Toegepaste details van voorwaardelijke toegang weergeven in de activiteitenlogboeken van Microsoft Entra

Met beleid voor voorwaardelijke toegang kunt u bepalen hoe uw gebruikers toegang krijgen tot uw Azure- en Microsoft Entra-resources. Als tenantbeheerder moet u kunnen bepalen welk effect uw beleid voor voorwaardelijke toegang heeft op aanmeldingen bij uw tenant, zodat u zo nodig actie kunt ondernemen. Mogelijk moet u ook auditlogboeken weergeven voor recente wijzigingen in beleid voor voorwaardelijke toegang.

In dit artikel wordt uitgelegd hoe u toegepaste beleidsregels voor voorwaardelijke toegang kunt weergeven in de activiteitenlogboeken van Microsoft Entra.

Vereisten

Als u toegepast beleid voor voorwaardelijke toegang in de logboeken wilt zien, moeten beheerders machtigingen hebben om zowel de logboeken als het beleid weer te geven. De minst bevoorrechte ingebouwde rol die beide machtigingen verleent, is Beveiligingslezer. Als best practice moet u de rol Beveiligingslezer toevoegen aan de gerelateerde beheerdersaccounts.

De volgende ingebouwde rollen verlenen machtigingen om beleid voor voorwaardelijke toegang te lezen:

• Beveiligingslezer
• Beveiligingsbeheer
• Beheerder voor voorwaardelijke toegang

De volgende ingebouwde rollen verlenen toestemming om activiteitenlogboeken weer te geven:

• Rapportenlezer
• Beveiligingslezer
• Beveiligingsbeheer

Machtigingen

Als u een client-app of de Microsoft Graph PowerShell-module gebruikt om logboeken op te halen uit Microsoft Graph, heeft uw app machtigingen nodig om de appliedConditionalAccessPolicy resource van Microsoft Graph te ontvangen. Wijs het beste toe Policy.Read.ConditionalAccess omdat dit de minst bevoegde machtiging is.

Met de volgende machtigingen kan een client-app toegang krijgen tot de activiteitenlogboeken en alle toegepaste beleidsregels voor voorwaardelijke toegang in de logboeken via Microsoft Graph:

• Policy.Read.ConditionalAccess
• Policy.ReadWrite.ConditionalAccess
• Policy.Read.All
• AuditLog.Read.All
• Directory.Read.All

Als u de Microsoft Graph PowerShell-module wilt gebruiken, hebt u ook de volgende machtigingen met minimale bevoegdheden nodig met de benodigde toegang:

• Ga als volgende te werk om toestemming te geven voor de benodigde machtigingen: Connect-MgGraph -Scopes Policy.Read.ConditionalAccess, AuditLog.Read.All, Directory.Read.All
• De aanmeldingslogboeken weergeven: Get-MgAuditLogSignIn
• Ga als volgende te werk om de auditlogboeken weer te geven: Get-MgAuditLogDirectoryAudit

Zie Get-MgAuditLogSignIn en Get-MgAuditLogDirectoryAudit voor meer informatie.

Scenario's voor voorwaardelijke toegang en aanmeldingslogboeken

Als Microsoft Entra-beheerder kunt u de aanmeldingslogboeken gebruiken om het volgende te doen:

• Problemen met aanmelden oplossen.
• Controleer de functieprestaties.
• Evalueer de beveiliging van een tenant.

Voor sommige scenario's moet u inzicht krijgen in hoe uw beleid voor voorwaardelijke toegang is toegepast op een aanmeldingsgebeurtenis. Dit zijn enkele veel voorkomende voorbeelden:

• Helpdeskbeheerders die het toegepaste beleid voor voorwaardelijke toegang moeten bekijken om te begrijpen of een beleid de hoofdoorzaak is van een ticket dat een gebruiker heeft geopend.
• Tenantbeheerders die moeten controleren of het beleid voor voorwaardelijke toegang het beoogde effect heeft op de gebruikers van een tenant.

U hebt toegang tot de aanmeldingslogboeken via het Microsoft Entra-beheercentrum, de Azure-portal, Microsoft Graph en PowerShell.

Beleid voor voorwaardelijke toegang weergeven

Microsoft Entra-beheercentrum

Tip

Stappen in dit artikel kunnen enigszins variëren op basis van de portal waaruit u begint.

De activiteitsgegevens van aanmeldingslogboeken bevatten verschillende tabbladen. Op het tabblad Voorwaardelijke toegang worden de beleidsregels voor voorwaardelijke toegang vermeld die zijn toegepast op die aanmeldingsgebeurtenis.

1. Meld u aan bij het Microsoft Entra-beheercentrum als minimaal een rapportlezer.
2. Blader naar aanmeldingslogboeken voor identiteitsbewaking>en -status>.
3. Selecteer een aanmeldingsitem in de tabel om het detailvenster voor aanmelding weer te geven.
4. Selecteer het tabblad Voorwaardelijke toegang .

Als u het beleid voor voorwaardelijke toegang niet ziet, controleert u of u een rol gebruikt die toegang biedt tot zowel de aanmeldingslogboeken als het beleid voor voorwaardelijke toegang.

Microsoft Graph API

Volg deze instructies om beleidsregels voor voorwaardelijke toegang en logboekgegevens weer te geven met behulp van de Microsoft Graph API in Graph Explorer.

1. Meld u aan bij Graph Explorer.

2. Selecteer GET als de HTTP-methode in de vervolgkeuzelijst.

3. Selecteer de API-versie naar v1.0.

4. Als u aanmeldingspogingen wilt ophalen waarbij voorwaardelijke toegang is mislukt tijdens een bepaald tijdsbestek, voegt u de volgende query toe en selecteert u Query uitvoeren.

   GET https://graph.microsoft.com/v1.0/auditLogs/signIns?$filter=(createdDateTime ge 2024-11-01T14:13:32Z and createdDateTime le 2024-11-10T17:43:26Z) and conditionalAccessStatus eq 'failure'
   

5. Als u een specifiek beleid voor voorwaardelijke toegang wilt weergeven, voegt u de beleids-id toe.

   GET https://graph.microsoft.com/v1.0/identity/conditionalAccess/policies/{id}
   

Raadpleeg de volgende informatiebronnen voor meer informatie:

• resourcetype conditionalAccessPolicy
• signIn-resourcetype

Microsoft Graph PowerShell

Volg deze stappen om Microsoft Entra-rollen weer te geven met behulp van PowerShell.

1. Open een PowerShell-venster. Gebruik indien nodig Install-Module om Microsoft Graph PowerShell te installeren. Raadpleeg Vereisten voor het gebruik van PowerShell of Graph Explorer voor meer informatie.

   Install-Module Microsoft.Graph -Scope CurrentUser
   

2. Gebruik Connect-MgGraph in een PowerShell-venster om u aan te melden bij uw tenant.

   Connect-MgGraph -Scopes "Policy.Read.All", "Policy.Read.ConditionalAccess"
   

3. Gebruik Get-MgIdentityConditionalAccessPolicy om alle beleidsregels voor voorwaardelijke toegang op te halen.

   Get-MgIdentityConditionalAccessPolicy
   

4. Als u de resultaten wilt opmaken als een lijst, gebruikt u de volgende opdracht:

   Get-MgIdentityConditionalAccessPolicy |Format-List
   

De volgende opdracht kan worden gebruikt om aanmeldingslogboeken te exporteren naar een CSV-bestand, opgemaakt om de details van voorwaardelijke toegang te markeren.

1. Definieer het pad naar het CSV-uitvoerbestand.

   $PathCsv = "C:\\temp\\ConditionalAccessSignInLogs.csv"
   

2. Haal de logboeken op, gefilterd op een opgegeven datum en exporteer ze naar het CSV-bestand.

   $SignInLogs = Get-MgAuditLogSignIn -Filter "createdDateTime gt 2024-11-10T05:30:00.0Z" | Select-Object `
   @{Name="ResourceName";Expression={$_.ResourceDisplayName}}, `
   @{Name="User";Expression={$_.UserDisplayName}}, `
   @{Name="IPv4";Expression={$_.IPAddress}}, `
   @{Name="Location";Expression={$_.Location.City}}, `
   @{Name="NamedLocation";Expression={$_.ConditionalAccessLocations}}, `
   @{Name="Success/Failure/ReportOnly";Expression={$_.ConditionalAccessStatus}}, `
   @{Name="FailureReason";Expression={$_.FailureReason}}, `
   @{Name="Details";Expression={$_.ConditionalAccessDetails}}, `
   @{Name="DeviceName";Expression={$_.DeviceDetail.DeviceDisplayName}}, `
   @{Name="ClientApp";Expression={$_.ClientAppUsed}} | 
   Export-Csv -Path $PathCsv -NoTypeInformation
   
   Write-Host "Conditional Access SignInLogs exported to $PathCsv"
   

Scenario's voor voorwaardelijke toegang en auditlogboek

De Auditlogboeken van Microsoft Entra bevatten informatie over wijzigingen in beleid voor voorwaardelijke toegang. U kunt de auditlogboeken gebruiken om erachter te komen wanneer een beleid is gemaakt, bijgewerkt of verwijderd.

Als u wilt zien wanneer een bestaand beleid voor voorwaardelijke toegang is bijgewerkt:

1. Meld u aan bij het Microsoft Entra-beheercentrum als minimaal een rapportlezer.
2. Blader naar logboeken voor identiteitsbewaking>en statuscontrole>.
3. Stel het servicefilter in op voorwaardelijke toegang.
4. Stel het categoriefilter in op Beleid.
5. Stel het activiteitsfilter in op Beleid voor voorwaardelijke toegang bijwerken.

Mogelijk moet u de datum aanpassen om de wijzigingen te zien die u zoekt. In de kolom Doel ziet u de naam van het beleid voor voorwaardelijke toegang dat is bijgewerkt.

Als u het huidige beleid wilt vergelijken met het vorige beleid, selecteert u de vermelding in het auditlogboek en selecteert u vervolgens het tabblad Gewijzigde eigenschappen .

Gerelateerde inhoud

• Problemen met betrekking tot voorwaardelijke toegang oplossen
• Veelgestelde vragen over aanmeldingslogboeken voor voorwaardelijke toegang bekijken
• Meer informatie over de aanmeldingslogboeken