Поделиться через


Просмотр сведений об примененном условном доступе в журналах действий Microsoft Entra

С помощью политик условного доступа вы можете управлять доступом пользователей к ресурсам Azure и Microsoft Entra. В качестве администратора арендатора, вы должны иметь возможность определить, как политики условного доступа влияют на входы в вашу организацию, чтобы при необходимости вы могли принять меры. Кроме того, может потребоваться просмотреть журналы аудита для последних изменений политик условного доступа.

В этой статье объясняется, как просмотреть примененные политики условного доступа в журналах действий Microsoft Entra.

Предварительные условия

Чтобы просмотреть примененные политики условного доступа в журналах, администраторы должны иметь разрешения на просмотр журналов и политик. Наименее привилегированная встроенная роль, которая предоставляет оба разрешения, — это Читатель безопасности. Как наилучшую практику, рекомендуется добавить роль 'Читатель безопасности' в связанные учетные записи администратора.

Следующие встроенные роли предоставляют разрешения на чтение политик условного доступа:

  • Читатель данных о безопасности
  • Администратор безопасности
  • Администратор условного доступа

Следующие встроенные роли предоставляют разрешение на просмотр журналов действий:

  • Просмотр отчетов
  • Читатель сведений о безопасности
  • Администратор безопасности

Разрешения

Если вы используете клиентское приложение или модуль Microsoft Graph PowerShell для извлечения журналов из Microsoft Graph, ваше приложение должно иметь разрешения на получение appliedConditionalAccessPolicy ресурса из Microsoft Graph. Наилучшей практикой является назначение Policy.Read.ConditionalAccess, так как это минимально привилегированное разрешение.

Следующие разрешения позволяют клиентскому приложению получать доступ к журналам действий и любым примененным политикам условного доступа в журналах через Microsoft Graph:

  • Policy.Read.ConditionalAccess
  • Policy.ReadWrite.ConditionalAccess
  • Policy.Read.All
  • AuditLog.Read.All
  • Directory.Read.All

Чтобы использовать модуль Microsoft Graph PowerShell, вам также потребуются следующие разрешения с минимальными привилегиями с необходимым доступом:

  • Чтобы предоставить согласие на необходимые разрешения, выполните следующие действия. Connect-MgGraph -Scopes Policy.Read.ConditionalAccess, AuditLog.Read.All, Directory.Read.All
  • Чтобы просмотреть журналы входа, выполните следующие действия. Get-MgAuditLogSignIn
  • Чтобы просмотреть журналы аудита, выполните следующие действия. Get-MgAuditLogDirectoryAudit

Дополнительные сведения см. в разделе Get-MgAuditLogSignIn и Get-MgAuditLogDirectoryAudit.

Сценарии использования условного доступа и журналы входов

Как администратор Microsoft Entra, вы можете использовать журналы входа:

  • Устранение проблем с входом.
  • Проверьте производительность функций.
  • Оцените безопасность клиента.

В некоторых сценариях требуется получить представление о том, как политики условного доступа были применены к событию входа. Распространенные примеры:

  • Администраторы службы поддержки, которые должны изучить примененные политики условного доступа, чтобы понять, является ли политика основной причиной запроса, созданного пользователем.
  • Администраторы арендатора, которым необходимо убедиться в том, что политики контролируемого доступа имеют запланированный эффект на пользователей арендатора.

Вы можете получить доступ к журналам входа с помощью Центра администрирования Microsoft Entra, портал Azure, Microsoft Graph и PowerShell.

Просмотр политик условного доступа

Сведения о действиях в журналах регистрации входов содержат несколько вкладок. На вкладке "Условный доступ" перечислены политики условного доступа , примененные к событию входа.

  1. Войдите в центр администрирования Microsoft Entra как минимум под ролью Читатель отчетов.
  2. Перейдите к Идентификация>Мониторинг и работоспособность>Журналы входа.
  3. Выберите элемент входа из таблицы, чтобы просмотреть панель сведений о входе.
  4. Перейдите на вкладку условного доступа .

Если политики условного доступа не отображаются, убедитесь, что вы используете роль, которая предоставляет доступ как к журналам входа, так и к политикам условного доступа.

Сценарии условного доступа и журнала аудита

Журналы аудита Microsoft Entra содержат сведения об изменениях политик условного доступа. Журналы аудита можно использовать, чтобы узнать, когда политика была создана, обновлена или удалена.

Чтобы узнать, когда была обновлена существующая политика условного доступа:

  1. Войдите в центр администрирования Microsoft Entra как минимум под ролью Читатель отчетов.
  2. Перейдите к Удостоверения>Мониторинг и состояние>Журналы аудита.
  3. Установите фильтр Service на Conditional Access.
  4. Задайте для фильтра категорий значение Policy.
  5. Установите фильтр действий, чтобы обновить политику условного доступа.

Возможно, вам потребуется изменить дату, чтобы увидеть нужные изменения. В столбце Target отображается имя обновленной политики условного доступа.

Чтобы сравнить текущую политику с предыдущей политикой, выберите запись журнала аудита и перейдите на вкладку "Измененные свойства ".