Inzichten en rapportage van voorwaardelijke toegang
Met de werkmap inzichten en rapportage van voorwaardelijke toegang kunt u de impact van beleid voor voorwaardelijke toegang in uw organisatie in de loop van de tijd begrijpen. Tijdens het aanmelden kan één of meer beleidsregels voor voorwaardelijke toegang van toepassing zijn, waarbij toegang wordt verleend als aan bepaalde toekenningscontroles wordt voldaan, of anders wordt de toegang geweigerd. Omdat tijdens elke aanmelding meerdere beleidsregels voor voorwaardelijke toegang kunnen worden geëvalueerd, kunt u met de werkmap inzichten en rapportage de impact van een afzonderlijk beleid of een subset van alle beleidsregels onderzoeken.
Vereisten
Als u de inzichten- en rapportagewerkmap wilt inschakelen, moet uw tenant het volgende hebben:
- Een Log Analytics-werkruimte voor het bewaren van aanmeldingslogboekgegevens.
- Microsoft Entra ID P1-licenties voor het gebruik van voorwaardelijke toegang.
Gebruikers moeten ten minste de rol Beveiligingslezer hebben toegewezen en de rol Inzender voor Log Analytics-werkruimte.
Aanmeldingslogboeken van Microsoft Entra ID streamen naar Azure Monitor-logboeken
Als u Microsoft Entra-logboeken niet hebt geïntegreerd met Azure Monitor-logboeken, moet u de volgende stappen uitvoeren voordat de werkmap wordt geladen:
- Een Log Analytics-werkruimte maken in Azure Monitor.
- Integreer Microsoft Entra-logboeken met Azure Monitor-logboeken.
Hoe het werkt
Volg deze stappen om toegang te krijgen tot het inzichten- en rapportagewerkboek:
- Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een beveiligingslezer.
- Blader naar Beveiliging>Voorwaardelijke toegang>Inzichten en rapportage.
Aan de slag: Parameters selecteren
Met het dashboard inzichten en rapportage kunt u de impact van een of meer beleidsregels voor voorwaardelijke toegang gedurende een opgegeven periode bekijken. Begin met het instellen van elk van de parameters bovenaan in de werkmap.
Beleid voor voorwaardelijke toegang: selecteer een of meer beleidsregels voor voorwaardelijke toegang om de gecombineerde impact ervan weer te geven. Beleidsregels worden onderverdeeld in twee groepen: ingeschakeld en beleid voor alleen rapporten. Standaard zijn alle ingeschakelde beleidsregels geselecteerd. Deze ingeschakelde beleidslijnen zijn het beleid dat nu wordt gehandhaafd in uw tenant.
Tijdsbereik: selecteer een tijdsbereik van 4 uur tot 90 dagen. Als u een tijdsbereik verder hebt geselecteerd dan wanneer u de Microsoft Entra-logboeken hebt geïntegreerd met Azure Monitor, worden alleen aanmeldingen weergegeven na de integratietijd.
Gebruiker: standaard toont het dashboard de impact van het geselecteerde beleid voor alle gebruikers. Als u wilt filteren op een afzonderlijke gebruiker, typt u de naam van de gebruiker in het tekstveld. Als u wilt filteren op alle gebruikers, typt u Alle gebruikers in het tekstveld of laat u de parameter leeg.
App: standaard toont het dashboard de impact van het geselecteerde beleid voor alle apps. Als u wilt filteren op een afzonderlijke app, typt u de naam van de app in het tekstveld. Als u wilt filteren op alle apps, typt u Alle apps in het tekstveld of laat u de parameter leeg.
Gegevensweergave: Selecteer of u wilt dat het dashboard resultaten weergeeft in termen van het aantal gebruikers of het aantal aanmeldingen. Een afzonderlijke gebruiker kan honderden aanmeldingen hebben voor veel apps met veel verschillende resultaten gedurende een bepaald tijdsbereik. Als u de gegevensweergave instelt op gebruikers, kan een gebruiker zowel in het aantal successen als in het aantal mislukkingen worden opgenomen. Als er bijvoorbeeld 10 gebruikers zijn, kunnen 8 van hen een succes hebben in de afgelopen 30 dagen en kunnen 9 van hen een fout hebben in de afgelopen 30 dagen.
Samenvatting van de impact
Zodra de parameters zijn ingesteld, wordt de impactsamenvatting geladen. In de samenvatting ziet u hoeveel gebruikers of aanmeldingen tijdens het tijdsbereik hebben geresulteerd in Geslaagd, Mislukt, Gebruikersactie vereist of Niet toegepast wanneer het geselecteerde beleid is geëvalueerd.
Totaal: het aantal gebruikers of aanmeldingen tijdens de periode waarin ten minste één van de geselecteerde beleidsregels is geëvalueerd.
Geslaagd: het aantal gebruikers of aanmeldingen tijdens de periode waarin het gecombineerde resultaat van de gekozen beleidsregels geslaagd of alleen-rapportage: Geslaagd was.
Fout: het aantal gebruikers of aanmeldingen tijdens de periode waarin het resultaat van ten minste één van de geselecteerde beleidsregels is Mislukt of Alleen rapporteren: Fout.
Gebruikersactie vereist: het aantal gebruikers of aanmeldingen tijdens de periode waarin het gecombineerde resultaat van de geselecteerde beleidsregels Alleen-Rapport: Gebruikersactie vereist was. Gebruikersactie is vereist wanneer een interactief toekenningsbeheer, zoals meervoudige verificatie, is vereist. Omdat interactieve toekenningsbesturingselementen niet worden afgedwongen door beleid voor alleen rapporten, kan het slagen of mislukken niet worden bepaald.
Niet toegepast: het aantal gebruikers of aanmeldingen tijdens de periode waarin geen van de geselecteerde beleidsregels van toepassing was.
De impact begrijpen
Bekijk de uitsplitsing van gebruikers of aanmeldingen voor elk van de voorwaarden. U kunt de aanmeldingen van een bepaald resultaat (bijvoorbeeld Geslaagd of Mislukt) filteren door de overzichtstegels boven aan de werkmap te selecteren. U kunt de uitsplitsing van aanmeldingen voor elk van de voorwaarden voor voorwaardelijke toegang zien: apparaatstatus, apparaatplatform, client-app, locatie, toepassing en aanmeldingsrisico's.
Details van de aanmelding
U kunt de aanmeldingen van een specifieke gebruiker ook onderzoeken door te zoeken naar aanmeldingen onder aan het dashboard. In de query worden de meest voorkomende gebruikers weergegeven. Als u een gebruiker selecteert, wordt de query gefilterd.
Notitie
Wanneer u de aanmeldingslogboeken downloadt, kiest u de JSON-indeling om alleen resultaatgegevens voor voorwaardelijke toegang op te nemen.
Een beleid voor voorwaardelijke toegang in modus Alleen rapporteren configureren
Een beleid voor voorwaardelijke toegang in modus Alleen rapporteren configureren:
- Meld u aan bij het Microsoft Entra-beheercentrum als Beheerder van voorwaardelijke toegang.
- Blader naar Beveiliging>Voorwaardelijke toegang>Beleidsregels.
- Selecteer een bestaand beleid of maak een nieuw beleid.
- Stel onder Beleid inschakelen de wisselknop in op de modus Alleen-rapporteren.
- Selecteer Opslaan
Tip
Als u de status Beleid Inschakelen van een bestaand beleid van Aan naar Alleen rapporteren bewerkt, wordt het afdwingen van bestaande beleidsregels uitgeschakeld.
Probleemoplossing
Waarom mislukken query's vanwege een machtigingsfout?
Voor toegang tot de werkmap hebt u de juiste machtigingen in Microsoft Entra ID en Log Analytics nodig. Als u wilt testen of u over de juiste werkruimtemachtigingen beschikt door een voorbeeldquery voor Log Analytics uit te voeren:
- Log in op het Microsoft Entra-beheercentrum als u minstens een Security Reader bent.
- Blader naar identiteit>bewaking en status>Log Analytics.
- Typ
SigninLogs
in het queryvak en selecteer Uitvoeren. - Als de query geen resultaten retourneert, is uw werkruimte mogelijk niet juist geconfigureerd.
Zie het artikel Microsoft Entra-logboeken integreren met Azure Monitor-logboeken voor meer informatie over het streamen van Microsoft Entra-aanmeldingslogboeken naar een Log Analytics-werkruimte.
Waarom mislukken de query's in de werkmap?
Gebruikers merken dat query's soms mislukken als de verkeerde of meerdere werkruimten aan de werkmap zijn gekoppeld. Als u dit probleem wilt oplossen, selecteert u Bewerken boven aan de werkmap en vervolgens het tandwiel voor Instellingen. Selecteer en verwijder vervolgens werkruimten die niet aan de werkmap zijn gekoppeld. Er mag slechts één werkruimte zijn gekoppeld aan elke werkmap.
Waarom is de parameter voor beleid voor voorwaardelijke toegang leeg?
De lijst met beleidsregels wordt gegenereerd door te kijken naar de beleidsregels die zijn geëvalueerd voor de meest recente aanmeldingsgebeurtenis. Als uw tenant geen recente aanmeldingen bevat, moet u mogelijk enkele minuten wachten totdat de werkmap de lijst met beleidsregels voor voorwaardelijke toegang laadt. Lege resultaten kunnen direct na het configureren van Log Analytics plaatsvinden of als een tenant geen recente aanmeldingsactiviteit heeft.
Waarom duurt het lang voordat de werkmap is geladen?
Afhankelijk van het geselecteerde tijdsbereik en de grootte van uw tenant, kan de werkmap een buitengewoon groot aantal aanmeldingsgebeurtenissen evalueren. Voor grote tenants kan het aantal aanmeldingen de querycapaciteit van Log Analytics overschrijden. Probeer het tijdsbereik te verkorten tot 4 uur en kijk of de werkmap wordt geladen.
Waarom retourneert de werkmap na het laden van een paar minuten nul resultaten?
Wanneer het aantal aanmeldingen de querycapaciteit van Log Analytics overschrijdt, retourneert de werkmap nul resultaten. Probeer het tijdsbereik te verkorten tot 4 uur en kijk of de werkmap wordt geladen.
Kan ik mijn parameterselecties opslaan?
U kunt uw parameterselecties bovenaan de werkmap opslaan door naar Identiteit, Monitoring en gezondheid, Werkboeken en Voorwaardelijke Toegangsinzichten en rapportage te gaan. Hier vindt u de werkmapsjabloon, waar u de werkmap kunt bewerken en een kopie kunt opslaan in uw werkruimte, inclusief de parameterselecties, in Mijn rapporten of gedeelde rapporten.
Kan ik de werkmap bewerken en aanpassen met andere query's?
U kunt de werkmap bewerken en aanpassen door naar Identiteitsbewaking>en gezondheid>Werkboeken>Voorwaardelijke toegangsinzichten en rapportage te gaan. Hier vindt u de werkmapsjabloon, waar u de werkmap kunt bewerken en een kopie kunt opslaan in uw werkruimte, inclusief de parameterselecties, in Mijn rapporten of gedeelde rapporten. Als u de query's wilt bewerken, selecteert u Bewerken boven aan de werkmap.
Gerelateerde inhoud
Zie het artikel Azure Monitor-werkmappen gebruiken voor Microsoft Entra-rapporten voor meer informatie over Microsoft Entra-werkmappen.