Auditlogboeken gebruiken om problemen met beleidswijzigingen voor voorwaardelijke toegang op te lossen
Het Microsoft Entra auditlogboek is een waardevolle bron van informatie bij het oplossen van problemen waarom en hoe beleid voor voorwaardelijke toegangswijzigingen hebben plaatsgevonden in uw omgeving.
Auditlogboekgegevens worden standaard slechts 30 dagen bewaard, wat misschien niet voor elke organisatie lang genoeg is. Organisaties kunnen gegevens langere perioden opslaan door diagnostische instellingen in Microsoft Entra-id te wijzigen in:
- Gegevens verzenden naar een Log Analytics-werkruimte
- Archiveren in een opslagaccount
- Gegevens streamen naar Event Hubs
- Gegevens verzenden naar partneroplossing
Vind deze opties onder
Het controlelogboek gebruiken
Meld u aan bij het Microsoft Entra-beheercentrum als minimaal een rapportlezer.
Blader naar
Identiteit Bewaking & gezondheid Logboeken controleren .Selecteer het datumbereik waarop u een query wilt uitvoeren.
Selecteer Voorwaardelijke toegang in het servicefilter en selecteer de knop Toepassen.
In de auditlogboeken worden standaard alle activiteiten weergegeven. Open het activiteitsfilter om de activiteiten te beperken. Zie de activiteiten in het auditlogboek voor een volledige lijst met activiteiten in het auditlogboek voor voorwaardelijke toegang.
Als u de details wilt weergeven, selecteert u een rij. Het tabblad Eigenschappen gewijzigd bevat de gewijzigde JSON-waarden voor de geselecteerde controleactiviteit.
Log Analytics gebruiken
Met Log Analytics kunnen organisaties query's uitvoeren op gegevens met ingebouwde query's of aangepaste Kusto-query's. Zie Aan de slag met logboekquery's in Azure Monitor voor meer informatie.
Zodra ingeschakeld, vind toegang tot Log Analytics onder
AuditLogs
| where OperationName == "Update Conditional Access policy"
Wijzigingen vindt u onder TargetResources>modifiedProperties.
De waarden lezen
De oude en nieuwe waarden uit het auditlogboek en Log Analytics hebben de JSON-indeling. Vergelijk de twee waarden om de wijzigingen in het beleid te zien.
Voorbeeld van oud beleid:
{
"conditions": {
"applications": {
"applicationFilter": null,
"excludeApplications": [
],
"includeApplications": [
"797f4846-ba00-4fd7-ba43-dac1f8f63013"
],
"includeAuthenticationContextClassReferences": [
],
"includeUserActions": [
]
},
"clientAppTypes": [
"browser",
"mobileAppsAndDesktopClients"
],
"servicePrincipalRiskLevels": [
],
"signInRiskLevels": [
],
"userRiskLevels": [
],
"users": {
"excludeGroups": [
"eedad040-3722-4bcb-bde5-bc7c857f4983"
],
"excludeRoles": [
],
"excludeUsers": [
],
"includeGroups": [
],
"includeRoles": [
],
"includeUsers": [
"All"
]
}
},
"displayName": "Common Policy - Require MFA for Azure management",
"grantControls": {
"builtInControls": [
"mfa"
],
"customAuthenticationFactors": [
],
"operator": "OR",
"termsOfUse": [
"a0d3eb5b-6cbe-472b-a960-0baacbd02b51"
]
},
"id": "334e26e9-9622-4e0a-a424-102ed4b185b3",
"modifiedDateTime": "2021-08-09T17:52:40.781994+00:00",
"state": "enabled"
}
Voorbeeld van bijgewerkt beleid:
{
"conditions": {
"applications": {
"applicationFilter": null,
"excludeApplications": [
],
"includeApplications": [
"797f4846-ba00-4fd7-ba43-dac1f8f63013"
],
"includeAuthenticationContextClassReferences": [
],
"includeUserActions": [
]
},
"clientAppTypes": [
"browser",
"mobileAppsAndDesktopClients"
],
"servicePrincipalRiskLevels": [
],
"signInRiskLevels": [
],
"userRiskLevels": [
],
"users": {
"excludeGroups": [
"eedad040-3722-4bcb-bde5-bc7c857f4983"
],
"excludeRoles": [
],
"excludeUsers": [
],
"includeGroups": [
],
"includeRoles": [
],
"includeUsers": [
"All"
]
}
},
"displayName": "Common Policy - Require MFA for Azure management",
"grantControls": {
"builtInControls": [
"mfa"
],
"customAuthenticationFactors": [
],
"operator": "OR",
"termsOfUse": [
]
},
"id": "334e26e9-9622-4e0a-a424-102ed4b185b3",
"modifiedDateTime": "2021-08-09T17:52:54.9739405+00:00",
"state": "enabled"
}
In het vorige voorbeeld bevat het bijgewerkte beleid geen gebruiksvoorwaarden in de besturingselementen voor toekenning.