檢視Microsoft Entra 活動記錄中套用的條件式存取詳細數據
透過條件式存取原則,您可以控制使用者如何存取您的 Azure,以及Microsoft Entra 資源。 身為租用戶管理員,您必須能夠判斷條件式存取原則對租用戶的登入有何影響,以便視需要採取動作。 您可能也需要檢視稽核記錄,以取得條件式存取原則的最新變更。
本文說明如何在 Microsoft Entra 活動記錄中檢視套用的條件式存取原則。
必要條件
若要查看記錄中已套用的條件式存取原則,系統管理員必須具有檢視記錄和原則的許可權。 授與這兩個權限的最低權限內建角色是「安全性讀取者」。 最佳做法是,您應該將「安全性讀取者」角色新增至相關的系統管理員帳戶。
下列內建角色會授權讀取條件式存取原則:
- 安全性讀取者
- 安全性系統管理員
- 條件式存取系統管理員
下列內建角色會授與 檢視活動記錄的許可權:
- 報告讀取者
- 安全性讀取者
- 安全性系統管理員
權限
如果您使用用戶端應用程式或 Microsoft Graph PowerShell 模組從 Microsoft Graph 提取記錄,您的應用程式需要許可權才能從 Microsoft Graph 接收 appliedConditionalAccessPolicy 資源。 最佳做法是指派 Policy.Read.ConditionalAccess,因為這是最低限度的權限。
下列許可權可讓用戶端應用程式透過 Microsoft Graph 存取記錄中的活動記錄和任何套用的條件式存取原則:
Policy.Read.ConditionalAccessPolicy.ReadWrite.ConditionalAccessPolicy.Read.AllAuditLog.Read.AllDirectory.Read.All
若要使用 Microsoft Graph PowerShell 模組,您也需要具有必要存取權的下列最低許可權:
- 若要同意必要的權限:
Connect-MgGraph -Scopes Policy.Read.ConditionalAccess, AuditLog.Read.All, Directory.Read.All - 若要檢視登入記錄:
Get-MgAuditLogSignIn - 若要檢視稽核記錄:
Get-MgAuditLogDirectoryAudit
如需詳細資訊,請參閱 Get-MgAuditLogSignIn 和 Get-MgAuditLogDirectoryAudit。
條件式存取和登入記錄案例
身為 Microsoft Entra 系統管理員,您可以使用登入記錄來:
- 對登入問題進行疑難排解。
- 檢查特徵效能。
- 評估租用戶的安全性。
某些案例需要您了解條件式存取原則如何套用至登入事件。 常見的範例包括:
- 技術支援中心管理員需要查看已套用的條件式存取原則,以了解原則是否為使用者開立票證的根本原因。
- 租用戶系統管理員需要確認條件式存取原則是否對租用戶使用者產生預期效果。
您可以使用 Microsoft Entra 系統管理中心、Azure 入口網站、Microsoft Graph 和 PowerShell 來存取登入記錄。
如何檢視條件式存取原則
提示
根據您開始使用的入口網站,本文中的步驟可能略有不同。
登入記錄的活動詳細資料包含數個索引標籤。 [條件式存取] 索引標籤會列出已套用至該登入事件的條件式存取原則。
- 以至少報表讀者身分登入 Microsoft Entra 系統管理中心。
- 瀏覽至 [身分識別]>[監視和健康情況]>[登入記錄]。
- 從資料表中選取登入項目,以檢視登入詳細資料窗格。
- 選取 [條件式存取] 索引標籤。
若未看到條件式存取原則,請確認您使用的角色同時提供登入記錄和條件式存取原則的存取權。
條件式存取和稽核記錄案例
Microsoft Entra 稽核記錄包含條件式存取原則變更的相關信息。 您可以使用稽核記錄來找出原則建立、更新或刪除的時間。
若要查看現有條件式存取原則何時更新:
- 以至少報表讀者身分登入 Microsoft Entra 系統管理中心。
- 瀏覽至 [身分識別] > [監視和健康情況] > [稽核記錄]。
- 將 [服務篩選條件] 設定為 [條件式存取]。
- 將 [類別] 篩選設定為 [原則]。
- 將 [活動] 篩選設定為 [更新條件式存取原則]。
您可能需要調整日期,才能查看您要尋找的變更。 [目標] 資料行會顯示已更新的條件式存取原則名稱。
若要比較目前的原則與上一個原則,請選取稽核記錄專案,然後選取 [ 修改的屬性 ] 索引標籤。