Поделиться через

Использование журналов аудита для устранения неполадок с изменениями политики условного доступа

  • Статья

Журнал аудита Microsoft Entra является ценным источником информации при поиске причин возникновения неполадок и анализе изменений политик условного доступа в вашей среде.

Данные журнала аудита по умолчанию хранятся только 30 дней, что может быть недостаточным для определенных организаций. Организации могут хранить данные в течение более длительных периодов, изменяя параметры диагностики в идентификаторе Microsoft Entra на:

  • передачу данных в рабочую область Log Analytics;
  • архивирование данных в учетную запись хранения;
  • Потоковая передача данных в Центры событий
  • отправка данных в решение партнера.

Найдите эти параметры в разделе "Мониторинг удостоверений и параметры диагностики>работоспособности".>> Если у вас нет параметра диагностики, следуйте инструкциям в статье Создание параметров диагностики для отправки журналов и метрик платформы в различные места назначения, чтобы их создать.

Использование журнала аудита

  1. Войдите в Центр администрирования Microsoft Entra как минимум средство чтения отчетов.

  2. Перейдите к журналам мониторинга удостоверений и аудита работоспособности>>.

  3. Выберите диапазон дат, который требуется запросить.

  4. В фильтре службы выберите условный доступ и нажмите кнопку "Применить ".

    Журналы аудита отображают все действия по умолчанию. Откройте фильтр действий, чтобы сузить действия. Полный список действий журнала аудита для условного доступа см. в действиях журнала аудита.

  5. Чтобы просмотреть сведения, выберите строку. На вкладке "Измененные свойства" перечислены измененные значения JSON для выбранного действия аудита.

Запись журнала аудита, показывающая старые и новые значения JSON для политики условного доступа

Использование Log Analytics

Анализ журналов позволяет организациям запрашивать данные с помощью встроенных запросов или пользовательских запросов Kusto. Дополнительные сведения см. в статье Начало работы с запросами журнала в Azure Monitor.

Запрос Log Analytics на обновления политик условного доступа, показывающий расположение новых и старых значений

После включения поиска доступа к Log Analytics в службе "Мониторинг удостоверений и работоспособности>>Log Analytics". Наибольший интерес для администраторов условного доступа представляет таблица AuditLogs.

AuditLogs 
| where OperationName == "Update Conditional Access policy"

Изменения можно найти выбрав TargetResources>modifiedProperties.

Считывание значений

Старые и новые значения из журнала аудита и Log Analytics представлены в формате JSON. Сравните эти значения, чтобы увидеть изменения в политике.

Пример старой политики:

{
    "conditions": {
        "applications": {
            "applicationFilter": null,
            "excludeApplications": [
            ],
            "includeApplications": [
                "797f4846-ba00-4fd7-ba43-dac1f8f63013"
            ],
            "includeAuthenticationContextClassReferences": [
            ],
            "includeUserActions": [
            ]
        },
        "clientAppTypes": [
            "browser",
            "mobileAppsAndDesktopClients"
        ],
        "servicePrincipalRiskLevels": [
        ],
        "signInRiskLevels": [
        ],
        "userRiskLevels": [
        ],
        "users": {
            "excludeGroups": [
                "eedad040-3722-4bcb-bde5-bc7c857f4983"
            ],
            "excludeRoles": [
            ],
            "excludeUsers": [
            ],
            "includeGroups": [
            ],
            "includeRoles": [
            ],
            "includeUsers": [
                "All"
            ]
        }
    },
    "displayName": "Common Policy - Require MFA for Azure management",
    "grantControls": {
        "builtInControls": [
            "mfa"
        ],
        "customAuthenticationFactors": [
        ],
        "operator": "OR",
        "termsOfUse": [
            "a0d3eb5b-6cbe-472b-a960-0baacbd02b51"
        ]
    },
    "id": "334e26e9-9622-4e0a-a424-102ed4b185b3",
    "modifiedDateTime": "2021-08-09T17:52:40.781994+00:00",
    "state": "enabled"
}

Пример обновленной политики:

{
    "conditions": {
        "applications": {
            "applicationFilter": null,
            "excludeApplications": [
            ],
            "includeApplications": [
                "797f4846-ba00-4fd7-ba43-dac1f8f63013"
            ],
            "includeAuthenticationContextClassReferences": [
            ],
            "includeUserActions": [
            ]
        },
        "clientAppTypes": [
            "browser",
            "mobileAppsAndDesktopClients"
        ],
        "servicePrincipalRiskLevels": [
        ],
        "signInRiskLevels": [
        ],
        "userRiskLevels": [
        ],
        "users": {
            "excludeGroups": [
                "eedad040-3722-4bcb-bde5-bc7c857f4983"
            ],
            "excludeRoles": [
            ],
            "excludeUsers": [
            ],
            "includeGroups": [
            ],
            "includeRoles": [
            ],
            "includeUsers": [
                "All"
            ]
        }
    },
    "displayName": "Common Policy - Require MFA for Azure management",
    "grantControls": {
        "builtInControls": [
            "mfa"
        ],
        "customAuthenticationFactors": [
        ],
        "operator": "OR",
        "termsOfUse": [
        ]
    },
    "id": "334e26e9-9622-4e0a-a424-102ed4b185b3",
    "modifiedDateTime": "2021-08-09T17:52:54.9739405+00:00",
    "state": "enabled"
}

В предыдущем примере обновленная политика не включает условия использования в элементах управления предоставления.

Связанный контент