Просмотр сведений об примененном условном доступе в журналах действий Microsoft Entra

С помощью политик условного доступа вы можете управлять доступом пользователей к ресурсам Azure и Microsoft Entra. В качестве администратора арендатора, вы должны иметь возможность определить, как политики условного доступа влияют на входы в вашу организацию, чтобы при необходимости вы могли принять меры. Кроме того, может потребоваться просмотреть журналы аудита для последних изменений политик условного доступа.

В этой статье объясняется, как просмотреть примененные политики условного доступа в журналах действий Microsoft Entra.

Предварительные условия

Чтобы просмотреть примененные политики условного доступа в журналах, администраторы должны иметь разрешения на просмотр журналов и политик. Наименее привилегированная встроенная роль, которая предоставляет оба разрешения, — это Читатель безопасности. Как наилучшую практику, рекомендуется добавить роль 'Читатель безопасности' в связанные учетные записи администратора.

Следующие встроенные роли предоставляют разрешения на чтение политик условного доступа:

• Читатель данных о безопасности
• Администратор безопасности
• Администратор условного доступа

Следующие встроенные роли предоставляют разрешение на просмотр журналов действий:

• Просмотр отчетов
• Читатель сведений о безопасности
• Администратор безопасности

Разрешения

Если вы используете клиентское приложение или модуль Microsoft Graph PowerShell для извлечения журналов из Microsoft Graph, ваше приложение должно иметь разрешения на получение appliedConditionalAccessPolicy ресурса из Microsoft Graph. Наилучшей практикой является назначение Policy.Read.ConditionalAccess, так как это минимально привилегированное разрешение.

Следующие разрешения позволяют клиентскому приложению получать доступ к журналам действий и любым примененным политикам условного доступа в журналах через Microsoft Graph:

• Policy.Read.ConditionalAccess
• Policy.ReadWrite.ConditionalAccess
• Policy.Read.All
• AuditLog.Read.All
• Directory.Read.All

Чтобы использовать модуль Microsoft Graph PowerShell, вам также потребуются следующие разрешения с минимальными привилегиями с необходимым доступом:

• Чтобы предоставить согласие на необходимые разрешения, выполните следующие действия. Connect-MgGraph -Scopes Policy.Read.ConditionalAccess, AuditLog.Read.All, Directory.Read.All
• Чтобы просмотреть журналы входа, выполните следующие действия. Get-MgAuditLogSignIn
• Чтобы просмотреть журналы аудита, выполните следующие действия. Get-MgAuditLogDirectoryAudit

Дополнительные сведения см. в разделе Get-MgAuditLogSignIn и Get-MgAuditLogDirectoryAudit.

Сценарии использования условного доступа и журналы входов

Как администратор Microsoft Entra, вы можете использовать журналы входа:

• Устранение проблем с входом.
• Проверьте производительность функций.
• Оцените безопасность клиента.

В некоторых сценариях требуется получить представление о том, как политики условного доступа были применены к событию входа. Распространенные примеры:

• Администраторы службы поддержки, которые должны изучить примененные политики условного доступа, чтобы понять, является ли политика основной причиной запроса, созданного пользователем.
• Администраторы арендатора, которым необходимо убедиться в том, что политики контролируемого доступа имеют запланированный эффект на пользователей арендатора.

Вы можете получить доступ к журналам входа с помощью Центра администрирования Microsoft Entra, портал Azure, Microsoft Graph и PowerShell.

Просмотр политик условного доступа

Центр администрирования Microsoft Entra

Сведения о действиях в журналах регистрации входов содержат несколько вкладок. На вкладке "Условный доступ" перечислены политики условного доступа , примененные к событию входа.

1. Войдите в центр администрирования Microsoft Entra как минимум под ролью Читатель отчетов.
2. Перейдите к Идентификация>Мониторинг и работоспособность>Журналы входа.
3. Выберите элемент входа из таблицы, чтобы просмотреть панель сведений о входе.
4. Перейдите на вкладку условного доступа .

Если политики условного доступа не отображаются, убедитесь, что вы используете роль, которая предоставляет доступ как к журналам входа, так и к политикам условного доступа.

API Microsoft Graph

Следуйте этим инструкциям, чтобы просмотреть политики условного доступа и сведения журнала с помощью API Microsoft Graph в Graph Explorer.

1. Войдите в Graph Explorer.

2. Выберите метод HTTP GET в раскрывающемся списке.

3. Выберите для API версию 1.0.

4. Чтобы получить попытки входа, где условный доступ не сработал в течение определенного интервала времени, добавьте следующий запрос и выберите "Выполнить запрос".

   GET https://graph.microsoft.com/v1.0/auditLogs/signIns?$filter=(createdDateTime ge 2024-11-01T14:13:32Z and createdDateTime le 2024-11-10T17:43:26Z) and conditionalAccessStatus eq 'failure'
   

5. Чтобы просмотреть определенную политику условного доступа, добавьте идентификатор политики.

   GET https://graph.microsoft.com/v1.0/identity/conditionalAccess/policies/{id}
   

Дополнительные сведения см. в следующих источниках:

• Тип ресурса conditionalAccessPolicy
• Тип ресурса signIn

Microsoft Graph PowerShell

Выполните следующие действия, чтобы перечислить роли Microsoft Entra с помощью PowerShell.

1. Откройте окно PowerShell. При необходимости используйте install-Module для установки Microsoft Graph PowerShell. Дополнительные сведения см. в разделе Предварительные требования для использования PowerShell или Graph Explorer.

   Install-Module Microsoft.Graph -Scope CurrentUser
   

2. В окне PowerShell используйте Connect-MgGraph для входа в клиент.

   Connect-MgGraph -Scopes "Policy.Read.All", "Policy.Read.ConditionalAccess"
   

3. Используйте Get-MgIdentityConditionalAccessPolicy , чтобы получить все политики условного доступа.

   Get-MgIdentityConditionalAccessPolicy
   

4. Чтобы отформатировать результаты в виде списка, используйте следующую команду:

   Get-MgIdentityConditionalAccessPolicy |Format-List
   

Следующая команда может использоваться для экспорта журналов входа в CSV-файл, отформатированный для выделения сведений об условном доступе.

1. Определите выходной путь к CSV-файлу.

   $PathCsv = "C:\\temp\\ConditionalAccessSignInLogs.csv"
   

2. Извлеките журналы, отфильтрованные по указанной дате, и экспортируйте их в CSV-файл.

   $SignInLogs = Get-MgAuditLogSignIn -Filter "createdDateTime gt 2024-11-10T05:30:00.0Z" | Select-Object `
   @{Name="ResourceName";Expression={$_.ResourceDisplayName}}, `
   @{Name="User";Expression={$_.UserDisplayName}}, `
   @{Name="IPv4";Expression={$_.IPAddress}}, `
   @{Name="Location";Expression={$_.Location.City}}, `
   @{Name="NamedLocation";Expression={$_.ConditionalAccessLocations}}, `
   @{Name="Success/Failure/ReportOnly";Expression={$_.ConditionalAccessStatus}}, `
   @{Name="FailureReason";Expression={$_.FailureReason}}, `
   @{Name="Details";Expression={$_.ConditionalAccessDetails}}, `
   @{Name="DeviceName";Expression={$_.DeviceDetail.DeviceDisplayName}}, `
   @{Name="ClientApp";Expression={$_.ClientAppUsed}} | 
   Export-Csv -Path $PathCsv -NoTypeInformation
   
   Write-Host "Conditional Access SignInLogs exported to $PathCsv"
   

Сценарии условного доступа и журнала аудита

Журналы аудита Microsoft Entra содержат сведения об изменениях политик условного доступа. Журналы аудита можно использовать, чтобы узнать, когда политика была создана, обновлена или удалена.

Чтобы узнать, когда была обновлена существующая политика условного доступа:

1. Войдите в центр администрирования Microsoft Entra как минимум под ролью Читатель отчетов.
2. Перейдите к Удостоверения>Мониторинг и состояние>Журналы аудита.
3. Установите фильтр Service на Conditional Access.
4. Задайте для фильтра категорий значение Policy.
5. Установите фильтр действий, чтобы обновить политику условного доступа.

Возможно, вам потребуется изменить дату, чтобы увидеть нужные изменения. В столбце Target отображается имя обновленной политики условного доступа.

Чтобы сравнить текущую политику с предыдущей политикой, выберите запись журнала аудита и перейдите на вкладку "Измененные свойства ".

Связанный контент

• Устранение неполадок при входе, связанных с условным доступом
• Просмотрите часто задаваемые вопросы о журналах входа в условный доступ
• Сведения о журналах входа