Visualizzare i dettagli dell'accesso condizionale applicato nei log attività di Microsoft Entra

Con i criteri di accesso condizionale, è possibile controllare come gli utenti ottengono l'accesso alle risorse di Azure e Microsoft Entra. In qualità di amministratore del tenant, è necessario essere in grado di determinare quale effetto hanno gli accessi ai criteri di accesso condizionale al tenant, in modo da poter intervenire, se necessario. Potrebbe anche essere necessario visualizzare i log di controllo per le modifiche recenti ai criteri di accesso condizionale.

Questo articolo illustra come visualizzare i criteri di accesso condizionale applicati nei log attività di Microsoft Entra.

Prerequisiti

Per visualizzare i criteri di accesso condizionale applicati nei log, gli amministratori devono disporre delle autorizzazioni per visualizzare sia i log che i criteri. Il ruolo predefinito con privilegi minimi che concede entrambe le autorizzazioni è Amministratore che legge i dati di sicurezza. Come procedura consigliata, è necessario aggiungere il ruolo di Amministratore che legge i dati di sicurezza agli account amministratore correlati.

I ruoli predefiniti seguenti concedono le autorizzazioni per leggere i criteri di accesso condizionale:

• Ruolo con autorizzazioni di lettura per la sicurezza
• Amministratore della sicurezza
• Amministratore accesso condizionale

I ruoli predefiniti seguenti concedono l'autorizzazione per visualizzare i log attività:

• Amministratore che legge i report
• Ruolo con autorizzazioni di lettura per la sicurezza
• Amministratore della protezione

Autorizzazioni

Se si usa un'app client o il modulo di Microsoft Graph PowerShell per eseguire il pull dei log da Microsoft Graph, l'app deve disporre delle autorizzazioni per ricevere la appliedConditionalAccessPolicy risorsa da Microsoft Graph. Come procedura consigliata, assegnare Policy.Read.ConditionalAccess perché è l'autorizzazione con privilegi minimi.

Le autorizzazioni seguenti consentono a un'app client di accedere ai log attività e ai criteri di accesso condizionale applicati nei log tramite Microsoft Graph:

• Policy.Read.ConditionalAccess
• Policy.ReadWrite.ConditionalAccess
• Policy.Read.All
• AuditLog.Read.All
• Directory.Read.All

Per usare il modulo Microsoft Graph PowerShell, sono necessarie anche le autorizzazioni con privilegi minimi seguenti con l'accesso necessario:

• Per fornire il consenso alle autorizzazioni necessarie: Connect-MgGraph -Scopes Policy.Read.ConditionalAccess, AuditLog.Read.All, Directory.Read.All
• Per visualizzare i log di accesso: Get-MgAuditLogSignIn
• Per visualizzare i log di controllo: Get-MgAuditLogDirectoryAudit

Per altre informazioni, vedere Get-MgAuditLogSignIn e Get-MgAuditLogDirectoryAudit.

Scenari di accesso condizionale e log di accesso

Gli amministratori di Microsoft Entra possono usare i log di accesso per:

• Risolvere i problemi di accesso.
• Controllare le prestazioni delle funzionalità.
• Valutare la sicurezza di un tenant.

Alcuni scenari richiedono di comprendere il modo in cui i criteri di accesso condizionale sono stati applicati a un evento di accesso. Esempi comuni prevedono:

• Amministratori del supporto tecnico che devono esaminare i criteri di accesso condizionale applicati per comprendere se un criterio è la causa radice di un ticket aperto da un utente.
• Gli amministratori tenant che devono verificare che i criteri di accesso condizionale abbiano l'effetto previsto sugli utenti di un tenant.

È possibile accedere ai log di accesso usando l'interfaccia di amministrazione di Microsoft Entra, il portale di Azure, Microsoft Graph e PowerShell.

Come visualizzare i criteri di accesso condizionale

Interfaccia di amministrazione di Microsoft Entra

Suggerimento

I passaggi descritti in questo articolo possono variare leggermente in base al portale da cui si inizia.

I dettagli dell'attività dei log di accesso contengono diverse schede. Nella scheda Accesso condizionale sono elencati i criteri di accesso condizionale applicati a tale evento di accesso.

1. Accedere all'interfaccia di amministrazione di Microsoft Entra almeno con il ruolo Lettore report.
2. Passare a Identità>Monitoraggio e integrità>Log di accesso.
3. Selezionare un elemento di accesso dalla tabella per visualizzare il riquadro dei dettagli di accesso.
4. Selezionare la scheda Accesso condizionale.

Se non vengono visualizzati i criteri di accesso condizionale, verificare di usare un ruolo che fornisca l'accesso sia ai log di accesso che ai criteri di accesso condizionale.

API di Microsoft Graph

Seguire queste istruzioni per visualizzare i criteri di accesso condizionale e i dettagli dei log usando l'API Microsoft Graph in Graph Explorer.

1. Accedere a Graph Explorer.

2. Selezionare GET come metodo HTTP dall'elenco a discesa.

3. Selezionare la versione dell'API per v1.0.

4. Per ottenere i tentativi di accesso in cui l'accesso condizionale non è riuscito durante un intervallo di tempo specifico, aggiungere la query seguente e selezionare Esegui query.

   GET https://graph.microsoft.com/v1.0/auditLogs/signIns?$filter=(createdDateTime ge 2024-11-01T14:13:32Z and createdDateTime le 2024-11-10T17:43:26Z) and conditionalAccessStatus eq 'failure'
   

5. Per visualizzare un criterio di accesso condizionale specifico, aggiungere l'ID criterio.

   GET https://graph.microsoft.com/v1.0/identity/conditionalAccess/policies/{id}
   

Per altre informazioni, vedere le risorse seguenti:

• tipo di risorsa conditionalAccessPolicy
• tipo di risorsa signIn

Microsoft Graph PowerShell

Seguire questa procedura per elencare i ruoli di Microsoft Entra usando PowerShell.

1. Aprire una finestra di PowerShell. Se necessario, usare Install-Module per installare Microsoft Graph PowerShell. Per altre informazioni, vedere Prerequisiti per l'uso di PowerShell o Graph Explorer.

   Install-Module Microsoft.Graph -Scope CurrentUser
   

2. In una finestra di PowerShell usare Connect-MgGraph per accedere al tenant.

   Connect-MgGraph -Scopes "Policy.Read.All", "Policy.Read.ConditionalAccess"
   

3. Usare Get-MgIdentityConditionalAccessPolicy per ottenere tutti i criteri di accesso condizionale.

   Get-MgIdentityConditionalAccessPolicy
   

4. Per formattare i risultati come elenco, usare il comando seguente:

   Get-MgIdentityConditionalAccessPolicy |Format-List
   

Il comando seguente può essere usato per esportare i log di accesso in un file CSV, formattato per evidenziare i dettagli correlati all'accesso condizionale.

1. Definire il percorso del file CSV di output.

   $PathCsv = "C:\\temp\\ConditionalAccessSignInLogs.csv"
   

2. Recuperare i log, filtrati da una data specificata ed esportarli nel file CSV.

   $SignInLogs = Get-MgAuditLogSignIn -Filter "createdDateTime gt 2024-11-10T05:30:00.0Z" | Select-Object `
   @{Name="ResourceName";Expression={$_.ResourceDisplayName}}, `
   @{Name="User";Expression={$_.UserDisplayName}}, `
   @{Name="IPv4";Expression={$_.IPAddress}}, `
   @{Name="Location";Expression={$_.Location.City}}, `
   @{Name="NamedLocation";Expression={$_.ConditionalAccessLocations}}, `
   @{Name="Success/Failure/ReportOnly";Expression={$_.ConditionalAccessStatus}}, `
   @{Name="FailureReason";Expression={$_.FailureReason}}, `
   @{Name="Details";Expression={$_.ConditionalAccessDetails}}, `
   @{Name="DeviceName";Expression={$_.DeviceDetail.DeviceDisplayName}}, `
   @{Name="ClientApp";Expression={$_.ClientAppUsed}} | 
   Export-Csv -Path $PathCsv -NoTypeInformation
   
   Write-Host "Conditional Access SignInLogs exported to $PathCsv"
   

Scenari di accesso condizionale e log di controllo

I log di controllo di Microsoft Entra contengono informazioni sulle modifiche apportate ai criteri di accesso condizionale. È possibile usare i log di controllo per scoprire quando un criterio è stato creato, aggiornato o eliminato.

Per verificare quando è stato aggiornato un criterio di accesso condizionale esistente:

1. Accedere all'Interfaccia di amministrazione di Microsoft Entra almeno con il ruolo Lettore report.
2. Andare a Identità>Monitoraggio e integrità>Log di controllo.
3. Impostare Filtro del servizio su Accesso condizionale.
4. Impostare il filtro Categoria su Criteri.
5. Impostare Filtro attività su Aggiorna criteri di accesso condizionale.

Potrebbe essere necessario modificare la data per visualizzare le modifiche desiderate. La colonna Destinazione mostra il nome dei criteri di accesso condizionale aggiornati.

Per confrontare i criteri correnti con i criteri precedenti, selezionare la voce del log di controllo e quindi selezionare la scheda Proprietà modificate.

Contenuto correlato

• Risolvere i problemi relativi all’accesso condizionale
• Esaminare le domande frequenti sui log relativi accesso condizionale
• Informazioni sui log di accesso