
    "modifiedDateTime": "2021-08-09T17:52:54.9739405+00:00",
    "state": "enabled"
}

V předchozím příkladu aktualizovaná zásada nezahrnuje podmínky použití v ovládacích prvcích udělení.

Související obsah

• Co je monitorování Microsoft Entra?
• Instalace a použití zobrazení Log Analytics pro Microsoft Entra ID