Zobrazení podrobností o použitém podmíněném přístupu v protokolech aktivit Microsoft Entra

Pomocí zásad podmíněného přístupu můžete řídit, jak uživatelé získají přístup k prostředkům Azure a Microsoft Entra. Jako správce tenanta musíte být schopni určit, jaký vliv mají zásady podmíněného přístupu při přihlašování k vašemu tenantovi, abyste mohli v případě potřeby provést akci. Možná budete také muset zobrazit protokoly auditu pro nedávné změny zásad podmíněného přístupu.

Tento článek vysvětluje, jak zobrazit použité zásady podmíněného přístupu v protokolech aktivit Microsoft Entra.

Požadavky

Pokud chcete zobrazit použité zásady podmíněného přístupu v protokolech, musí mít správci oprávnění k zobrazení protokolů i zásad. Nejméně privilegovaná zabudovaná role, která uděluje obě oprávnění, je Čtenář zabezpečení. Jako osvědčený postup byste měli přidat roli Čtenář zabezpečení k souvisejícím účtům správce.

Následující předdefinované role uděluje oprávnění ke čtení zásad podmíněného přístupu:

• Čtečka zabezpečení
• Správce zabezpečení
• Správce podmíněného přístupu

Následující předdefinované role uděluje oprávnění k zobrazení protokolů aktivit:

• Čtenář sestav
• Čtečka bezpečnosti
• Správce zabezpečení

Oprávnění

Pokud k vyžádání protokolů z Microsoft Graphu používáte klientskou aplikaci nebo modul Microsoft Graph PowerShell, vaše aplikace potřebuje oprávnění, aby mohla tento prostředek appliedConditionalAccessPolicy z Microsoft Graphu získat. Osvědčeným postupem je přiřadit Policy.Read.ConditionalAccess , protože se jedná o nejméně privilegované oprávnění.

Následující oprávnění umožňují klientské aplikaci přístup k protokolům aktivit a všem použitým zásadám podmíněného přístupu v protokolech prostřednictvím Microsoft Graphu:

• Policy.Read.ConditionalAccess
• Policy.ReadWrite.ConditionalAccess
• Policy.Read.All
• AuditLog.Read.All
• Directory.Read.All

Pokud chcete použít modul Microsoft Graph PowerShellu, potřebujete také následující nejméně privilegovaná oprávnění s potřebným přístupem:

• Souhlas s potřebnými oprávněními: Connect-MgGraph -Scopes Policy.Read.ConditionalAccess, AuditLog.Read.All, Directory.Read.All
• Zobrazení protokolů přihlašování: Get-MgAuditLogSignIn
• Zobrazení protokolů auditu: Get-MgAuditLogDirectoryAudit

Další informace naleznete v tématu Get-MgAuditLogSignIn a Get-MgAuditLogDirectoryAudit.

Scénáře podmíněného přístupu a přihlašování uživatelů

Jako správce Microsoft Entra můžete protokoly přihlašování použít k:

• Řešení potíží s přihlášením
• Zkontrolujte výkon funkcí.
• Vyhodnoťte zabezpečení tenanta.

Některé scénáře vyžadují, abyste pochopili, jak se zásady podmíněného přístupu použily na přihlašovací událost. K běžným příkladům patří:

• Správci helpdesku, kteří se musí podívat na použité zásady podmíněného přístupu, aby pochopili, jestli je zásada hlavní příčinou problému, kvůli kterému uživatel otevřel požadavek.
• Správci tenantů, kteří potřebují ověřit, že zásady podmíněného přístupu mají zamýšlený vliv na uživatele tenanta.

K protokolům přihlašování se dostanete pomocí Centra pro správu Microsoft Entra, webu Azure Portal, Microsoft Graphu a PowerShellu.

Jak zobrazit zásady podmíněného přístupu

Centrum pro správu Microsoft Entra

Podrobnosti o aktivitách protokolů přihlašování obsahují několik karet. Na kartě Podmíněný přístup jsou uvedené zásady podmíněného přístupu použité pro danou událost přihlášení.

1. Přihlaste se do Centra pro správu Microsoft Entra alespoň jako Čtenář sestav.
2. Přejděte na Identita>Monitorování a stav>Přihlášení - protokoly.
3. Výběrem přihlašovací položky z tabulky zobrazíte podokno podrobností přihlášení.
4. Vyberte kartu Podmíněný přístup.

Pokud zásady podmíněného přístupu nevidíte, ověřte, že používáte roli, která poskytuje přístup k protokolům přihlašování i zásadám podmíněného přístupu.

Microsoft Graph API

Podle těchto pokynů zobrazíte zásady podmíněného přístupu a podrobnosti protokolu pomocí rozhraní Microsoft Graph API v Graph Exploreru.

1. Přihlaste se k Graph Exploreru.

2. V rozevíracím seznamu vyberte metodu GET jako metodu HTTP.

3. Vyberte verzi rozhraní API pro verzi 1.0.

4. Pokud chcete získat pokusy o přihlášení, u kterých se podmíněný přístup během určitého časového rámce nezdařil, přidejte následující dotaz a vyberte Spustit dotaz.

   GET https://graph.microsoft.com/v1.0/auditLogs/signIns?$filter=(createdDateTime ge 2024-11-01T14:13:32Z and createdDateTime le 2024-11-10T17:43:26Z) and conditionalAccessStatus eq 'failure'
   

5. Pokud chcete zobrazit konkrétní zásady podmíněného přístupu, přidejte ID zásady.

   GET https://graph.microsoft.com/v1.0/identity/conditionalAccess/policies/{id}
   

Další informace najdete v následujících zdrojích informací:

• conditionalAccessPolicy – typ zdroje
• Typ prostředku přihlášení

Microsoft Graph PowerShell

Pomocí následujícího postupu zobrazíte seznam rolí Microsoft Entra pomocí PowerShellu.

1. Otevřete okno PowerShellu. V případě potřeby nainstalujte Microsoft Graph PowerShell pomocí modulu Install-Module . Další informace najdete v tématu Požadavky pro použití PowerShellu nebo Graph Exploreru.

   Install-Module Microsoft.Graph -Scope CurrentUser
   

2. V okně PowerShellu se přihlaste ke svému tenantovi pomocí Connect-MgGraph .

   Connect-MgGraph -Scopes "Policy.Read.All", "Policy.Read.ConditionalAccess"
   

3. K získání všech zásad podmíněného přístupu použijte Get-MgIdentityConditionalAccessPolicy .

   Get-MgIdentityConditionalAccessPolicy
   

4. Pokud chcete výsledky naformátovat jako seznam, použijte následující příkaz:

   Get-MgIdentityConditionalAccessPolicy |Format-List
   

Následující příkaz se dá použít k exportu protokolů přihlašování do souboru CSV, který je formátovaný tak, aby zvýrazňoval podrobnosti související s podmíněným přístupem.

1. Definujte výstupní cestu k souboru CSV.

   $PathCsv = "C:\\temp\\ConditionalAccessSignInLogs.csv"
   

2. Načtěte protokoly, vyfiltrované ze zadaného data a exportujte je do souboru CSV.

   $SignInLogs = Get-MgAuditLogSignIn -Filter "createdDateTime gt 2024-11-10T05:30:00.0Z" | Select-Object `
   @{Name="ResourceName";Expression={$_.ResourceDisplayName}}, `
   @{Name="User";Expression={$_.UserDisplayName}}, `
   @{Name="IPv4";Expression={$_.IPAddress}}, `
   @{Name="Location";Expression={$_.Location.City}}, `
   @{Name="NamedLocation";Expression={$_.ConditionalAccessLocations}}, `
   @{Name="Success/Failure/ReportOnly";Expression={$_.ConditionalAccessStatus}}, `
   @{Name="FailureReason";Expression={$_.FailureReason}}, `
   @{Name="Details";Expression={$_.ConditionalAccessDetails}}, `
   @{Name="DeviceName";Expression={$_.DeviceDetail.DeviceDisplayName}}, `
   @{Name="ClientApp";Expression={$_.ClientAppUsed}} | 
   Export-Csv -Path $PathCsv -NoTypeInformation
   
   Write-Host "Conditional Access SignInLogs exported to $PathCsv"
   

Scénáře podmíněného přístupu a protokolu auditu

Protokoly auditu Microsoft Entra obsahují informace o změnách zásad podmíněného přístupu. Protokoly auditu můžete použít ke zjištění, kdy byla zásada vytvořena, aktualizována nebo odstraněna.

Pokud chcete zjistit, kdy se aktualizovaly existující zásady podmíněného přístupu:

1. Přihlaste se do Centra pro správu Microsoft Entra alespoň jako Čtenář sestav.
2. Přejděte na Identity>Monitoring a zdraví>Auditní protokoly.
3. Nastavte filtr služby na podmíněný přístup.
4. Nastavte filtr Kategorie na Zásady.
5. Nastavte filtr aktivity na Aktualizovat zásady podmíněného přístupu.

Možná budete muset upravit datum, abyste viděli změny, které hledáte. Sloupec Cíl zobrazuje název aktualizované zásady podmíněného přístupu.

Pokud chcete porovnat aktuální zásadu s předchozími zásadami, vyberte položku protokolu auditu a pak vyberte kartu Změněné vlastnosti .

Související obsah

• Řešení potíží s přihlášením souvisejících s podmíněným přístupem
• Nejčastější dotazy k přihlašovacím protokolům podmíněného přístupu
• Další informace o protokolech přihlašování