Přehledy podmíněného přístupu a vytváření sestav

Sešit přehledů podmíněného přístupu a vytváření sestav umožňuje pochopit dopad zásad podmíněného přístupu ve vaší organizaci v průběhu času. Během přihlašování může platit jedna nebo více zásad podmíněného přístupu, které udělují přístup, pokud jsou splněné určité ovládací prvky udělení oprávnění, nebo jinak přístup odepřete. Vzhledem k tomu, že při každém přihlášení může být vyhodnoceno více zásad podmíněného přístupu, sešit přehledů a sestav umožňuje prozkoumat dopad jednotlivých zásad nebo podmnožinu všech zásad.

Požadavky

Pokud chcete povolit sešit přehledů a generování sestav, musí mít váš tenant pracovní prostor služby Log Analytics, aby se zachovala data protokolů přihlášení. Aby uživatelé mohli používat podmíněný přístup, musí mít licence Azure AD Premium P1 nebo P2.

K přehledům a vytváření sestav mají přístup následující role:

  • Správce podmíněného přístupu
  • Čtenář zabezpečení
  • Správce zabezpečení
  • Globální čtenář
  • Globální správce

Uživatelé také potřebují jednu z následujících rolí pracovního prostoru služby Log Analytics:

  • Přispěvatel
  • Vlastník

Streamování protokolů přihlášení z Azure AD do protokolů služby Azure Monitor

Pokud jste ještě nečlenili protokoly Azure AD s protokoly služby Azure Monitor, budete muset před načtením sešitu provést následující kroky:

  1. Vytvořte pracovní prostor služby Log Analytics ve službě Azure Monitor.
  2. Integrace protokolů Azure AD s protokoly služby Azure Monitor.

Jak to funguje

Přístup k sešitu přehledů a sestav:

  1. Přihlaste se k webu Azure Portal.
  2. Přejděte naPřehledy a vytváření sestavpodmíněného přístupu>zabezpečení služby>Azure Active Directory>.

Začínáme: Výběr parametrů

Řídicí panel přehledů a vytváření sestav umožňuje zobrazit dopad jedné nebo více zásad podmíněného přístupu v zadaném období. Začněte nastavením jednotlivých parametrů v horní části sešitu.

Řídicí panel Přehledy podmíněného přístupu a vytváření sestav v Azure Portal

Zásady podmíněného přístupu: Vyberte jednu nebo více zásad podmíněného přístupu a zobrazte jejich kombinovaný dopad. Zásady jsou rozdělené do dvou skupin: Povolené a Zásady jen pro sestavy. Ve výchozím nastavení jsou vybrané všechny povolené zásady. Tyto povolené zásady jsou zásady, které se aktuálně vynucují ve vašem tenantovi.

Časový rozsah: Vyberte časový rozsah od 4 hodin až po 90 dnů zpět. Pokud vyberete další časový rozsah, než když jste protokoly Azure AD integrují se službou Azure Monitor, zobrazí se pouze přihlášení po uplynutí doby integrace.

Uživatel: Řídicí panel ve výchozím nastavení zobrazuje dopad vybraných zásad na všechny uživatele. Pokud chcete filtrovat podle jednotlivých uživatelů, zadejte jméno uživatele do textového pole. Pokud chcete filtrovat podle všech uživatelů, zadejte do textového pole "Všichni uživatelé" nebo nechte parametr prázdný.

Aplikace: Ve výchozím nastavení řídicí panel zobrazuje dopad vybraných zásad na všechny aplikace. Pokud chcete filtrovat podle jednotlivých aplikací, zadejte název aplikace do textového pole. Pokud chcete filtrovat podle všech aplikací, zadejte do textového pole "Všechny aplikace" nebo nechte parametr prázdný.

Zobrazení dat: Vyberte, jestli chcete, aby se na řídicím panelu zobrazovaly výsledky z hlediska počtu uživatelů nebo počtu přihlášení. Jednotlivý uživatel může mít v daném časovém rozsahu stovky přihlášení k mnoha aplikacím s mnoha různými výsledky. Pokud vyberete zobrazení dat jako uživatelé, může být uživatel zahrnutý v počtech úspěchů i neúspěchů (pokud je například 10 uživatelů, 8 z nich mohlo mít za posledních 30 dnů úspěch a 9 z nich mohlo mít za posledních 30 dnů výsledek selhání).

Souhrn dopadu

Po nastavení parametrů se načte souhrn dopadu. Souhrn ukazuje, kolik uživatelů nebo přihlášení během časového rozsahu vedlo při vyhodnocení vybraných zásad k úspěchu, selhání, vyžadování akce uživatele nebo nepoužáděných.

Souhrn dopadu v sešitu podmíněného přístupu

Celkem: Počet uživatelů nebo přihlášení během časového období, kdy byla vyhodnocena alespoň jedna z vybraných zásad.

Úspěch: Počet uživatelů nebo přihlášení během časového období, ve kterém byl kombinovaný výsledek vybraných zásad "Úspěch" nebo "Pouze sestava: Úspěch".

Selhání: Počet uživatelů nebo přihlášení během časového období, ve kterém byl výsledek alespoň jedné z vybraných zásad Chyba nebo Pouze sestava: Selhání.

Vyžaduje se akce uživatele: Počet uživatelů nebo přihlášení během časového období, kdy byl kombinovaný výsledek vybraných zásad "Pouze sestava: Vyžaduje se akce uživatele". Akce uživatele se vyžaduje, když zásady podmíněného přístupu pouze pro sestavy vyžadují interaktivní řízení udělení, například vícefaktorové ověřování. Vzhledem k tomu, že interaktivní ovládací prvky udělení nejsou vynucené zásadami jen pro sestavy, nelze určit úspěch nebo selhání.

Nepoužívá se: Počet uživatelů nebo přihlášení během časového období, ve kterém se nepoužádá žádná z vybraných zásad.

Vysvětlení dopadu

Rozpis sešitů podle podmínky a stavu

Zobrazte rozpis uživatelů nebo přihlášení pro jednotlivé podmínky. Přihlášení k určitému výsledku (například Úspěch nebo Neúspěch) můžete filtrovat tak, že vyberete souhrnné dlaždice v horní části sešitu. Můžete zobrazit rozpis přihlášení pro každou z podmínek podmíněného přístupu: stav zařízení, platformu zařízení, klientskou aplikaci, umístění, aplikaci a riziko přihlášení.

Podrobnosti o přihlášení

Podrobnosti o přihlášení k sešitu

Můžete také prozkoumat přihlášení konkrétního uživatele vyhledáním přihlášení v dolní části řídicího panelu. Dotaz na levé straně zobrazí nejčastější uživatele. Když vyberete uživatele, vyfiltruje se dotaz doprava.

Poznámka

Při stahování protokolů přihlášení zvolte formát JSON, aby se zahrnula data výsledků jenom pro sestavy podmíněného přístupu.

Konfigurace zásad podmíněného přístupu v režimu pouze sestav

Konfigurace zásad podmíněného přístupu v režimu pouze sestav:

  1. Přihlaste se k Azure Portal jako správce podmíněného přístupu, správce zabezpečení nebo globální správce.
  2. Přejděte do částiPodmíněný přístupzabezpečení>Azure Active Directory>.
  3. Vyberte existující zásadu nebo vytvořte novou zásadu.
  4. V části Povolit zásadu nastavte přepínač na režim Jen sestavy .
  5. Vyberte Uložit.

Tip

Úpravou možnosti Povolit stav zásad existující zásady ze Zapnuto na Možnost Pouze sestava zakážete vynucování existujících zásad.

Řešení potíží

Proč dotazy selhávají kvůli chybě oprávnění?

Pro přístup k sešitu potřebujete správná oprávnění Azure AD a oprávnění pracovního prostoru služby Log Analytics. Spuštěním ukázkového dotazu Log Analytics otestujete, jestli máte správná oprávnění k pracovnímu prostoru:

  1. Přihlaste se k webu Azure Portal.
  2. Přejděte na Azure Active Directory>Log Analytics.
  3. Do pole dotazu zadejte SigninLogs a vyberte Spustit.
  4. Pokud dotaz nevrátí žádné výsledky, je možné, že pracovní prostor není správně nakonfigurovaný.

Řešení potíží s neúspěšné dotazy

Další informace o streamování protokolů Azure AD přihlášení do pracovního prostoru služby Log Analytics najdete v článku Integrace protokolů Azure AD s protokoly služby Azure Monitor.

Proč dotazy v sešitu selhávají?

Zákazníci si všimli, že dotazy někdy selžou, pokud jsou k sešitu přidružené nesprávné pracovní prostory nebo více pracovních prostorů. Pokud chcete tento problém vyřešit, klikněte na Upravit v horní části sešitu a potom na ozubené kolečko Nastavení. Vyberte a odeberte pracovní prostory, které nejsou přidružené k sešitu. Ke každému sešitu by měl být přidružený jenom jeden pracovní prostor.

Proč je parametr zásad podmíněného přístupu prázdný?

Seznam zásad se vygeneruje tak, že se podíváte na zásady vyhodnocené pro poslední událost přihlášení. Pokud ve vašem tenantovi nejsou žádná poslední přihlášení, možná budete muset několik minut počkat, než sešit načte seznam zásad podmíněného přístupu. K tomu může dojít okamžitě po konfiguraci Log Analytics nebo může trvat déle, pokud tenant nemá nedávnou přihlašovací aktivitu.

Proč načítání sešitu trvá příliš dlouho?

V závislosti na vybraném časovém rozsahu a velikosti vašeho tenanta může sešit vyhodnocovat mimořádně velký počet událostí přihlášení. U velkých tenantů může objem přihlášení překročit kapacitu dotazů služby Log Analytics. Zkuste zkrátit časový rozsah na 4 hodiny, abyste zjistili, jestli se sešit načte.

Proč sešit po několika minutách načítání vrací nulové výsledky?

Pokud objem přihlášení překročí kapacitu dotazů Log Analytics, sešit vrátí nulové výsledky. Zkuste zkrátit časový rozsah na 4 hodiny, abyste zjistili, jestli se sešit načte.

Můžu uložit výběry parametrů?

Výběr parametrů můžete uložit v horní části sešitu tak, že přejdete naPřehledy podmíněného přístupu a vytváření sestavv sešitech Azure Active Directory>Workbooks>. Tady najdete šablonu sešitu, kde můžete sešit upravit a uložit kopii do pracovního prostoru, včetně výběru parametrů, v části Moje sestavy nebo Sdílené sestavy.

Můžu sešit upravit a přizpůsobit pomocí dalších dotazů?

Sešit můžete upravit a přizpůsobit tak, že přejdete naPřehledy podmíněného přístupu a vytváření sestav sešitů Azure Active Directory>Workbooks>. Tady najdete šablonu sešitu, kde můžete sešit upravit a uložit kopii do pracovního prostoru, včetně výběru parametrů, v části Moje sestavy nebo Sdílené sestavy. Pokud chcete začít upravovat dotazy, klikněte v horní části sešitu na Upravit .

Další kroky