Sdílet prostřednictvím

Přehledy a zprávy podmíněného přístupu

Sešit Přehledy a vytváření sestav podmíněného přístupu umožňuje pochopit dopad zásad podmíněného přístupu v organizaci v průběhu času. Při přihlašování se může použít jedna nebo více zásad podmíněného přístupu, které udělí přístup, pokud jsou splněny určité kontrolní požadavky, nebo je přístup jinak odepřen. Vzhledem k tomu, že při každém přihlášení může být vyhodnoceno více zásad podmíněného přístupu, umožňuje sešit přehledů a sestav prozkoumat dopad jednotlivých zásad nebo podmnožinu všech zásad.

Požadavky

Pokud chcete povolit sešit přehledů a sestav, váš klient musí mít:

  • Pracovní prostor Log Analytics pro zachování dat protokolů přihlašování a pro přístup k tomuto pracovnímu prostoru.
  • Licence Microsoft Entra ID P1 pro použití podmíněného přístupu

Uživatelé musí mít přiřazenou alespoň roli Čtenář zabezpečení a také roli Přispěvatel do pracovního prostoru Log Analytics.

Streamování protokolů přihlašování z ID Microsoft Entra do protokolů služby Azure Monitor

Pokud jste neintegrovali protokoly Microsoft Entra s protokoly služby Azure Monitor, musíte integrovat protokoly Microsoft Entra s protokoly služby Azure Monitor.

Jak to funguje

Jak získat přístup k poznatkům a sešitu sestav:

  1. Přihlaste se do Centra pro správu Microsoft Entra alespoň s rolí Čtenář zabezpečení a s příslušnými oprávněními k pracovnímu prostoru služby Log Analytics.
  2. Přejděte na Entra ID>Podmíněný přístup>Přehledy a generování sestav.

Začínáme: Výběr parametrů

Řídicí panel přehledů a reportů umožňuje zobrazit dopad jedné nebo více politik podmíněného přístupu za určité období. Začněte nastavením jednotlivých parametrů v horní části sešitu.

Snímek obrazovky zobrazující analýzy a zprávy podmíněného přístupu

Zásady podmíněného přístupu: Pokud chcete zobrazit jejich kombinovaný dopad, vyberte jednu nebo více zásad podmíněného přístupu. Zásady jsou rozdělené do dvou skupin: Povolené a Jen pro sestavy. Ve výchozím nastavení jsou vybrané všechny povolené zásady. Tyto zásady jsou aktuálně vynucované ve vašem tenantu.

Časový rozsah: Vyberte časový rozsah od 4 hodin do 90 dnů. Pokud vyberete časový rozsah ještě dál, než když integrujete protokoly Microsoft Entra se službou Azure Monitor, zobrazí se jenom přihlášení po uplynutí doby integrace.

Uživatel: Ve výchozím nastavení řídicí panel zobrazuje dopad vybraných zásad pro všechny uživatele. Pokud chcete filtrovat podle jednotlivého uživatele, zadejte do textového pole jméno uživatele. Pokud chcete filtrovat podle všech uživatelů, zadejte do textového pole všechny uživatele nebo parametr nechejte prázdný.

Aplikace: Ve výchozím nastavení řídicí panel zobrazuje dopad vybraných zásad pro všechny aplikace. Pokud chcete filtrovat podle jednotlivé aplikace, zadejte název aplikace do textového pole. Pokud chcete filtrovat podle všech aplikací, zadejte do textového pole všechny aplikace nebo nechte parametr prázdný.

Zobrazení dat: Vyberte, jestli má řídicí panel zobrazovat výsledky z hlediska počtu uživatelů nebo počtu přihlášení. Jednotliví uživatelé můžou mít stovky přihlášení k mnoha aplikacím s mnoha různými výsledky v daném časovém rozsahu. Pokud vyberete zobrazení dat na uživatele, může být uživatel počítán jak do počtu úspěchů, tak do počtu selhání. Pokud je například 10 uživatelů, může mít 8 z nich výsledek úspěchu za posledních 30 dní a 9 z nich může mít výsledek selhání za posledních 30 dní.

Shrnutí dopadu

Po nastavení parametrů se souhrn dopadu načte. Souhrn ukazuje, kolik uživatelů nebo přihlášení během časového rozsahu vedlo k úspěchu, selhání, požadované akci uživatele nebo nepoužité při vyhodnocení vybraných zásad.

Snímek obrazovky zobrazující příklad souhrn dopadu v sešitu podmíněného přístupu

Celkem: Počet uživatelů nebo přihlášení během časového období, ve kterém byla vyhodnocena aspoň jedna z vybraných zásad.

Úspěch: Počet uživatelů nebo přihlášení během časového období, kdy byl kombinovaný výsledek u vybraných zásad Úspěch nebo Pouze záznam: Úspěch.

Selhání: Počet uživatelů nebo přihlášení v časové období, kdy byl výsledek alespoň jedné z vybraných politik Selhání nebo Pouze pro zprávy: Selhání.

Je vyžadována akce uživatele: Počet uživatelů nebo přihlášení během časového období, ve kterém byl kombinovaný výsledek vybraných zásad Pouze sestava: Je vyžadována akce uživatele. Akce uživatele se vyžaduje, když se vyžaduje interaktivní řízení udělení, například vícefaktorové ověřování. Vzhledem k tomu, že interaktivní ovládací prvky přidělování grantů nejsou vynuceny zásadami pouze pro sestavy, nelze určit úspěch nebo selhání.

Nepoužívá se: Počet uživatelů nebo přihlášení během časového období, kdy se nepoužádly žádné z vybraných zásad.

Vysvětlení dopadu

Snímek obrazovky zobrazující rozpis sešitu podle podmínky a stavu

Prohlédněte si rozpis uživatelů nebo přihlášení pro každou z podmínek. Přihlášení můžete filtrovat podle konkrétního výsledku (například Úspěch nebo Selhání) pomocí výběru jedné ze souhrnných dlaždic v horní části sešitu. Zobrazí se rozpis přihlášení pro jednotlivé podmínky podmíněného přístupu: stav zařízení, platforma zařízení, klientská aplikace, umístění, aplikace a riziko přihlášení.

Podrobnosti o přihlášení

Snímek obrazovky zobrazující podrobnosti o přihlášení k sešitu.

Můžete také prozkoumat přihlášení konkrétního uživatele tak, že vyhledáte přihlášení v dolní části řídicího panelu. Dotaz zobrazuje nejčastější uživatele. Výběr uživatele vyfiltruje dotaz.

Poznámka:

Při stahování protokolů přihlašování zvolte formát JSON, aby obsahoval data výsledků jen pro podmíněný přístup.

Zlepšete výkon sešitu

Standardní pracovní sešit pro přehledy a sestavy Podmíněného přístupu může zachytit velké množství dat s výchozími nastaveními. Množství zachycených dat může ovlivnit výkon sešitu, takže načtení některých dotazů může trvat delší dobu nebo může dojít k vypršení časového limitu. Pokud chcete zvýšit výkon, můžete ve službě Azure Monitor vytvořit transformaci.

Než budete pokračovat v tomto volitelném kroku, projděte si článek Transformace ve službě Azure Monitor , kde najdete obecný přehled a důležité informace o nákladech.

Pokud chcete identifikovat výsledky, které se mají zachovat nebo vyloučit z transformace, použijte následující dotaz Kusto v Log Analytics:

SignInLogs
| extend CAPResult_CF = extract_all(@"(\{[^{}]*""result"":""(success|failure)""[^{}]*\})", tostring(ConditionalAccessPolicies))
| project-away ConditionalAccessPolicies

Dotaz hledá konkrétně zásady podmíněného přístupu, které vedou k úspěchu nebo selhání. Mezi další hodnoty, které můžete zahrnout do dotazu, patří notApplied, reportOnlySuccessreportOnlyFailure, , reportOnlyNotApplieda notEnabled.

Vytvoření pravidla shromažďování dat (DCR) pro protokoly přihlašování:

  1. Přihlaste se k webu Azure Portal jako alespoň přispěvatel monitorování.
  2. Přejděte do pracovních prostorů služby Log Analytics a vyberte svůj pracovní prostor.
  3. Přejděte naTabulky>nastavení> a vyberte SignInLogs.
  4. Otevřete nabídku vpravo a vyberte Vytvořit transformaci.
  5. Podle zobrazených výzev vytvořte transformaci a výběrem editoru transformací změňte všechny podrobnosti zahrnuté v transformaci.

Jakmile se transformace úspěšně vytvoří a nasadí, sešit s přehledy podmíněného přístupu a sestavami by se měl načíst rychleji. Transformace se vztahuje pouze na nové protokoly přihlašování ingestované po vytvoření transformace. Transformace ovlivní jiné sešity, které také čerpají z této tabulky.

Mějte na paměti, že pokud z transformace vyloučíte určité výsledky zásad, po spuštění transformace se v sešitu nezobrazí žádné z těchto výsledků.

Konfigurace zásad podmíněného přístupu v režimu pouze pro reporty

Chcete-li konfigurovat zásady podmíněného přístupu v režimu pouze pro sestavy:

  1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň správce podmíněného přístupu.
  2. Přejděte do Entra ID>podmíněného přístupu>zásad.
  3. Vyberte existující zásadu nebo vytvořte novou zásadu.
  4. V části Povolit politiku nastavte přepínač pouze jako režim pro sestavy.
  5. Vyberte Uložit

Návod

Úprava stavu existující zásady z Zapnuto na Pouze hlášení zruší stávající vynucování zásad.

Řešení problému

Proč dochází k selhání dotazů kvůli chybě oprávnění?

Pro přístup k sešitu potřebujete správná oprávnění v Microsoft Entra ID a Log Analytics. Pokud chcete otestovat, jestli máte správná oprávnění k pracovnímu prostoru, spuštěním ukázkového dotazu log Analytics:

  1. Přihlaste se do administračního centra Microsoft Entra jako alespoň uživatel s přístupem ke čtení zabezpečení.
  2. Přejděte do služby Entra ID>Monitorování a zdraví>Analýza protokolů.
  3. Zadejte SigninLogs do pole dotazu a vyberte Spustit.
  4. Pokud dotaz nevrací žádné výsledky, je možné, že váš pracovní prostor není správně nakonfigurovaný.

Snímek obrazovky znázorňující řešení potíží se selháním dotazů

Další informace o tom, jak streamovat protokoly přihlašování Microsoft Entra do pracovního prostoru služby Log Analytics, najdete v článku Integrace protokolů Microsoft Entra s protokoly služby Azure Monitor.

Proč dotazy v sešitu selhávají?

Zákazníci si všimnou, že dotazy občas selžou, pokud je k sešitu spojen nesprávný nebo více pracovních prostorů. Chcete-li tento problém vyřešit, vyberte Upravit v horní části sešitu a potom ikonu Nastavení. Vyberte a pak odeberte pracovní prostory, které nejsou spojené se sešitem. Ke každému sešitu by měla být přidružena jenom jedna pracovní plocha.

Proč je parametr zásad podmíněného přístupu prázdný?

Seznam zásad se vygeneruje tím, že se zohlední zásady vyhodnocené pro poslední událost přihlášení. Pokud ve vašem tenantovi nejsou žádná nedávná přihlášení, mohli byste několik minut počkat, než sešit načte seznam zásad podmíněného přístupu. K prázdným výsledkům může dojít okamžitě po konfiguraci Log Analytics nebo v případě, že tenant nemá nedávnou přihlašovací aktivitu.

Proč načítání sešitu trvá dlouho nebo vrací nulové výsledky?

V závislosti na vybraném časovém rozsahu a velikosti tenanta může sešit vyhodnocovat mimořádně velký počet událostí přihlášení. U velkých tenantů může objem přihlášení překročit kapacitu dotazů služby Log Analytics. Zkuste zkrátit časový rozsah na 4 hodiny a pak se podívejte, jestli se sešit načte. Prohlédněte si část Vylepšení výkonu sešitu pro více informací o tom, jak zlepšit výkon.

Můžu uložit výběry parametrů nebo sešit přizpůsobit?

Výběry parametrů můžete uložit a přizpůsobit sešit v horní části sešitu. Přejděte na Entra ID>Monitorování a stavu>Sešity>Přehledy a sestavy podmíněného přístupu. Tady najdete šablonu sešitu, kde můžete sešit upravit a uložit kopii do pracovního prostoru, včetně výběrů parametrů, v Moje sestavy nebo Sdílené sestavy. Pokud chcete začít upravovat dotazy, vyberte Upravit v horní části sešitu.

Související obsah

  • Last updated on