Просмотр сведений об примененном условном доступе в журналах действий Microsoft Entra

С помощью политик условного доступа вы можете управлять доступом пользователей к ресурсам Azure и Microsoft Entra. Администратор клиента должен иметь возможность определить влияние политик условного доступа на вход в клиент, чтобы при необходимости принять меры. Кроме того, может потребоваться просмотреть журналы аудита для последних изменений политик условного доступа.

В этой статье объясняется, как просмотреть примененные политики условного доступа в журналах действий Microsoft Entra.

Необходимые компоненты

Чтобы просмотреть примененные политики условного доступа в журналах, администраторы должны иметь разрешения на просмотр журналов и политик. Наименее привилегированная встроенная роль, которая предоставляет оба разрешения, — средство чтения безопасности. Рекомендуется добавить роль читателя безопасности в связанные учетные записи администратора.

Следующие встроенные роли предоставляют разрешения на чтение политик условного доступа:

• Читатель сведений о безопасности
• Администратор безопасности
• Администратор условного доступа

Следующие встроенные роли предоставляют разрешение на просмотр журналов действий:

• Читатель отчетов
• Читатель сведений о безопасности
• Администратор безопасности

Разрешения

Если вы используете клиентское приложение или модуль Microsoft Graph PowerShell для извлечения журналов из Microsoft Graph, ваше приложение должно иметь разрешения на получение appliedConditionalAccessPolicy ресурса из Microsoft Graph. Рекомендуется назначить Policy.Read.ConditionalAccess , так как это наименее привилегированное разрешение.

Следующие разрешения позволяют клиентскому приложению получать доступ к журналам действий и любым примененным политикам условного доступа в журналах через Microsoft Graph:

• Policy.Read.ConditionalAccess
• Policy.ReadWrite.ConditionalAccess
• Policy.Read.All
• AuditLog.Read.All
• Directory.Read.All

Чтобы использовать модуль Microsoft Graph PowerShell, вам также потребуются следующие разрешения с минимальными привилегиями с необходимым доступом:

• Чтобы предоставить согласие на необходимые разрешения, выполните следующие действия. Connect-MgGraph -Scopes Policy.Read.ConditionalAccess, AuditLog.Read.All, Directory.Read.All
• Чтобы просмотреть журналы входа, выполните следующие действия. Get-MgAuditLogSignIn
• Чтобы просмотреть журналы аудита, выполните следующие действия. Get-MgAuditLogDirectoryAudit

Дополнительные сведения см. в разделе Get-MgAuditLogSignIn и Get-MgAuditLogDirectoryAuditAudit.

Сценарии условного доступа и входа

Администратор Microsoft Entra позволяет использовать журналы входа:

• Устранение неполадок при входе.
• Проверьте производительность функций.
• Оцените безопасность клиента.

В некоторых сценариях требуется получить представление о том, как политики условного доступа были применены к событию входа. Распространенные примеры:

• Администраторы службы поддержки, которые должны ознакомиться с примененными политиками условного доступа, чтобы понять, является ли политика основной причиной открытого пользователем билета.
• Администраторы клиентов, которым необходимо убедиться, что политики условного доступа влияют на пользователей клиента.

Вы можете получить доступ к журналам входа с помощью Центра администрирования Microsoft Entra, портал Azure, Microsoft Graph и PowerShell.

Просмотр политик условного доступа

Центр администрирования Microsoft Entra

Сведения о действиях журналов входа содержат несколько вкладок. На вкладке "Условный доступ" перечислены политики условного доступа , примененные к событию входа.

1. Войдите в Центр администрирования Microsoft Entra как минимум средство чтения отчетов.
2. Перейдите к журналам мониторинга удостоверений и работоспособности>
3. Выберите элемент входа в таблицу, чтобы просмотреть область сведений о входе.
4. Перейдите на вкладку условного доступа .

Если политики условного доступа не отображаются, убедитесь, что вы используете роль, которая предоставляет доступ как к журналам входа, так и к политикам условного доступа.

API Microsoft Graph

Следуйте этим инструкциям, чтобы просмотреть политики условного доступа и сведения журнала с помощью API Microsoft Graph в Graph Explorer.

1. Войдите в песочницу Graph.

2. Выберите метод HTTP GET в раскрывающемся списке.

3. Выберите для API версию 1.0.

4. Чтобы получить попытки входа, когда условный доступ произошел сбоем в течение определенного интервала времени, добавьте следующий запрос и выберите команду "Выполнить запрос".

   GET https://graph.microsoft.com/v1.0/auditLogs/signIns?$filter=(createdDateTime ge 2024-11-01T14:13:32Z and createdDateTime le 2024-11-10T17:43:26Z) and conditionalAccessStatus eq 'failure'
   

5. Чтобы просмотреть определенную политику условного доступа, добавьте идентификатор политики.

   GET https://graph.microsoft.com/v1.0/identity/conditionalAccess/policies/{id}
   

Дополнительные сведения см. в следующих источниках:

• Тип ресурса conditionalAccessPolicy
• Тип ресурса signIn

Microsoft Graph PowerShell

Выполните следующие действия, чтобы перечислить роли Microsoft Entra с помощью PowerShell.

1. Откройте окно PowerShell. При необходимости используйте install-Module для установки Microsoft Graph PowerShell. Дополнительные сведения см. в разделе Предварительные требования для использования PowerShell или песочницы Graph.

   Install-Module Microsoft.Graph -Scope CurrentUser
   

2. В окне PowerShell используйте Connect-MgGraph для входа в клиент.

   Connect-MgGraph -Scopes "Policy.Read.All", "Policy.Read.ConditionalAccess"
   

3. Используйте Get-MgIdentityConditionalAccessPolicy , чтобы получить все политики условного доступа.

   Get-MgIdentityConditionalAccessPolicy
   

4. Чтобы отформатировать результаты в виде списка, используйте следующую команду:

   Get-MgIdentityConditionalAccessPolicy |Format-List
   

Следующая команда может использоваться для экспорта журналов входа в CSV-файл, отформатированный для выделения сведений об условном доступе.

1. Определите выходной путь к CSV-файлу.

   $PathCsv = "C:\\temp\\ConditionalAccessSignInLogs.csv"
   

2. Извлеките журналы, отфильтрованные по указанной дате, и экспортируйте их в CSV-файл.

   $SignInLogs = Get-MgAuditLogSignIn -Filter "createdDateTime gt 2024-11-10T05:30:00.0Z" | Select-Object `
   @{Name="ResourceName";Expression={$_.ResourceDisplayName}}, `
   @{Name="User";Expression={$_.UserDisplayName}}, `
   @{Name="IPv4";Expression={$_.IPAddress}}, `
   @{Name="Location";Expression={$_.Location.City}}, `
   @{Name="NamedLocation";Expression={$_.ConditionalAccessLocations}}, `
   @{Name="Success/Failure/ReportOnly";Expression={$_.ConditionalAccessStatus}}, `
   @{Name="FailureReason";Expression={$_.FailureReason}}, `
   @{Name="Details";Expression={$_.ConditionalAccessDetails}}, `
   @{Name="DeviceName";Expression={$_.DeviceDetail.DeviceDisplayName}}, `
   @{Name="ClientApp";Expression={$_.ClientAppUsed}} | 
   Export-Csv -Path $PathCsv -NoTypeInformation
   
   Write-Host "Conditional Access SignInLogs exported to $PathCsv"
   

Сценарии условного доступа и журнала аудита

Журналы аудита Microsoft Entra содержат сведения об изменениях политик условного доступа. Журналы аудита можно использовать, чтобы узнать, когда политика была создана, обновлена или удалена.

Чтобы узнать, когда была обновлена существующая политика условного доступа:

1. Войдите в Центр администрирования Microsoft Entra как минимум средство чтения отчетов.
2. Перейдите к журналам мониторинга удостоверений и аудита работоспособности>
3. Задайте для фильтра службы условный доступ.
4. Задайте для фильтра категорий значение Policy.
5. Задайте фильтр действий для обновления политики условного доступа.

Возможно, вам потребуется изменить дату, чтобы увидеть нужные изменения. В столбце Target отображается имя обновленной политики условного доступа.

Чтобы сравнить текущую политику с предыдущей политикой, выберите запись журнала аудита и перейдите на вкладку "Измененные свойства ".

Связанный контент

• Устранение неполадок при входе, связанных с условным доступом
• Просмотрите часто задаваемые вопросы о журналах входа в условный доступ
• Сведения о журналах входа