分析條件式存取原則影響
條件式存取可藉由在適當情況下套用正確的安全性訪問控制,協助組織保持安全。 瞭解這些原則的影響可能具有挑戰性,尤其是在部署新原則時。 本文說明如何使用僅限報表模式和其他工具來分析條件式存取原則的影響。
在僅限報表模式下,系統管理員有多個選項可供使用。 僅限報表模式是一種原則狀態,可讓系統管理員先測試大部分的條件式存取原則,再加以啟用。
- 條件式存取原則可以在僅限報表模式中評估,但「用戶動作」範圍中包含的專案除外。
- 在登入時,會評估但不會強制執行僅限報告模式中的原則。
- 結果會記錄在登入記錄詳細數據的 條件式存取 和 僅供報告使用 標籤中。
- 具有 Azure 監視器訂用帳戶的客戶可以使用條件式存取深入解析活頁簿來監視其條件式存取原則的影響。
警告
只有在原則評估期間,需要相容裝置的原則可能會提示 macOS、iOS 和 Android 裝置上的使用者選取裝置憑證,即使未強制執行裝置合規性也一樣。 這些提示可能會重複,直到裝置符合規範為止。 若要防止終端使用者在登入期間收到提示,請排除執行裝置合規性檢查的僅限報告原則的裝置平臺Mac、iOS和Android。
政策評估結果
當針對特定的登入評估政策時,有幾種可能的結果:
| 結果 | 描述 |
|---|---|
| 僅限報告:成功 | 已滿足所有已設定的原則條件、必要的非互動式授權控製和會話控製。 例如,多因素驗證要求可以由令牌中已存在的 MFA 聲明來滿足,或者符合規範的裝置政策可以通過在合規的裝置上執行裝置檢查來滿足要求。 |
| 僅限報告:失敗 | 已滿足所有已設定的原則條件,但未滿足所有必要的非互動式授權控制或會話控制。 例如,原則會套用至被設置阻止控制的使用者,或者裝置未能符合設備合規原則。 |
| 僅供報告:需要用戶動作 | 所有已設定的原則條件均已滿足,但使用者需要進行操作以滿足必要的授權控制或會話控制。 使用僅限報表模式時,系統不會提示用戶滿足所需的控件。 例如,系統不會提示用戶進行多重要素驗證挑戰或使用規定。 |
| 僅報告用:未套用 | 並非所有已設定的原則條件都已滿足。 例如,使用者會被排除在原則之外,或者原則僅適用於某些受信任的命名地點。 |
| 成功 | 如果符合需求的登入事件套用了原則,則該原則會允許登入繼續進行。 登入可能仍會遭到不同的原則封鎖。 |
| 失敗 | 套用策略的登入事件中,如果不符合要求,該策略將會封鎖該次登入。 這可能是有意的,例如封鎖來自特定位置的登入,或是因為政策配置錯誤而意外阻止。 |
| 未套用 | 未套用原則的登入事件,例如,已排除使用者。 |
審查結果
系統管理員可以使用數個選項來檢閱其環境中原則的潛在結果:
- 工作簿
- 登入記錄
- 原則影響 (預覽)
原則影響 (預覽)
條件式存取的原則影響檢視可讓至少具有安全性讀取者角色的系統管理員查看組織中原則潛在或現有影響的相關資訊快照。 這項功能可讓您探索過去 24 小時、7 天或 1 個月的影響。 此外,您可以查看並連結至登入事件的取樣,以取得進一步的詳細數據。
習作本
系統管理員可以在僅限報表模式中建立多個原則,因此必須瞭解每個原則的個別影響,以及一起評估多個原則的合併影響。 條件式存取深入解析和報告活頁簿 可讓系統管理員可視化條件式存取原則,它會查詢並監視某個原則對指定時間範圍、一組應用程式和用戶的影響。 系統管理員可以自定義活頁簿,以符合其特定需求。
登入記錄
為了更深入地評估條件式存取原則及其應用程式在特定登入時,系統管理員可能會調查個別的登入事件。 每個事件都包含已啟用或處於僅限報表模式的條件式存取原則,以及這些原則是否套用的詳細資訊。
使用這些選項
管理員使用報告專用模式確認設定之後,即可以將 [啟用原則] 從 [報告專用] 切換至 [開啟]。