Udostępnij za pośrednictwem

Szczegółowe informacje i raportowanie dostępu warunkowego

  • Artykuł

Skoroszyt informacji o dostępie warunkowym i raportowaniu umożliwia zrozumienie wpływu zasad dostępu warunkowego w organizacji z upływem czasu. Podczas logowania można zastosować co najmniej jedną zasady dostępu warunkowego, udzielając dostępu, jeśli niektóre mechanizmy kontroli udzielania są spełnione lub nie zezwalają na dostęp. Ponieważ podczas każdego logowania można ocenić wiele zasad dostępu warunkowego, skoroszyt szczegółowych informacji i raportowania umożliwia sprawdzenie wpływu poszczególnych zasad lub podzestawu wszystkich zasad.

Wymagania wstępne

Aby włączyć skoroszyt szczegółowych informacji i raportowania, konto dzierżawy musi mieć następujące elementy:

  • Obszar roboczy usługi Log Analytics do przechowywania danych dzienników logowania.
  • Licencje Microsoft Entra ID P1 do korzystania z Dostępu Warunkowego.

Użytkownicy muszą mieć przypisaną co najmniej rolę Czytelnika zabezpieczeń oraz rolę Współautora obszaru roboczego Log Analytics.

Przesyłaj dzienniki logowania z Microsoft Entra ID do dzienników usługi Azure Monitor

Jeśli dzienniki usługi Microsoft Entra nie zostały zintegrowane z dziennikami usługi Azure Monitor, przed załadowaniem skoroszytu należy wykonać następujące czynności:

  1. Utwórz obszar roboczy usługi Log Analytics w usłudze Azure Monitor.
  2. Integrowanie dzienników firmy Microsoft Entra z dziennikami usługi Azure Monitor.

Jak to działa

Aby uzyskać dostęp do szczegółowych informacji i skoroszytu raportowania:

  1. Zaloguj się do centrum administracyjnego Microsoft Entra co najmniej jako Czytelnik zabezpieczeń.
  2. Przejdź do Ochrona>Dostęp warunkowy>Wgląd i raportowanie.

Wprowadzenie: wybieranie parametrów

Panel analizy i raportowania pozwala zobaczyć wpływ jednej lub więcej zasad dostępu warunkowego w określonym okresie. Zacznij od ustawienia każdego z parametrów w górnej części skoroszytu.

Zrzut ekranu przedstawiający szczegółowe informacje o dostępie warunkowym i skoroszyt raportowania.

Zasady dostępu warunkowego: aby wyświetlić ich łączny wpływ, wybierz co najmniej jedną zasadę dostępu warunkowego. Zasady są rozdzielone na dwie grupy: włączone zasady i zasady tylko raportowania. Domyślnie są zaznaczone wszystkie włączone zasady. Te włączone zasady są obecnie wymuszane w Twojej dzierżawie.

Zakres czasu: wybierz zakres czasu od 4 godzin do nawet 90 dni. Jeśli wybrano zakres czasu wcześniejszy niż moment integracji dzienników Microsoft Entra z usługą Azure Monitor, pojawią się tylko logowania dokonane po tej integracji.

Użytkownik: domyślnie pulpit nawigacyjny pokazuje wpływ wybranych zasad dla wszystkich użytkowników. Aby filtrować według pojedynczego użytkownika, wpisz nazwę użytkownika w polu tekstowym. Aby filtrować według wszystkich użytkowników, wpisz Wartość Wszyscy użytkownicy w polu tekstowym lub pozostaw pusty parametr.

Aplikacja: domyślnie pulpit nawigacyjny pokazuje wpływ wybranych zasad dla wszystkich aplikacji. Aby filtrować według poszczególnych aplikacji, wpisz nazwę aplikacji w polu tekstowym. Aby filtrować według wszystkich aplikacji, wpisz Wszystkie aplikacje w polu tekstowym lub pozostaw pusty parametr.

Widok danych: wybierz, czy pulpit nawigacyjny ma wyświetlać wyniki pod względem liczby użytkowników lub liczby logów. Pojedynczy użytkownik może mieć setki logów do wielu aplikacji z wieloma różnymi wynikami w danym zakresie czasu. Jeśli wybierzesz widok danych dotyczących użytkowników, użytkownik może zostać uwzględniony zarówno w liczbie sukcesów, jak i niepowodzeń. Na przykład, jeśli jest 10 użytkowników, 8 z nich mogło osiągnąć sukces w ciągu ostatnich 30 dni, a 9 z nich mogło napotkać porażkę w ciągu ostatnich 30 dni.

Podsumowanie wpływu

Po ustawieniu parametrów ładuje się podsumowanie wpływu. W podsumowaniu pokazano, ilu użytkowników lub logowań w określonym przedziale czasu spowodowało powodzenie, niepowodzenie, wymagana akcja użytkownika lub nie zastosowano przy ocenie wybranych zasad.

Zrzut ekranu przedstawiający przykładowe podsumowanie wpływu w skoroszycie dostępu warunkowego.

Suma: liczba użytkowników lub logów w okresie, w którym oceniano co najmniej jedną z wybranych zasad.

Powodzenie: liczba użytkowników lub logowań w okresie, w którym łączny wynik wybranych zasad to Powodzenie lub Tylko raport: Powodzenie.

Niepowodzenie: liczba użytkowników lub logowań w okresie, w którym wynik co najmniej jednej z wybranych zasad to Niepowodzenie lub Tylko raport: Niepowodzenie.

Wymagana akcja użytkownika: liczba użytkowników lub logowań w okresie, w którym łączny wynik wybranych zasad to Tylko raport: wymagana akcja użytkownika. Akcja użytkownika jest wymagana, gdy wymagana jest interaktywna kontrola udzielania, taka jak uwierzytelnianie wieloskładnikowe. Ponieważ interaktywne mechanizmy kontroli przydzielania nie są wymuszane przez zasady wyłącznie do celów raportowania, nie można określić, czy zakończyły się sukcesem, czy niepowodzeniem.

Nie zastosowano: liczba użytkowników lub logów w okresie, w którym żadna z wybranych zasad nie została zastosowana.

Zrozumienie wpływu

Zrzut ekranu przedstawiający rozbicie skoroszytu według warunków i statusów.

Wyświetl podział użytkowników lub logowań dla każdego z warunków. Możesz filtrować logowania dla określonego wyniku (na przykład sukces lub niepowodzenie), wybierając jeden z kafelków podsumowania na górze skoroszytu. Możesz zobaczyć podział logowań dla każdego z warunków dostępu warunkowego: stan urządzenia, platforma urządzenia, aplikacja kliencka, lokalizacja, aplikacja, aplikacja i ryzyko logowania.

Szczegóły logowania

Zrzut ekranu przedstawiający szczegóły logowania do skoroszytu.

Możesz również zbadać logowania określonego użytkownika, wyszukując logowania w dolnej części pulpitu nawigacyjnego. Zapytanie wyświetla najczęściej spotykanych użytkowników. Wybranie użytkownika filtruje zapytanie.

Uwaga

Podczas pobierania dzienników logowania wybierz format JSON, aby uwzględnić dane wynikowe tylko dla dostępu warunkowego.

Konfigurowanie zasad dostępu warunkowego w trybie wyłącznie raportowym

Aby skonfigurować zasady dostępu warunkowego w trybie tylko do raportu:

  1. Zaloguj się do centrum administracyjnego Microsoft Entra jako co najmniej Administrator dostępu warunkowego.
  2. Przejdź do Ochrona>Dostęp warunkowy>Zasady.
  3. Wybierz istniejące zasady lub utwórz nowe zasady.
  4. W obszarze Włącz politykę ustaw przełącznik na tryb raporowania.
  5. Wybierz Zapisz

Napiwek

Edytowanie stanu zasad w ustawieniu Włącz istniejącej zasady z Włączone na Tylko raportowanie powoduje wyłączenie egzekwowania istniejących zasad.

Rozwiązywanie problemów

Dlaczego zapytania kończą się niepowodzeniem z powodu błędu uprawnień?

Aby uzyskać dostęp do skoroszytu, potrzebne są odpowiednie uprawnienia w usłudze Microsoft Entra ID i Log Analytics. Aby sprawdzić, czy masz odpowiednie uprawnienia obszaru roboczego, uruchamiając przykładowe zapytanie usługi Log Analytics:

  1. Zaloguj się do centrum administracyjnego Microsoft Entra jako co najmniej czytelnik zabezpieczeń.
  2. Przejdź do Tożsamość>Monitorowanie i kondycja>Analiza dzienników.
  3. Wpisz SigninLogs w polu zapytania i wybierz pozycję Uruchom.
  4. Jeśli zapytanie nie zwraca żadnych wyników, obszar roboczy może nie zostać poprawnie skonfigurowany.

Zrzut ekranu przedstawiający sposób rozwiązywania problemów z niepowodzeniem zapytań.

Aby uzyskać więcej informacji na temat przesyłania strumieniowego dzienników logowania w usłudze Microsoft Entra do obszaru roboczego usługi Log Analytics, zobacz artykuł Integrowanie dzienników firmy Microsoft Entra z dziennikami usługi Azure Monitor.

Dlaczego zapytania w skoroszycie kończą się niepowodzeniem?

Klienci zauważają, że zapytania czasami kończą się niepowodzeniem, jeśli z skoroszytem są skojarzone nieprawidłowe lub wiele obszarów roboczych. Aby rozwiązać ten problem, wybierz pozycję Edytuj w górnej części skoroszytu, a następnie koło zębate Ustawienia. Wybierz i usuń obszary robocze, które nie są skojarzone ze skoroszytem. Z każdym skoroszytem powinien być skojarzony tylko jeden obszar roboczy.

Dlaczego parametr zasad dostępu warunkowego jest pusty?

Lista zasad jest generowana przez przyjrzenie się zasadom ocenianym pod kątem ostatniego zdarzenia logowania. Jeśli w dzierżawie nie ma niedawnych logowań, może być konieczne odczekanie kilku minut, aż skoroszyt załaduje listę zasad dostępu warunkowego. Puste wyniki mogą wystąpić natychmiast po skonfigurowaniu usługi Log Analytics lub jeśli dzierżawa nie ma niedawnej aktywności logowania.

Dlaczego ładowanie skoroszytu trwa długo?

W zależności od wybranego zakresu czasu i rozmiaru Twojej dzierżawy, skoroszyt może oceniać niezwykle dużą liczbę zdarzeń logowania użytkowników. W przypadku dużych dzierżawców liczba logowań może przekroczyć pojemność zapytań w usłudze Log Analytics. Spróbuj skrócić zakres czasu do 4 godzin, a następnie sprawdź, czy skoroszyt zostanie załadowany.

Dlaczego skoroszyt zwraca zero wyników po załadowaniu przez kilka minut?

Gdy liczba logów przekracza pojemność zapytań usługi Log Analytics, skoroszyt zwraca zero wyników. Spróbuj skrócić zakres czasu do 4 godzin, a następnie sprawdź, czy skoroszyt zostanie załadowany.

Czy mogę zapisać wybrane parametry?

Możesz zapisać wybrane parametry w górnej części skoroszytu, przechodząc do Tożsamość>Monitorowanie i kondycja>Skoroszyty>Wgląd w dostęp warunkowy i raportowanie. W tym miejscu znajdziesz szablon skoroszytu, w którym można edytować skoroszyt i zapisać kopię w swojej przestrzeni roboczej, wraz z wyborem parametrów, w obszarze Moje raporty lub Udostępnione raporty.

Czy mogę edytować i dostosowywać skoroszyt przy użyciu innych zapytań?

Skoroszyt można edytować i dostosowywać, przechodząc do Tożsamość>Monitorowanie i kondycja>Skoroszyty>Wgląd w dostęp warunkowy i raportowanie. W tym miejscu znajdziesz szablon skoroszytu, w którym możesz edytować skoroszyt i zapisać kopię w swoim obszarze roboczym, łącznie z wybranymi parametrami, w Moje raporty lub Udostępnione raporty. Aby rozpocząć edytowanie zapytań, wybierz pozycję Edytuj w górnej części skoroszytu.

Powiązana zawartość