Поделиться через

Аналитика и отчеты условного доступа

  • Статья

С помощью книги аналитики и отчетов условного доступа можно понять, как меняется влияние политик условного доступа на организацию с течением времени. Во время входа может применяться одна или несколько политик условий доступа, предоставляя доступ, если определенные элементы управления предоставлением удовлетворены, иначе доступ будет запрещен. Так как во время каждого входа может оцениваться несколько политик условного доступа, в книге аналитических сведений и отчетов можно изучить влияние отдельной политики или подмножества всех политик.

Предварительные условия

Чтобы задействовать книгу аналитики и отчетности, ваш арендатор должен иметь следующие возможности:

  • Рабочая область Log Analytics для хранения данных журналов входа.
  • Лицензии Microsoft Entra ID P1 для применения условий доступа.

Пользователи должны иметь по крайней мере назначенную роль читателя безопасности и роли участника рабочей области Log Analytics.

Передача потоков журналов входа из Microsoft Entra ID в журналы Azure Monitor

Если вы не включили журналы Microsoft Entra с журналами Azure Monitor, перед загрузкой книги необходимо выполнить следующие действия.

  1. Создайте рабочую область Log Analytics в Azure Monitor.
  2. Интегрируйте журналы Microsoft Entra с журналами Azure Monitor.

Принцип работы

Чтобы получить доступ к книге аналитики и отчетов, выполните указанные ниже действия.

  1. Войдите в центр администрирования Microsoft Entra как минимум в качестве Читателя по безопасности.
  2. Перейдите к Защита>Условный доступ>Аналитика и отчеты.

Начало работы: выбор параметров

На панели мониторинга аналитики и отчетов можно увидеть влияние одной или нескольких политик условного доступа за указанный период. Сначала задайте все параметры в верхней части рабочей книги.

Снимок экрана: аналитические сведения об условном доступе и книга отчетов.

Политика условного доступа. Чтобы просмотреть их объединенное влияние, выберите одну или несколько политик условного доступа. Политики разделены на две группы: включенные и только для отчетов. По умолчанию выбраны все включенные политики. Это включённые политики, которые в настоящее время применяются в вашем арендаторе.

Диапазон времени: выберите период от 4 часов до 90 дней. Если вы выбрали диапазон времени, который датируется более ранним периодом, чем интеграция журналов Microsoft Entra с Azure Monitor, будут отображаться только входы после времени интеграции.

Пользователь: по умолчанию панель мониторинга показывает влияние выбранных политик для всех пользователей. Чтобы выполнить фильтрацию по отдельному пользователю, введите его имя в текстовом поле. Чтобы выполнить фильтрацию по всем пользователям, введите Все пользователи в текстовом поле или оставьте параметр пустым.

Приложение. По умолчанию панель мониторинга показывает влияние выбранных политик для всех приложений. Чтобы выполнить фильтрацию по отдельному приложению, введите его имя в текстовом поле. Чтобы выполнить фильтрацию по всем приложениям, введите Все приложения в текстовом поле или оставьте параметр пустым.

Представление данных. Выберите, нужно ли отображать панель мониторинга с точки зрения количества пользователей или количества входов. Отдельный пользователь может иметь сотни входов во многие приложения с различными результатами в течение заданного диапазона времени. Если выбрать представление данных для пользователей, пользователь может быть включен как в число успешных, так и в число сбоев. Например, если имеется 10 пользователей, 8 из них могут иметь успешный результат за последние 30 дней, а 9 из них могут иметь неудачу за последние 30 дней.

Сводка влияния

После установки параметров сводка влияния загружается. В сводке показано, сколько пользователей или входов в течение указанного интервала времени имело результат оценки выбранных политик Успешно, Сбой, Требуется действие пользователя или Неприменимо.

Снимок экрана: пример сводки воздействия в рабочей книге условного доступа.

Всего: количество пользователей или входов в течение периода времени, в течение которого была оценена по крайней мере одна из выбранных политик.

Успех: Количество пользователей или входов в систему за период времени, в течение которого совокупный результат для выбранных политик был Успех или Только отчет: успех.

Сбой. Количество пользователей или входов в систему за период времени, в течение которого результат для по крайней мере одной из выбранных политик был Сбой или Только отчет: сбой.

Требуется действие пользователя. Количество пользователей или входов в систему за период времени, в течение которого совокупный результат для выбранных политик был Только отчет: требуется действие пользователя. Действие пользователя требуется, если требуется интерактивный элемент управления предоставления, например многофакторная проверка подлинности. Поскольку интерактивные элементы управления доступом не применяются политиками с функцией только отчетов, невозможно определить, был ли успех или провал.

Не применяется: количество пользователей или входов в течение периода времени, когда ни одна из выбранных политик не применена.

Анализ влияния

Снимок экрана, показывающий разбивку рабочей книги по условиям и статусу.

Вы можете просмотреть распределение пользователей или входов для каждого из условий. Вы можете отфильтровать операции входа с определенным результатом (например, "Успешно" или "Сбой"), выбрав одну из плиток сводных данных в верхней части рабочей книги. Вы можете просмотреть разбивку входов по каждому из условий условного доступа: состояние устройства, платформа устройства, клиентское приложение, расположение, приложение и риск входа.

Детали входа в систему

Снимок экрана, показывающий учетные данные для входа в книгу.

Вы также можете исследовать операции входа конкретного пользователя, выполнив поиск в нижней части панели мониторинга. В запросе отображаются наиболее частые пользователи. Выбор пользователя фильтрует запрос.

Примечание.

При скачивании журналов входа выберите формат JSON, чтобы включить только данные о результатах отчета условного доступа.

Настройте политику условного доступа в режиме «только отчет»

Для настройки политики условного доступа в режиме «только отчет» выполните следующее:

  1. Войдите в Центр администрирования Microsoft Entra в качестве администратора условного доступа.
  2. Перейдите к Защита>Условный доступ>Политики.
  3. Выберите существующую политику или создайте новую.
  4. В разделе Включить политику установите переключатель в режим Только отчет.
  5. Выберите Сохранить

Совет

При изменении значения параметра Включить политику для существующей политики с Вкл. на Только отчет существующее применение политики будет отключено.

Устранение неполадок

Почему происходит сбой запросов из-за ошибки разрешений?

Чтобы получить доступ к рабочей книге, вам нужны соответствующие разрешения в Microsoft Entra ID и Log Analytics. Чтобы проверить, есть ли у вас нужные разрешения на рабочую область, выполните тестовый запрос по аналитике журнала:

  1. Войдите в центр администрирования Microsoft Entra с правами не менее чем Читатель безопасности.
  2. Перейдите к Identity>Monitoring и здоровье>Log Analytics.
  3. Введите SigninLogs в поле запроса и выберите Выполнить.
  4. Если запрос не возвращает результаты, рабочая область может быть настроена неправильно.

Снимок экрана, показывающий, как устранять проблемы с неудачными запросами.

Дополнительные сведения о том, как передавать журналы входа Microsoft Entra в рабочую область Log Analytics, см. в статье "Интеграция журналов Microsoft Entra с журналами Azure Monitor".

Почему запросы в рабочей книге не выполняются?

Клиенты замечают, что запросы иногда завершаются ошибкой, если с книгой связаны неправильные или несколько рабочих областей. Чтобы устранить эту проблему, выберите «Изменить» в верхней части книги, а затем шестерёнку «Настройки». Выберите рабочие области, а затем удалите те из них, которые не связаны с рабочей книгой. С каждой книгой должно быть связано только одно рабочее пространство.

Почему параметр политики условного доступа пуст?

Список политик создается путем просмотра политик, оцененных для самого последнего события входа. Если в клиенте нет недавних входов, может потребоваться несколько минут, чтобы рабочая книга загрузила список политик условного доступа. Пустые результаты могут произойти сразу после настройки Log Analytics или если у клиента нет недавних действий входа.

Почему книга долго загружается?

В зависимости от выбранного диапазона времени и размера вашего арендатора, рабочая книга может оценивать чрезвычайно большое количество событий входа. Для крупных клиентов объем входов может превышать емкость запросов Log Analytics. Попробуйте сократить диапазон времени до 4 часов, а затем узнать, загружается ли книга.

Почему книга возвращает нулевые результаты после нескольких минут загрузки?

Если количество входов в систему превышает емкость запросов Log Analytics, рабочая книга не возвращает результатов. Попробуйте сократить диапазон времени до 4 часов, а затем узнать, загружается ли книга.

Можно ли сохранить выбранные параметры?

Вы можете сохранить выбранные параметры в верхней части книги, перейдя в Идентификация>, Мониторинг и здоровье>, Рабочие книги>, Панель управления условным доступом и отчетностью. Здесь вы найдете шаблон книги, где можно изменить книгу и сохранить копию в рабочей области, включая выбранные параметры, в моих отчетах или общих отчетах.

Можно ли изменить и настроить книгу с использованием других запросов?

Вы можете редактировать и настраивать книгу, перейдя в Идентичность>Мониторинг и здоровье>Рабочие книги>Сведения об условном доступе и отчетность. Здесь вы найдете шаблон рабочей книги, где вы можете изменить рабочую книгу и сохранить копию в своей рабочей области, включая параметры выбора, в разделах Моих отчетов или Общих отчетов. Чтобы начать редактирование запросов, нажмите кнопку "Изменить " в верхней части книги.

Связанный контент