Что такое режим только для отчета условного доступа?
Условный доступ широко используется нашими клиентами для обеспечения безопасности, применяя правильные элементы управления доступом в правильных обстоятельствах. Однако одной из проблем с развертыванием политики условного доступа в организации является определение влияния на конечных пользователей. Это может быть трудно предвидеть число и имена пользователей, затронутых общими инициативами безопасности. Эти инициативы могут включать: блокировка устаревшей проверки подлинности, требование многофакторной проверки подлинности для населения пользователей или реализация политик риска входа.
Режим только для отчетов — это новое состояние политики условного доступа, позволяющее администраторам оценить влияние политик условного доступа, прежде чем включить их в своей среде.
- Политики условного доступа можно оценивать в режиме только для отчета, за исключением элементов, включенных в область "Действия пользователя".
- Во время входа в систему политики в режиме отчетов оцениваются, но не применяются.
- Результаты регистрируются на вкладках "Условный доступ" и "Только отчет" в сведениях журнала входа.
- Клиенты с подпиской Azure Monitor могут отслеживать влияние политик условного доступа с помощью книги аналитики условного доступа.
Предупреждение
Политики в режиме только для отчетов, для которых требуются соответствующие устройства, могут предлагать пользователям в Mac, iOS и Android выбрать сертификат устройства во время оценки политики, даже если соответствие устройств не применяется. Эти запросы могут повторяться до тех пор, пока устройство не будет совместимо. Чтобы запретить конечным пользователям получать запросы во время входа, исключите платформы устройств Mac, iOS и Android из политик только для отчетов, выполняющих проверки соответствия устройств. Обратите внимание, что режим только для отчетов не применяется для политик условного доступа с областью "Действия пользователя".
Результаты политики
Если политика оценивается в режиме только отчет для данной попытки входа, возможны четыре новых значения результатов:
| Результат | Описание |
|---|---|
| Только отчет: успех | Выполнены все настроенные условия политики, необходимые неинтерактивные элементы управления предоставления и элементы управления сеансами. Например, требование многофакторной аутентификации может быть выполнено за счет наличия утверждения MFA уже в токене, или политика соответствия устройства может быть выполнена путем проверки совместимого устройства. |
| Только отчет: ошибка | Все настроенные условия политики были выполнены, однако не были выполнены все необходимые неинтерактивные элементы управления правами доступа или элементами управления сеансами. Например, политика применяется к пользователю, для которого настроено блокирование, или устройство не проходит политику соответствия устройства. |
| Только отчет: требуется действие пользователя | Все настроенные условия политики были выполнены, но для удовлетворения необходимых элементов управления доступом или сеансов потребуется действие пользователя. При использовании режима только для отчетов пользователю не предлагается выполнить требования обязательных элементов управления. Например, пользователям не предлагается многофакторная аутентификация или условия использования. |
| Только для отчетов: не применяется | Не все условия настроенной политики были выполнены. Например, пользователь исключен из политики или политика применяется только к определенным доверенным местоположениям. |
Рабочая тетрадь "Анализ условного доступа"
Администраторы имеют возможность создавать несколько политик в режиме только для отчетов, поэтому необходимо понять, как индивидуальное влияние каждой политики, так и объединенное влияние нескольких политик, оцененных вместе. Новая книга "Аналитика условного доступа" позволяет администраторам визуализировать запросы условного доступа и отслеживать влияние политики в течение заданного диапазона времени, набора приложений и пользователей.