在 Microsoft Entra 登录日志中查看已应用的条件访问详细信息
本文内容
借助条件访问策略,可以控制用户如何访问 Azure 和 Microsoft Entra 资源。 作为租户管理员,你需要能够确定条件访问策略对租户登录的影响,以便在必要时采取措施。 Microsoft Entra ID 中的登录日志提供了评估调节访问策略影响所需的信息。
本文介绍如何在这些日志中查看已应用的条件访问策略。
先决条件
若要在登录日志中查看已应用的条件访问策略,管理员必须同时 拥有查看日志和策略的权限。 可授予这两项 权限的最低特权内置角色是安全性读者 。 作为最佳做法,应将安全读者角色添加到相关的管理员帐户。
以下内置角色可授予读取条件访问策略 的权限:
以下内置角色可授予查看登录日志 的权限:
权限
如果你使用某个客户端应用或 Microsoft Graph PowerShell 模块从 Microsoft Graph 拉取登录日志,则该应用需要拥有从 Microsoft Graph 接收 appliedConditionalAccessPolicy 资源的权限。 最佳做法是分配 Policy.Read.ConditionalAccess,因为这是最低特权。
以下权限允许客户端应用通过 Microsoft Graph 在登录日志中访问活动日志和任何应用的条件访问策略:
Policy.Read.ConditionalAccessPolicy.ReadWrite.ConditionalAccessPolicy.Read.AllAuditLog.Read.AllDirectory.Read.All
若要使用 Microsoft Graph PowerShell 模块,还需要具有以下具有必要访问权限的最低特权权限:
若要同意必要的权限:Connect-MgGraph -Scopes Policy.Read.ConditionalAccess, AuditLog.Read.All, Directory.Read.All
若要查看登录日志:Get-MgAuditLogSignIn
有关此 cmdlet 的详细信息,请参阅 Get-MgAuditLogSignIn 。
条件访问和登录日志场景
作为 Microsoft Entra 管理员,可以使用登录日志来:
排查登录问题。
检查功能性能。
评估租户的安全性。
某些方案要求你了解条件访问策略如何应用于登录事件。 常见示例包括:
可以通过 Microsoft Entra 管理中心、Azure 门户、Microsoft Graph 和 PowerShell 访问登录日志。
如何查看条件访问策略
提示
本文中的步骤可能因开始使用的门户而略有不同。
登录日志的活动详细信息包含多个选项卡。 “条件访问 ”选项卡列出了应用于该登录事件的条件访问策略。
至少以报告读取者 身份登录到 Microsoft Entra 管理中心 。
浏览到“标识 ”>“监视和运行状况 ”>“登录日志 ”。
从表中选择登录项以查看登录详细信息窗格。
选择“条件访问 ”选项卡。
如果看不到条件访问策略,请确认你使用的是同时提供对登录日志和条件访问策略的访问权限的角色。
按照以下说明操作,使用 Graph 浏览器 中的 Microsoft Graph API 列出 Microsoft Entra 角色。
登录到 Graph 浏览器 。
从下拉列表中选择 GET 作为 HTTP 方法。
选择 API 版本“v1.0”。
若要获取条件访问策略的列表,请添加以下查询并选择“运行查询 ”。
GET https://graph.microsoft.com/v1.0/identity/conditionalAccess/policies
若要查看特定的条件访问策略,请添加策略 ID。
GET https://graph.microsoft.com/v1.0/identity/conditionalAccess/policies/{id}
有关详细信息,请查看以下资源:
执行以下步骤以使用 PowerShell 列出 Microsoft Entra 角色。
打开 PowerShell 窗口。 如有必要,使用 Install-Module 安装 Microsoft Graph PowerShell。 有关详细信息,请参阅使用 PowerShell 或 Graph 浏览器的先决条件 。
Install-Module Microsoft.Graph -Scope CurrentUser
在 PowerShell 窗口中,使用 Connect-MgGraph 登录到你的租户。
Connect-MgGraph -Scopes "Policy.Read.All", "Policy.Read.ConditionalAccess"
使用 Get-MgIdentityConditionalAccessPolicy 获取所有条件访问策略。
Get-MgIdentityConditionalAccessPolicy
若要将结果格式化为列表,请使用以下命令:
Get-MgIdentityConditionalAccessPolicy |Format-List
以下命令可用于将登录日志导出到 CSV 文件,该文件的格式设置为突出显示条件访问相关详细信息。
定义输出 CSV 文件路径。
$PathCsv = "C:\\temp\\ConditionalAccessSignInLogs.csv"
检索从指定日期筛选的日志,并将其导出到 CSV 文件。
$SignInLogs = Get-MgAuditLogSignIn -Filter "createdDateTime gt 2024-11-10T05:30:00.0Z" | Select-Object `
@{Name="ResourceName";Expression={$_.ResourceDisplayName}}, `
@{Name="User";Expression={$_.UserDisplayName}}, `
@{Name="IPv4";Expression={$_.IPAddress}}, `
@{Name="Location";Expression={$_.Location.City}}, `
@{Name="NamedLocation";Expression={$_.ConditionalAccessLocations}}, `
@{Name="Success/Failure/ReportOnly";Expression={$_.ConditionalAccessStatus}}, `
@{Name="FailureReason";Expression={$_.FailureReason}}, `
@{Name="Details";Expression={$_.ConditionalAccessDetails}}, `
@{Name="DeviceName";Expression={$_.DeviceDetail.DeviceDisplayName}}, `
@{Name="ClientApp";Expression={$_.ClientAppUsed}} |
Export-Csv -Path $PathCsv -NoTypeInformation
Write-Host "Conditional Access SignInLogs exported to $PathCsv"
后续步骤