Wyświetlanie zastosowanych szczegółów dostępu warunkowego w dziennikach aktywności firmy Microsoft

Dzięki zasadom dostępu warunkowego możesz kontrolować, jak użytkownicy uzyskują dostęp do zasobów platformy Azure i firmy Microsoft Entra. Jako administrator dzierżawy musisz mieć możliwość określenia, jaki wpływ mają zasady dostępu warunkowego na logowania do dzierżawy, aby w razie potrzeby móc podjąć działania. Może być również konieczne wyświetlenie dzienników inspekcji dla ostatnich zmian zasad dostępu warunkowego.

W tym artykule wyjaśniono, jak wyświetlić zastosowane zasady dostępu warunkowego w dziennikach aktywności firmy Microsoft Entra.

Wymagania wstępne

Aby wyświetlić zastosowane zasady dostępu warunkowego w dziennikach, administratorzy muszą mieć uprawnienia do wyświetlania dzienników i zasad. Najmniej uprzywilejowana wbudowana rola, która przyznaje oba uprawnienia, to Czytelnik zabezpieczeń. Najlepszym rozwiązaniem jest dodanie roli Czytelnik zabezpieczeń do powiązanych kont administratorów.

Następujące wbudowane role udzielają uprawnień do odczytu zasad dostępu warunkowego:

• Czytelnik zabezpieczeń
• Administrator zabezpieczeń
• Administrator dostępu warunkowego

Następujące wbudowane role udzielają uprawnień do wyświetlania dzienników aktywności:

• Czytelnik raportów
• Czytelnik zabezpieczeń
• Administrator zabezpieczeń

Uprawnienia

Jeśli używasz aplikacji klienckiej lub modułu programu Microsoft Graph PowerShell do ściągania dzienników z programu Microsoft Graph, aplikacja musi mieć uprawnienia do odbierania appliedConditionalAccessPolicy zasobu z programu Microsoft Graph. Najlepszym rozwiązaniem jest przypisanie Policy.Read.ConditionalAccess , ponieważ jest to najmniej uprzywilejowane uprawnienie.

Następujące uprawnienia umożliwiają aplikacji klienckiej dostęp do dzienników aktywności i wszystkich zastosowanych zasad dostępu warunkowego w dziennikach za pośrednictwem programu Microsoft Graph:

• Policy.Read.ConditionalAccess
• Policy.ReadWrite.ConditionalAccess
• Policy.Read.All
• AuditLog.Read.All
• Directory.Read.All

Do korzystania z modułu Programu PowerShell programu Microsoft Graph potrzebne są również następujące najmniej uprzywilejowane uprawnienia z wymaganym dostępem:

• Aby wyrazić zgodę na niezbędne uprawnienia: Connect-MgGraph -Scopes Policy.Read.ConditionalAccess, AuditLog.Read.All, Directory.Read.All
• Aby wyświetlić dzienniki logowania: Get-MgAuditLogSignIn
• Aby wyświetlić dzienniki inspekcji: Get-MgAuditLogDirectoryAudit

Aby uzyskać więcej informacji, zobacz Get-MgAuditLogSignIn i Get-MgAuditLogDirectoryAudit.

Scenariusze logowania i dostępu warunkowego

Jako administrator firmy Microsoft Entra możesz użyć dzienników logowania, aby:

• Rozwiązywanie problemów z logowaniem.
• Sprawdź wydajność funkcji.
• Ocena zabezpieczeń dzierżawy.

Niektóre scenariusze wymagają zrozumienia sposobu zastosowania zasad dostępu warunkowego do zdarzenia logowania. Do powszechnych przykładów należą:

• Administratorzy pomocy technicznej, którzy muszą przyjrzeć się zastosowanym zasadom dostępu warunkowego, aby zrozumieć, czy zasady są główną przyczyną otwarcia biletu przez użytkownika.
• Administratorzy dzierżawy, którzy muszą sprawdzić, czy zasady dostępu warunkowego mają zamierzony wpływ na użytkowników dzierżawy.

Dostęp do dzienników logowania można uzyskać przy użyciu centrum administracyjnego firmy Microsoft Entra, witryny Azure Portal, programu Microsoft Graph i programu PowerShell.

Jak wyświetlić zasady dostępu warunkowego

Centrum administracyjne firmy Microsoft Entra

Napiwek

Kroki opisane w tym artykule mogą się nieznacznie różnić w zależności od portalu, od którego zaczynasz.

Szczegóły działania dzienników logowania zawierają kilka kart. Karta Dostęp warunkowy zawiera listę zasad dostępu warunkowego zastosowanych do tego zdarzenia logowania.

1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako co najmniej czytelnik raportów.
2. Przejdź do dzienników logowania do monitorowania tożsamości>i kondycji.>
3. Wybierz element logowania z tabeli, aby wyświetlić okienko szczegółów logowania.
4. Wybierz kartę Dostęp warunkowy.

Jeśli nie widzisz zasad dostępu warunkowego, upewnij się, że używasz roli, która zapewnia dostęp zarówno do dzienników logowania, jak i zasad dostępu warunkowego.

Interfejs API programu Microsoft Graph

Postępuj zgodnie z tymi instrukcjami, aby wyświetlić zasady dostępu warunkowego i szczegóły dziennika przy użyciu interfejsu API programu Microsoft Graph w Eksploratorze programu Graph.

1. Zaloguj się do Eksploratora programu Graph.

2. Wybierz pozycję GET jako metodę HTTP z listy rozwijanej.

3. Wybierz wersję interfejsu API do wersji 1.0.

4. Aby uzyskać próby logowania, w których dostęp warunkowy zakończył się niepowodzeniem w określonym przedziale czasu, dodaj następujące zapytanie i wybierz pozycję Uruchom zapytanie.

   GET https://graph.microsoft.com/v1.0/auditLogs/signIns?$filter=(createdDateTime ge 2024-11-01T14:13:32Z and createdDateTime le 2024-11-10T17:43:26Z) and conditionalAccessStatus eq 'failure'
   

5. Aby wyświetlić określone zasady dostępu warunkowego, dodaj identyfikator zasad.

   GET https://graph.microsoft.com/v1.0/identity/conditionalAccess/policies/{id}
   

Aby uzyskać więcej informacji, przejrzyj poniższe zasoby:

• conditionalAccessPolicy typ zasobu
• signIn, typ zasobu

Microsoft Graph PowerShell

Wykonaj następujące kroki, aby wyświetlić listę ról usługi Microsoft Entra przy użyciu programu PowerShell.

1. Otwórz okno programu PowerShell. W razie potrzeby użyj polecenia Install-Module , aby zainstalować program Microsoft Graph PowerShell. Aby uzyskać więcej informacji, zobacz Wymagania wstępne dotyczące używania programu PowerShell lub Eksploratora programu Graph.

   Install-Module Microsoft.Graph -Scope CurrentUser
   

2. W oknie programu PowerShell użyj polecenia Connect-MgGraph , aby zalogować się do dzierżawy.

   Connect-MgGraph -Scopes "Policy.Read.All", "Policy.Read.ConditionalAccess"
   

3. Użyj polecenia Get-MgIdentityConditionalAccessPolicy , aby uzyskać wszystkie zasady dostępu warunkowego.

   Get-MgIdentityConditionalAccessPolicy
   

4. Aby sformatować wyniki jako listę, użyj następującego polecenia:

   Get-MgIdentityConditionalAccessPolicy |Format-List
   

Następujące polecenie może służyć do eksportowania dzienników logowania do pliku CSV sformatowanego w celu wyróżnienia szczegółów związanych z dostępem warunkowym.

1. Zdefiniuj wyjściową ścieżkę pliku CSV.

   $PathCsv = "C:\\temp\\ConditionalAccessSignInLogs.csv"
   

2. Pobierz dzienniki, przefiltrowane z określonej daty i wyeksportuj je do pliku CSV.

   $SignInLogs = Get-MgAuditLogSignIn -Filter "createdDateTime gt 2024-11-10T05:30:00.0Z" | Select-Object `
   @{Name="ResourceName";Expression={$_.ResourceDisplayName}}, `
   @{Name="User";Expression={$_.UserDisplayName}}, `
   @{Name="IPv4";Expression={$_.IPAddress}}, `
   @{Name="Location";Expression={$_.Location.City}}, `
   @{Name="NamedLocation";Expression={$_.ConditionalAccessLocations}}, `
   @{Name="Success/Failure/ReportOnly";Expression={$_.ConditionalAccessStatus}}, `
   @{Name="FailureReason";Expression={$_.FailureReason}}, `
   @{Name="Details";Expression={$_.ConditionalAccessDetails}}, `
   @{Name="DeviceName";Expression={$_.DeviceDetail.DeviceDisplayName}}, `
   @{Name="ClientApp";Expression={$_.ClientAppUsed}} | 
   Export-Csv -Path $PathCsv -NoTypeInformation
   
   Write-Host "Conditional Access SignInLogs exported to $PathCsv"
   

Scenariusze dostępu warunkowego i dziennika inspekcji

Dzienniki inspekcji firmy Microsoft Entra zawierają informacje o zmianach zasad dostępu warunkowego. Możesz użyć dzienników inspekcji, aby dowiedzieć się, kiedy zasady zostały utworzone, zaktualizowane lub usunięte.

Aby sprawdzić, kiedy zaktualizowano istniejące zasady dostępu warunkowego:

1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako co najmniej czytelnik raportów.
2. Przejdź do obszaru Monitorowanie tożsamości>i dzienniki inspekcji kondycji.>
3. Ustaw filtr usługi na dostęp warunkowy.
4. Ustaw filtr Kategoria na Zasady.
5. Ustaw filtr Działania na Aktualizuj zasady dostępu warunkowego.

Może być konieczne dostosowanie daty, aby zobaczyć zmiany, których szukasz. Kolumna Target (Cel ) zawiera nazwę zaktualizowanych zasad dostępu warunkowego.

Aby porównać bieżące zasady z poprzednimi zasadami, wybierz wpis dziennika inspekcji, a następnie wybierz kartę Zmodyfikowane właściwości .

Powiązana zawartość

• Rozwiązywanie problemów z logowaniem powiązanym z dostępem warunkowym
• Przejrzyj dzienniki logowania warunkowego — często zadawane pytania
• Dowiedz się więcej o dziennikach logowania