Freigeben über


Erkenntnisse und Berichterstellung zum bedingten Zugriff

Mithilfe der Arbeitsmappe für Erkenntnisse und Berichterstellung für den bedingten Zugriff können Sie die Auswirkungen von Richtlinien für den bedingten Zugriff in Ihrer Organisation im zeitlichen Verlauf nachvollziehen. Bei der Anmeldung können eine oder mehrere Richtlinien für bedingten Zugriff angewendet werden, wobei der Zugriff bei erfolgreicher Ausführung bestimmter Gewährungssteuerelemente gewährt oder andernfalls verweigert wird. Da bei jeder Anmeldung mehrere Richtlinien für bedingten Zugriff ausgewertet werden können, können Sie in der Arbeitsmappe für Erkenntnisse und Berichterstellung die Auswirkungen einer bestimmten Richtlinie oder einer Teilmenge aller Richtlinien überprüfen.

Voraussetzungen

Um die Arbeitsmappe für Erkenntnisse und Berichterstellung zu aktivieren, muss Ihr Mandant über Folgendes verfügen:

  • Log Analytics-Arbeitsbereich zum Aufbewahren von Anmeldeprotokolldaten
  • Microsoft Entra ID P1-Lizenzen für die Verwendung von bedingtem Zugriff

Den Benutzern muss mindestens die Rolle „Sicherheitsleseberechtigter“ und die Rolle „Mitwirkender“ für den Log Analytics-Arbeitsbereich zugewiesen sein.

Streamen von Anmeldeprotokollen aus Microsoft Entra ID in Azure Monitor-Protokolle

Wenn Sie die Microsoft Entra-Protokolle nicht mit den Azure Monitor-Protokollen integriert haben, müssen Sie vor dem Laden der Arbeitsmappe die folgenden Schritte ausführen:

  1. Erstellen Sie einen Log Analytics-Arbeitsbereich in Azure Monitor.
  2. Integration von Microsoft Entra ID-Protokollen in Azure Monitor-Protokolle.

Funktionsweise

So greifen Sie auf die Arbeitsmappe für Erkenntnisse und Berichterstellung zu

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens als Sicherheitsleseberechtigter an.
  2. Browsen Sie zu Schutz>Bedingter Zugriff>Erkenntnisse und Berichterstellung.

Erste Schritte: Wählen Sie die Parameter aus.

Mit dem Dashboard für Erkenntnisse und Berichterstellung können Sie die Auswirkung einer oder mehrerer Richtlinien für den bedingten Zugriff in einem bestimmten Zeitraum verfolgen. Legen Sie zunächst die einzelnen Parameter oben in der Arbeitsmappe fest.

Screenshot der Arbeitsmappe mit den Einblicken in den bedingten Zugriff und den Berichten.

Richtlinie für bedingten Zugriff: Wählen Sie mindestens eine Richtlinie für bedingten Zugriff aus, um ihre gemeinsame Auswirkung anzuzeigen. Die Richtlinien sind in zwei Gruppen unterteilt: Aktivierte und Nur-Bericht-Richtlinien. Standardmäßig sind alle aktivierten Richtlinien ausgewählt. In Ihrem Mandanten werden derzeit die aktivierten Richtlinien erzwungen.

Zeitbereich: Wählen Sie einen Zeitbereich von 4 Stunden bis zu 90 Tagen aus. Wenn Sie einen Zeitbereich auswählen, der weiter zurückliegt als die Integration der Microsoft Entra-Protokolle mit Azure Monitor, werden nur die Anmeldungen nach dem Zeitpunkt der Integration angezeigt.

Benutzer: Auf dem Dashboard werden die Auswirkungen der ausgewählten Richtlinien standardmäßig für alle Benutzer angezeigt. Um nach einem bestimmten Benutzer zu filtern, geben Sie seinen Namen in das Textfeld ein. Wenn Sie nach allen Benutzern filtern möchten, geben Sie Alle Benutzer in das Textfeld ein, oder lassen Sie den Parameter leer.

App: Auf dem Dashboard werden die Auswirkungen der ausgewählten Richtlinien standardmäßig für alle Apps angezeigt. Um nach einer bestimmten App zu filtern, geben Sie ihren Namen in das Textfeld ein. Wenn Sie nach allen Apps filtern möchten, geben Sie Alle Apps in das Textfeld ein, oder lassen Sie den Parameter leer.

Datenansicht: Wählen Sie aus, ob das Dashboard Ergebnisse mit der Anzahl der Benutzer oder der Anzahl der Anmeldungen anzeigen soll. Für einen einzelnen Benutzer werden möglicherweise Hunderte von Anmeldungen bei vielen verschiedenen Apps mit vielen unterschiedlichen Ergebnissen für einen bestimmten Zeitbereich angezeigt. Wenn Sie für die Datenansicht die Anzahl von Benutzern auswählen, kann ein Benutzer sowohl unter „Erfolg“ als auch unter „Fehler“ einbezogen werden. Bei 10 Benutzern könnten beispielsweise in den letzten 30 Tagen 8 von ihnen ein erfolgreiches Ergebnis und 9 von ihnen einen Fehler gehabt haben.

Zusammenfassung der Auswirkungen

Nachdem die Parameter festgelegt wurden, wird die Zusammenfassung der Auswirkungen geladen. Die Zusammenfassung zeigt, bei wie vielen Benutzern oder Anmeldungen beim Auswerten der ausgewählten Richtlinien die Ergebnisse Erfolg, Fehler, Benutzeraktion erforderlich oder Nicht angewendet in einem bestimmten Zeitbereich verzeichnet wurden.

Screenshot eines Beispiels für eine Zusammenfassung der Auswirkungen in der Arbeitsmappe mit bedingtem Zugriff.

Total: Die Anzahl der Benutzer oder Anmeldungen in einem bestimmten Zeitraum, in dem mindestens eine der ausgewählten Richtlinien ausgewertet wurde

Erfolg: Die Anzahl der Benutzer oder Anmeldungen in einem bestimmten Zeitraum, in dem die Auswertung der ausgewählten Richtlinien das kombinierte Ergebnis Erfolg oder Nur melden: Erfolgreich zurückgab.

Fehler: Die Anzahl der Benutzer oder Anmeldungen in einem bestimmten Zeitraum, in dem die Auswertung mindestens einer ausgewählten Richtlinie das Ergebnis Fehler oder Nur melden: Fehler zurückgab.

Benutzeraktion erforderlich: Die Anzahl der Benutzer oder Anmeldungen in einem bestimmten Zeitraum, in dem die Auswertung der ausgewählten Richtlinien das kombinierte Ergebnis Nur melden: Benutzeraktion erforderlich zurückgab. Es ist eine Benutzeraktion erforderlich, wenn ein interaktives Gewährungssteuerelement wie die Multi-Faktor-Authentifizierung erforderlich ist. Da interaktive Gewährungssteuerelemente nicht durch Nur-Bericht-Richtlinien erzwungen werden, kann nicht bestimmt werden, ob ein Vorgang erfolgreich oder fehlerhaft war.

Nicht angewendet: Die Anzahl der Benutzer oder Anmeldungen in einem bestimmten Zeitraum, in dem keine der ausgewählten Richtlinien angewendet wurde

Grundlegendes zu den Auswirkungen

Screenshot mit einer Aufschlüsselung der Arbeitsmappe nach Bedingung und Status.

Zeigen Sie die Aufschlüsselung der Benutzer und Anmeldungen für die jeweiligen Bedingungen an. Sie können die Anmeldungen nach einem bestimmten Ergebnis (z. B. Erfolg oder Fehler) filtern. Klicken Sie hierzu oben in der Arbeitsmappe auf die Kacheln „Zusammenfassung“. Sie können die Aufschlüsselung der Anmeldungen für die einzelnen Bedingungen für den bedingten Zugriff anzeigen: Gerätestatus, Geräteplattform, Client-App, Standort, Anwendung und Anmelderisiko.

Details zur Anmeldung

Screenshot mit den Anmeldedetails der Arbeitsmappe.

Sie können unten im Dashboard auch die Anmeldungen eines bestimmten Benutzers überprüfen. Die Abfrage zeigt die häufigsten Benutzer an. Durch die Auswahl eines Benutzers wird die Abfrage gefiltert.

Hinweis

Wählen Sie beim Herunterladen der Anmeldeprotokolle das JSON-Format aus, um nur berichtsspezifische Ergebnisdaten für den bedingten Zugriff einzubeziehen.

Konfigurieren einer Richtlinie für bedingten Zugriff im reinen Berichtsmodus

Gehen Sie wie folgt vor, um eine Richtlinie für bedingten Zugriff im reinen Berichtsmodus zu konfigurieren:

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens als Administrator für bedingten Zugriff an.
  2. Navigieren Sie zu Schutz>Bedingter Zugriff>Richtlinien.
  3. Wählen Sie eine vorhandene Richtlinie aus, oder erstellen Sie eine neue Richtlinie.
  4. Legen Sie unter Richtlinie aktivieren die Umschaltfläche auf den Modus Nur Bericht fest.
  5. Wählen Sie Speichern aus.

Tipp

Wenn Sie den Status Richtlinie aktivieren einer vorhandenen Richtlinie von Ein in Nur melden ändern, wird dadurch die vorhandene Richtlinienerzwingung deaktiviert.

Problembehandlung

Warum schlagen Abfragen aufgrund eines Berechtigungsfehlers fehl?

Um auf die Arbeitsmappe zugreifen zu können, benötigen Sie die entsprechenden Berechtigungen in Microsoft Entra ID und Log Analytics. Um zu testen, ob Sie über die richtigen Berechtigungen für den Arbeitsbereich verfügen, führen Sie eine Log Analytics-Beispielabfrage aus:

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens als Sicherheitsleseberechtigter an.
  2. Browsen Sie zu Identität>Überwachung und Integrität>Log Analytics.
  3. Geben Sie SigninLogs im Abfragefeld ein, und wählen Sie Ausführen aus.
  4. Wenn die Abfrage keine Ergebnisse zurückgibt, wurde der Arbeitsbereich möglicherweise nicht ordnungsgemäß konfiguriert.

Screenshot mit der Fehlersuche bei fehlgeschlagenen Abfragen.

Weitere Informationen zum Streamen von Microsoft Entra-Anmeldeprotokollen in einen Log Analytics-Arbeitsbereich finden Sie im Artikel Integrieren von Microsoft Entra-Protokollen mit Azure Monitor-Protokollen.

Warum können die Abfragen in der Arbeitsmappe nicht ausgeführt werden?

Kunden stellen fest, dass Abfragen manchmal nicht ausgeführt werden, wenn der Arbeitsmappe falsche oder mehrere Arbeitsbereiche zugeordnet sind. Wählen Sie zur Behebung dieses Problems oben in der Arbeitsmappe die Option Bearbeiten aus, und wählen Sie dann das Zahnradsymbol „Einstellungen“ aus. Wählen Sie nicht der Arbeitsmappe zugeordnete Arbeitsbereiche aus, und entfernen Sie diese Arbeitsbereiche. Jeder Arbeitsmappe sollte nur ein Arbeitsbereich zugeordnet sein.

Warum ist der Parameter für Richtlinien für bedingten Zugriff leer?

Die Liste der Richtlinien wird anhand der Richtlinien generiert, die für das letzte Anmeldeereignis ausgewertet wurden. Wenn es in Ihrem Mandanten keine aktuellen Anmeldungen gibt, müssen Sie möglicherweise einige Minuten warten, bis die Arbeitsmappe die Liste der Richtlinien für bedingten Zugriff lädt. Zu leeren Ergebnissen kann es unmittelbar nach dem Konfigurieren von Log Analytics kommen oder wenn für einen Mandanten keine aktuellen Anmeldeaktivitäten vorliegen.

Warum dauert das Laden der Arbeitsmappe so lange?

Je nachdem, welchen Zeitbereich Sie ausgewählt haben und wie groß der Mandant ist, muss die Arbeitsmappe eine sehr große Anzahl von Anmeldeereignissen auswerten. Bei großen Mandanten kann das Volumen der Anmeldungen die Log Analytics-Abfragekapazität überschreiten. Verkürzen Sie den Zeitraum auf vier Stunden, und testen Sie, ob die Arbeitsmappe jetzt geladen wird.

Warum werden nach dem Laden der Arbeitsmappe nach einigen Minuten keine Ergebnisse zurückgegeben?

Wenn die Anzahl der Anmeldungen die Abfragekapazität von Log Analytics überschreitet, gibt die Arbeitsmappe keine Ergebnisse zurück. Verkürzen Sie den Zeitraum auf vier Stunden, und testen Sie, ob die Arbeitsmappe jetzt geladen wird.

Kann ich die Parameterauswahl speichern?

Sie können die Parameterauswahl am oberen Rand der Arbeitsmappe speichern, indem Sie zu Identität>Überwachung und Integrität>Arbeitsmappen>Erkenntnisse und Berichte zum bedingten Zugriff navigieren. Hier finden Sie die Arbeitsmappenvorlage, in der Sie die Arbeitsmappe bearbeiten und eine Kopie einschließlich der Parameterauswahl in Ihrem Arbeitsbereich unter Meine Berichte oder Freigegebene Berichte speichern können.

Kann ich die Arbeitsmappe mit anderen Abfragen bearbeiten und anpassen?

Sie können die Arbeitsmappe bearbeiten und anpassen, indem Sie zu Identität>Überwachung und Integrität>Arbeitsmappen>Erkenntnisse und Berichte zum bedingten Zugriff navigieren. Hier finden Sie die Arbeitsmappenvorlage, in der Sie die Arbeitsmappe bearbeiten und eine Kopie einschließlich der Parameterauswahl in Ihrem Arbeitsbereich unter Meine Berichte oder Freigegebene Berichte speichern können. Wenn Sie mit dem Bearbeiten der Abfragen beginnen möchten, wählen Sie oben in der Arbeitsmappe die Option Bearbeiten aus.