Visa tillämpad information om villkorsstyrd åtkomst i Microsoft Entra-aktivitetsloggarna

Med principer för villkorlig åtkomst kan du styra hur användarna får åtkomst till dina Azure- och Microsoft Entra-resurser. Som klientadministratör måste du kunna avgöra vilken effekt dina principer för villkorsstyrd åtkomst har på inloggningar till din klientorganisation, så att du kan vidta åtgärder om det behövs. Du kan också behöva visa granskningsloggar för de senaste ändringarna av principer för villkorsstyrd åtkomst.

I den här artikeln beskrivs hur du visar tillämpade principer för villkorlig åtkomst i Microsoft Entra-aktivitetsloggarna.

Förutsättningar

Om du vill se tillämpade principer för villkorsstyrd åtkomst i loggarna måste administratörer ha behörighet att visa både loggarna och principerna. Den minst privilegierade inbyggda rollen som ger båda behörigheterna är Säkerhetsläsare. Vi rekommenderar att du lägger till rollen Säkerhetsläsare i de relaterade administratörskontona.

Följande inbyggda roller ger behörighet att läsa principer för villkorsstyrd åtkomst:

• Säkerhetsläsare
• Säkerhetsadministratör
• Administratör för villkorsstyrd åtkomst

Följande inbyggda roller ger behörighet att visa aktivitetsloggar:

• Rapportläsare
• Säkerhetsläsare
• Säkerhetsadministratör

Behörigheter

Om du använder en klientapp eller Microsoft Graph PowerShell-modulen för att hämta loggar från Microsoft Graph behöver din app behörighet att ta emot resursen appliedConditionalAccessPolicy från Microsoft Graph. Vi rekommenderar att du tilldelar Policy.Read.ConditionalAccess eftersom det är den minst privilegierade behörigheten.

Med följande behörigheter kan en klientapp komma åt aktivitetsloggarna och eventuella tillämpade principer för villkorsstyrd åtkomst i loggarna via Microsoft Graph:

• Policy.Read.ConditionalAccess
• Policy.ReadWrite.ConditionalAccess
• Policy.Read.All
• AuditLog.Read.All
• Directory.Read.All

Om du vill använda Microsoft Graph PowerShell-modulen behöver du även följande minst privilegierade behörigheter med nödvändig åtkomst:

• Så här godkänner du nödvändiga behörigheter: Connect-MgGraph -Scopes Policy.Read.ConditionalAccess, AuditLog.Read.All, Directory.Read.All
• Så här visar du inloggningsloggarna: Get-MgAuditLogSignIn
• Så här visar du granskningsloggarna: Get-MgAuditLogDirectoryAudit

Mer information finns i Get-MgAuditLogSignIn och Get-MgAuditLogDirectoryAudit.

Scenarier för villkorlig åtkomst och inloggningslogg

Som Microsoft Entra-administratör kan du använda inloggningsloggarna för att:

• Felsöka inloggningsproblem.
• Kontrollera funktionsprestanda.
• Utvärdera säkerheten för en klientorganisation.

Vissa scenarier kräver att du förstår hur dina principer för villkorsstyrd åtkomst tillämpades på en inloggningshändelse. Vanliga exempel:

• Supportadministratörer som behöver titta på tillämpade principer för villkorsstyrd åtkomst för att förstå om en princip är rotorsaken till ett ärende som en användare har öppnat.
• Klientadministratörer som behöver verifiera att principer för villkorsstyrd åtkomst har den avsedda effekten på användarna av en klientorganisation.

Du kan komma åt inloggningsloggarna med hjälp av administrationscentret för Microsoft Entra, Azure Portal, Microsoft Graph och PowerShell.

Så här visar du principer för villkorsstyrd åtkomst

Administrationscenter för Microsoft Entra

Aktivitetsinformationen för inloggningsloggar innehåller flera flikar. Fliken Villkorsstyrd åtkomst visar de principer för villkorsstyrd åtkomst som tillämpas på den inloggningshändelsen.

1. Logga in på administrationscentret för Microsoft Entra som minst en rapportläsare.
2. Bläddra till Loggar för >och hälsoinloggning.>
3. Välj ett inloggningsobjekt från tabellen för att visa fönstret inloggningsinformation.
4. Välj fliken Villkorsstyrd åtkomst .

Om du inte ser principerna för villkorsstyrd åtkomst bekräftar du att du använder en roll som ger åtkomst till både inloggningsloggarna och principerna för villkorsstyrd åtkomst.

Microsoft Graph API

Följ de här anvisningarna om du vill visa principer för villkorsstyrd åtkomst och logginformation med hjälp av Microsoft Graph API i Graph Explorer.

1. Logga in på Graph Explorer.

2. Välj GET som HTTP-metod i listrutan.

3. Välj API-versionen till v1.0.

4. Om du vill få inloggningsförsök där villkorsstyrd åtkomst misslyckades under en viss tidsperiod lägger du till följande fråga och väljer Kör fråga.

   GET https://graph.microsoft.com/v1.0/auditLogs/signIns?$filter=(createdDateTime ge 2024-11-01T14:13:32Z and createdDateTime le 2024-11-10T17:43:26Z) and conditionalAccessStatus eq 'failure'
   

5. Om du vill visa en specifik princip för villkorsstyrd åtkomst lägger du till princip-ID:t.

   GET https://graph.microsoft.com/v1.0/identity/conditionalAccess/policies/{id}
   

Mer information finns i följande resurser:

• conditionalAccessPolicy-resurstyp
• signIn-resurstyp

Microsoft Graph PowerShell

Följ de här stegen för att lista Microsoft Entra-roller med hjälp av PowerShell.

1. Öppna ett PowerShell-fönster. Om det behövs använder du Install-Module för att installera Microsoft Graph PowerShell. Mer information finns i Krav för att använda PowerShell eller Graph Explorer.

   Install-Module Microsoft.Graph -Scope CurrentUser
   

2. I ett PowerShell-fönster använder du Connect-MgGraph för att logga in på din klientorganisation.

   Connect-MgGraph -Scopes "Policy.Read.All", "Policy.Read.ConditionalAccess"
   

3. Använd Get-MgIdentityConditionalAccessPolicy för att hämta alla principer för villkorlig åtkomst.

   Get-MgIdentityConditionalAccessPolicy
   

4. Om du vill formatera resultatet som en lista använder du följande kommando:

   Get-MgIdentityConditionalAccessPolicy |Format-List
   

Följande kommando kan användas för att exportera inloggningsloggar till en CSV-fil, formaterad för att markera relaterad information om villkorsstyrd åtkomst.

1. Definiera CSV-utdatafilens sökväg.

   $PathCsv = "C:\\temp\\ConditionalAccessSignInLogs.csv"
   

2. Hämta loggarna, filtrerade från ett angivet datum och exportera dem till CSV-filen.

   $SignInLogs = Get-MgAuditLogSignIn -Filter "createdDateTime gt 2024-11-10T05:30:00.0Z" | Select-Object `
   @{Name="ResourceName";Expression={$_.ResourceDisplayName}}, `
   @{Name="User";Expression={$_.UserDisplayName}}, `
   @{Name="IPv4";Expression={$_.IPAddress}}, `
   @{Name="Location";Expression={$_.Location.City}}, `
   @{Name="NamedLocation";Expression={$_.ConditionalAccessLocations}}, `
   @{Name="Success/Failure/ReportOnly";Expression={$_.ConditionalAccessStatus}}, `
   @{Name="FailureReason";Expression={$_.FailureReason}}, `
   @{Name="Details";Expression={$_.ConditionalAccessDetails}}, `
   @{Name="DeviceName";Expression={$_.DeviceDetail.DeviceDisplayName}}, `
   @{Name="ClientApp";Expression={$_.ClientAppUsed}} | 
   Export-Csv -Path $PathCsv -NoTypeInformation
   
   Write-Host "Conditional Access SignInLogs exported to $PathCsv"
   

Scenarier för villkorlig åtkomst och granskningslogg

Microsoft Entra-granskningsloggarna innehåller information om ändringar i principer för villkorsstyrd åtkomst. Du kan använda granskningsloggarna för att ta reda på när en princip har skapats, uppdaterats eller tagits bort.

Så här ser du när en befintlig princip för villkorsstyrd åtkomst uppdaterades:

1. Logga in på administrationscentret för Microsoft Entra som minst en rapportläsare.
2. Bläddra till >och hälsogranskningsloggar.>
3. Ange Tjänstfilter till Villkorsstyrd åtkomst.
4. Ange kategorifiltret till Princip.
5. Ställ in filtret Aktivitet på Uppdatera princip för villkorsstyrd åtkomst.

Du kan behöva justera datumet för att se de ändringar du letar efter. Kolumnen Mål visar namnet på principen för villkorsstyrd åtkomst som uppdaterades.

Om du vill jämföra den aktuella principen med den föregående principen väljer du posten för granskningsloggen och väljer sedan fliken Ändrade egenskaper .

Relaterat innehåll

• Felsöka problem med villkorlig åtkomstrelaterad inloggning
• Läs vanliga frågor och svar om inloggningsloggar för villkorsstyrd åtkomst
• Läs mer om inloggningsloggarna