Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Der bedingte Zugriff hilft Organisationen dabei, sicher zu bleiben, indem die richtigen Sicherheitszugriffskontrollen unter den richtigen Umständen angewendet werden. Das Verständnis der Auswirkungen dieser Richtlinien kann schwierig sein, insbesondere bei der Bereitstellung neuer Richtlinien. In diesem Artikel wird erläutert, wie die Auswirkungen der Richtlinie für bedingten Zugriff mithilfe des Berichtmodus und anderen Werkzeugen analysiert werden können.
Es gibt mehrere Optionen für Administratoren, die auf dem Nur-Bericht-Modus beruhen. Der Modus "Nur Bericht" ist ein Richtlinienstatus, in dem Administratoren die meisten Richtlinien für bedingten Zugriff testen können, bevor sie aktiviert werden.
- Richtlinien für bedingten Zugriff können im reinen Berichtsmodus ausgewertet werden, mit Ausnahme von Elementen, die im Bereich „Benutzeraktionen“ enthalten sind.
- Bei der Anmeldung werden Richtlinien im reinen Berichtsmodus ausgewertet, aber nicht erzwungen.
- Die Ergebnisse werden auf den Registerkarten Bedingter Zugriff und Nur melden der Anmeldeprotokolldetails protokolliert.
- Kunden mit einem Azure Monitor-Abonnement können die Auswirkungen ihrer Richtlinien für bedingten Zugriff mithilfe der Arbeitsmappe für Erkenntnisse zum bedingten Zugriff überwachen.
Warnung
Richtlinien im berichtsbasiertem Modus, die ein konformes Gerät erfordern, können Benutzer auf macOS-, iOS- und Android-Geräten auffordern, während der Richtlinienauswertung ein Gerätezertifikat auszuwählen, auch wenn die Gerätekonformität nicht erzwungen wird. Diese Eingabeaufforderungen können wiederholt werden, bis das Gerät kompatibel ist. Um zu verhindern, dass Endbenutzer während der Anmeldung Eingabeaufforderungen erhalten, schließen Sie die Geräteplattformen Mac, iOS und Android von Richtlinien aus, die nur Berichte erstellen und Gerätekompatibilitätsprüfungen durchführen.
Ergebnisse der Richtlinienauswertung
Wenn eine Richtlinie für eine bestimmte Anmeldung ausgewertet wird, gibt es mehrere mögliche Ergebnisse:
| Ergebnis | BESCHREIBUNG |
|---|---|
| Nur melden: Erfolgreich | Alle konfigurierten Richtlinienbedingungen, erforderlichen nicht interaktiven Genehmigungssteuerungen und Sitzungssteuerungen wurden erfüllt. Beispielsweise wird eine mehrstufige Authentifizierungsanforderung durch einen MFA-Anspruch erfüllt, der bereits im Token vorhanden ist, oder eine kompatible Geräterichtlinie wird durch Ausführen einer Geräteüberprüfung auf einem kompatiblen Gerät erfüllt. |
| Nur melden: Fehler | Alle konfigurierten Richtlinienbedingungen wurden erfüllt, jedoch wurden nicht alle erforderlichen nicht interaktiven Zugriffskontrollen oder Sitzungssteuerungen erfüllt. Beispielsweise gilt eine Richtlinie für einen Benutzer, bei dem eine Sperrkontrolle konfiguriert ist, oder ein Gerät erfüllt eine Konformitätsrichtlinie für Geräte nicht. |
| Nur Bericht: Benutzeraktion erforderlich | Alle konfigurierten Richtlinienbedingungen wurden erfüllt, jedoch ist Benutzeraktion zur Erfüllung der erforderlichen Berechtigungs- oder Sitzungssteuerungen notwendig. Im Modus "Nur Bericht" wird der Benutzer nicht aufgefordert, die erforderlichen Steuerelemente zu erfüllen. Benutzer werden z. B. nicht zur Eingabe von Herausforderungen oder Nutzungsbedingungen für die mehrstufige Authentifizierung aufgefordert. |
| Nur melden: Nicht angewendet | Nicht alle konfigurierten Richtlinienbedingungen wurden erfüllt. Beispielsweise wird der Benutzer von der Richtlinie ausgeschlossen, oder die Richtlinie gilt nur für bestimmte vertrauenswürdige benannte Speicherorte. |
| Erfolg | Anmeldeereignisse, bei denen die Richtlinie angewendet wurde, die Anforderungen erfüllt sind und die Richtlinie die Anmeldung fortfahren lässt. Die Anmeldung wird möglicherweise weiterhin durch eine andere Richtlinie blockiert. |
| Versagen | Bei Anmeldeereignissen, bei denen die Richtlinie angewendet wurde, wurden die Anforderungen nicht erfüllt, und die Richtlinie blockiert die Anmeldung. Dies kann beabsichtigt sein, z. B. wenn Anmeldungen von einem bestimmten Speicherort blockiert werden. Es kann aber auch versehentlich passieren, wenn die Richtlinie falsch konfiguriert ist. |
| Nicht angewendet | Anmeldeereignisse, bei denen die Richtlinie nicht angewendet wurde, z. B. wurde der Benutzer ausgeschlossen. |
Überprüfen der Ergebnisse
Administratoren können mehrere Optionen verwenden, um die potenziellen Ergebnisse von Richtlinien in ihrer Umgebung zu überprüfen:
- Arbeitsmappen
- Anmeldeprotokolle
- Auswirkungen der Richtlinie (Vorschau)
Auswirkungen von Richtlinien
Die Richtlinienauswirkungsansicht des bedingten Zugriffs ermöglicht Administratoren mit mindestens der Rolle "Sicherheitsleseberechtigter" eine Momentaufnahme von Informationen zu den potenziellen oder vorhandenen Auswirkungen von Richtlinien auf interaktive Anmeldungen in Ihrer Organisation. Mit dieser Funktion können Sie die Auswirkungen über einen Zeitraum der letzten 24 Stunden, 7 Tage oder 1 Monat untersuchen. Darüber hinaus können Sie ein Sampling von Anmeldeereignissen anzeigen und verknüpfen, um weitere Details zu erhalten.
Arbeitsmappen
Administratoren können mehrere Richtlinien im Modus "Nur Bericht" erstellen. Daher ist es erforderlich, die individuellen Auswirkungen jeder Richtlinie und die kombinierten Auswirkungen mehrerer Richtlinien zu verstehen, die zusammen ausgewertet werden. Mit der "Conditional Access Insights and Reporting”-Arbeitsmappe können Administratoren die Richtlinie für bedingten Zugriff visualisieren, abfragen und die Auswirkungen einer Richtlinie für einen bestimmten Zeitraum sowie für eine festgelegte Gruppe von Anwendungen und Benutzern überwachen. Administratoren können Arbeitsmappen an ihre spezifischen Anforderungen anpassen.
Anmeldeprotokolle
Für eine tiefere Auswertung von Richtlinien für bedingten Zugriff und deren Anwendung bei einer bestimmten Anmeldung untersuchen Administratoren möglicherweise einzelne Anmeldeereignisse. Jedes dieser Ereignisse enthält Details dazu, welche Richtlinien für bedingten Zugriff im Modus „Nur Bericht“ aktiviert und angewendet oder nicht angewendet wurden.
Verwenden dieser Optionen
Nachdem Administratoren die Richtlinieneinstellungen mithilfe des Richtlinieneinfluss oder Nur-Bericht-Modus ausgewertet haben, können sie den Schalter "Richtlinie aktivieren" von "Nur Bericht" auf "Ein" verschieben.