Freigeben über


Erkenntnisse und Berichterstellung zum bedingten Zugriff

Mithilfe der Arbeitsmappe für Erkenntnisse und Berichterstellung für den bedingten Zugriff können Sie die Auswirkungen von Richtlinien für den bedingten Zugriff in Ihrer Organisation im zeitlichen Verlauf nachvollziehen. Bei der Anmeldung können eine oder mehrere Richtlinien für bedingten Zugriff angewendet werden, wobei der Zugriff bei erfolgreicher Ausführung bestimmter Gewährungssteuerelemente gewährt oder andernfalls verweigert wird. Da bei jeder Anmeldung mehrere Richtlinien für bedingten Zugriff ausgewertet werden können, können Sie in der Arbeitsmappe für Erkenntnisse und Berichterstellung die Auswirkungen einer bestimmten Richtlinie oder einer Teilmenge aller Richtlinien überprüfen.

Voraussetzungen

Um die Arbeitsmappe für Erkenntnisse und Berichterstellung zu aktivieren, muss Ihr Mandant über Folgendes verfügen:

  • Log Analytics-Arbeitsbereich zum Aufbewahren von Anmeldeprotokolldaten
  • Microsoft Entra ID P1-Lizenzen für die Verwendung von bedingtem Zugriff.

Den Benutzern muss mindestens die Rolle „Sicherheitsleseberechtigter“ und die Rolle „Mitwirkender“ für den Log Analytics-Arbeitsbereich zugewiesen sein.

Streamen von Anmeldeprotokollen aus Microsoft Entra ID zu Azure Monitor Protokollen

Wenn Sie die Microsoft Entra-Protokolle nicht mit den Azure Monitor-Protokollen integriert haben, müssen Sie vor dem Laden der Arbeitsmappe die folgenden Schritte ausführen:

  1. Erstellen Sie einen Log Analytics-Arbeitsbereich in Azure Monitor.
  2. Integrieren Sie Microsoft Entra-Logs in Azure Monitor-Protokolle.

Funktionsweise

So greifen Sie auf die Arbeitsmappe für Erkenntnisse und Berichterstellung zu

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens als Sicherheitsleseberechtigter an.
  2. Navigieren Sie zu Entra ID>Bedingter Zugriff>Einblicke und Berichterstattung.

Erste Schritte: Wählen Sie die Parameter aus.

Mit dem Dashboard für Erkenntnisse und Berichterstellung können Sie die Auswirkung einer oder mehrerer Richtlinien für den bedingten Zugriff in einem bestimmten Zeitraum verfolgen. Legen Sie zunächst die einzelnen Parameter oben in der Arbeitsmappe fest.

Screenshot der Arbeitsmappe für Einblicke und Berichterstellung zum bedingten Zugriff.

Richtlinie für bedingten Zugriff: Wählen Sie mindestens eine Richtlinie für bedingten Zugriff aus, um ihre gemeinsame Auswirkung anzuzeigen. Richtlinien sind in zwei Gruppen unterteilt: „Aktiviert“ und „Nur-Bericht“-Richtlinien. Standardmäßig sind alle aktivierten Richtlinien ausgewählt. In Ihrem Mandanten werden derzeit diese Richtlinien erzwungen.

Zeitbereich: Wählen Sie einen Zeitbereich von 4 Stunden bis zu 90 Tagen aus. Wenn Sie einen Zeitraum weiter zurück auswählen, als wenn Sie die Microsoft Entra-Protokolle mit Azure Monitor integriert haben, werden nur Anmeldungen nach dem Zeitpunkt der Integration angezeigt.

Benutzer: Auf dem Dashboard werden die Auswirkungen der ausgewählten Richtlinien standardmäßig für alle Benutzer angezeigt. Um nach einem bestimmten Benutzer zu filtern, geben Sie seinen Namen in das Textfeld ein. Wenn Sie nach allen Benutzern filtern möchten, geben Sie Alle Benutzer in das Textfeld ein, oder lassen Sie den Parameter leer.

App: Auf dem Dashboard werden die Auswirkungen der ausgewählten Richtlinien standardmäßig für alle Apps angezeigt. Um nach einer bestimmten App zu filtern, geben Sie ihren Namen in das Textfeld ein. Wenn Sie nach allen Apps filtern möchten, geben Sie Alle Apps in das Textfeld ein, oder lassen Sie den Parameter leer.

Datenansicht: Wählen Sie aus, ob das Dashboard Ergebnisse mit der Anzahl der Benutzer oder der Anzahl der Anmeldungen anzeigen soll. Für einen einzelnen Benutzer werden möglicherweise Hunderte von Anmeldungen bei vielen verschiedenen Apps mit vielen unterschiedlichen Ergebnissen für einen bestimmten Zeitbereich angezeigt. Wenn Sie für die Datenansicht die Anzahl von Benutzern auswählen, kann ein Benutzer sowohl unter Erfolg als auch unter Fehler einbezogen werden. Bei 10 Benutzern könnten beispielsweise in den letzten 30 Tagen 8 von ihnen ein erfolgreiches Ergebnis und 9 von ihnen einen Fehler gehabt haben.

Zusammenfassung der Auswirkungen

Sobald die Parameter festgelegt wurden, wird die Auswirkungszusammenfassung geladen. Die Zusammenfassung zeigt, bei wie vielen Benutzern oder Anmeldungen beim Auswerten der ausgewählten Richtlinien die Ergebnisse Erfolg, Fehler, Benutzeraktion erforderlich oder Nicht angewendet in einem bestimmten Zeitbereich verzeichnet wurden.

Screenshot eines Beispiels für eine Zusammenfassung der Auswirkungen in der Arbeitsmappe mit bedingtem Zugriff.

Total: Die Anzahl der Benutzer oder Anmeldungen in einem bestimmten Zeitraum, in dem mindestens eine der ausgewählten Richtlinien ausgewertet wurde

Erfolg: Die Anzahl der Benutzer oder Anmeldungen in einem bestimmten Zeitraum, in dem die Auswertung der ausgewählten Richtlinien das kombinierte Ergebnis Erfolg oder Nur melden: Erfolgreich zurückgab.

Fehler: Die Anzahl der Benutzer oder Anmeldungen in einem bestimmten Zeitraum, in dem die Auswertung mindestens einer ausgewählten Richtlinie das Ergebnis Fehler oder Nur melden: Fehler zurückgab.

Benutzeraktion erforderlich: Die Anzahl der Benutzer oder Anmeldungen in einem bestimmten Zeitraum, in dem die Auswertung der ausgewählten Richtlinien das kombinierte Ergebnis Nur melden: Benutzeraktion erforderlich zurückgab. Es ist ein Benutzereingriff erforderlich, wenn eine interaktive Zugriffskontrolle, wie etwa die Multi-Faktor-Authentifizierung, erforderlich ist. Da interaktive Gewährungssteuerelemente nicht durch Nur-Bericht-Richtlinien erzwungen werden, kann nicht bestimmt werden, ob ein Vorgang erfolgreich oder fehlerhaft war.

Nicht angewendet: Die Anzahl der Benutzer oder Anmeldungen in einem bestimmten Zeitraum, in dem keine der ausgewählten Richtlinien angewendet wurde

Grundlegendes zu den Auswirkungen

Screenshot mit einer Aufschlüsselung der Arbeitsmappen je nach Bedingung und Status.

Zeigen Sie die Aufschlüsselung der Benutzer und Anmeldungen für die jeweiligen Bedingungen an. Sie können die Anmeldungen nach einem bestimmten Ergebnis (z. B. Erfolg oder Fehler) filtern. Klicken Sie hierzu oben in der Arbeitsmappe auf die Kacheln „Zusammenfassung“. Sie können die Aufschlüsselung der Anmeldungen für die einzelnen Bedingungen für den bedingten Zugriff anzeigen: Gerätestatus, Geräteplattform, Client-App, Standort, Anwendung und Anmelderisiko.

Details zur Anmeldung

Screenshot mit den Anmeldeinformationen der Arbeitsmappe.

Sie können die Anmeldungen eines bestimmten Benutzers auch am unteren Ende des Dashboards untersuchen, indem Sie nach Anmeldungen suchen. Die Abfrage zeigt die häufigsten Benutzer an. Durch die Auswahl eines Benutzers wird die Abfrage gefiltert.

Hinweis

Wählen Sie beim Herunterladen der Anmeldeprotokolle das JSON-Format aus, um nur berichtsspezifische Ergebnisdaten für den bedingten Zugriff einzubeziehen.

Verbessern der Arbeitsmappenleistung

Die standardmäßigen Insights für bedingten Zugriff und die Berichtsarbeitsmappe können eine große Menge an Daten mit den Standardeinstellungen erfassen. Die Menge der erfassten Daten kann sich auf die Leistung der Arbeitsmappe auswirken, sodass einige Abfragen möglicherweise länger zum Laden oder sogar Timeout dauern. Um die Leistung zu verbessern, können Sie eine Transformation in Azure Monitor erstellen.

Bevor Sie mit diesem optionalen Schritt fortfahren, lesen Sie den Artikel "Transformation in Azure Monitor " für eine allgemeine Übersicht und Kostenüberlegungen.

Um die Ergebnisse zu identifizieren, die von der Transformation beibehalten oder ausgeschlossen werden sollen, verwenden Sie die folgende Kusto-Abfrage in Log Analytics:

SignInLogs
| extend CAPResult_CF = extract_all(@"(\{[^{}]*""result"":""(success|failure)""[^{}]*\})", tostring(ConditionalAccessPolicies))
| project-away ConditionalAccessPolicies 

Die Abfrage befasst sich speziell mit Richtlinien für den bedingten Zugriff, die zu einem Erfolg oder Fehler führen. Andere Werte, die Sie in die Abfrage einschließen können, sind : notApplied, reportOnlySuccess, reportOnlyFailure, , reportOnlyNotAppliedund notEnabled.

So erstellen Sie die Datensammlungsregel (DATA Collection Rule, DCR) für Anmeldeprotokolle:

  1. Melden Sie sich beim Azure-Portal mindestens mit der Rolle Mitwirkender an der Überwachung an.
  2. Navigieren Sie zu Log Analytics-Arbeitsbereichen , und wählen Sie Ihren Arbeitsbereich aus.
  3. Wechseln Sie zu "Einstellungstabellen>>" und wählen Sie "SignInLogs" aus.
  4. Öffnen Sie das Menü auf der rechten Seite, und wählen Sie "Transformation erstellen" aus.
  5. Folgen Sie den Anweisungen zum Erstellen der Transformation, und wählen Sie den Transformations-Editor aus, um die details zu ändern, die in der Transformation enthalten sind.

Sobald die Transformation erfolgreich erstellt und bereitgestellt wurde, sollten die Insights für bedingten Zugriff und die Berichtsarbeitsmappe schneller geladen werden. Die Transformation gilt nur für neue Anmeldeprotokolle, die nach dem Erstellen der Transformation aufgenommen wurden. Andere Arbeitsmappen, die auch von dieser Tabelle abgerufen werden, sind von der Transformation betroffen.

Denken Sie daran, dass Sie beim Ausschließen bestimmter Richtlinienergebnisse aus der Transformation keine dieser Ergebnisse in der Arbeitsmappe sehen werden, sobald die Transformation läuft.

Konfigurieren einer Richtlinie für bedingten Zugriff im reinen Berichtsmodus

Gehen Sie wie folgt vor, um eine Richtlinie für bedingten Zugriff im reinen Berichtsmodus zu konfigurieren:

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens als Administrator für bedingten Zugriff an.
  2. Navigieren Sie zu Entra ID-Richtlinien> fürbedingten Zugriff>.
  3. Wählen Sie eine vorhandene Richtlinie aus, oder erstellen Sie eine neue Richtlinie.
  4. Legen Sie unter Richtlinie aktivieren die Umschaltfläche auf den Modus Nur Bericht fest.
  5. Wählen Sie Speichern aus.

Tipp

Wenn Sie den Status Richtlinie aktivieren einer vorhandenen Richtlinie von Ein in Nur melden ändern, wird dadurch die vorhandene Richtlinienerzwingung deaktiviert.

Problembehandlung

Warum schlagen Abfragen aufgrund eines Berechtigungsfehlers fehl?

Um auf die Arbeitsmappe zugreifen zu können, benötigen Sie die entsprechenden Berechtigungen in Microsoft Entra ID und Log Analytics. Um zu testen, ob Sie über die richtigen Berechtigungen für den Arbeitsbereich verfügen, führen Sie eine Log Analytics-Beispielabfrage aus:

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens als Sicherheitsleseberechtigter an.
  2. Navigieren Sie zu Entra ID>Monitoring & Health>Log Analytics.
  3. Geben Sie SigninLogs im Abfragefeld ein, und wählen Sie Ausführen aus.
  4. Wenn die Abfrage keine Ergebnisse zurückgibt, wurde der Arbeitsbereich möglicherweise nicht ordnungsgemäß konfiguriert.

Screenshot, der zeigt, wie man fehlgeschlagene Abfragen beheben kann.

Weitere Informationen zum Streamen von Microsoft Entra-Anmeldeprotokollen in einen Log Analytics-Arbeitsbereich finden Sie im Artikel Integrieren von Microsoft Entra-Protokollen mit Azure Monitor-Protokollen.

Warum können die Abfragen in der Arbeitsmappe nicht ausgeführt werden?

Kunden stellen fest, dass Abfragen manchmal nicht ausgeführt werden, wenn der Arbeitsmappe falsche oder mehrere Arbeitsbereiche zugeordnet sind. Wählen Sie zur Behebung dieses Problems oben in der Arbeitsmappe die Option Bearbeiten aus, und wählen Sie dann das Zahnradsymbol „Einstellungen“ aus. Wählen Sie Arbeitsbereiche aus, die nicht der Arbeitsmappe zugeordnet sind, und entfernen Sie diese. Jeder Arbeitsmappe sollte nur ein Arbeitsbereich zugeordnet sein.

Warum ist der Parameter "Richtlinien für bedingten Zugriff" leer?

Die Liste der Richtlinien wird anhand der Richtlinien generiert, die für das letzte Anmeldeereignis ausgewertet wurden. Wenn es in Ihrem Mandanten keine aktuellen Anmeldungen gibt, müssen Sie möglicherweise einige Minuten warten, bis die Arbeitsmappe die Liste der Richtlinien für bedingten Zugriff lädt. Zu leeren Ergebnissen kann es unmittelbar nach dem Konfigurieren von Log Analytics kommen oder wenn für einen Mandanten keine aktuellen Anmeldeaktivitäten vorliegen.

Warum dauert es lange, bis die Arbeitsmappe geladen wird, oder warum werden keine Ergebnisse zurückgegeben?

Je nachdem, welchen Zeitbereich Sie ausgewählt haben und wie groß der Mandant ist, muss die Arbeitsmappe eine sehr große Anzahl von Anmeldeereignissen auswerten. Bei großen Mandanten kann das Volumen der Anmeldungen die Log Analytics-Abfragekapazität überschreiten. Verkürzen Sie den Zeitraum auf vier Stunden, und testen Sie, ob die Arbeitsmappe jetzt geladen wird. Lesen Sie den Abschnitt "Verbessern der Arbeitsmappenleistung" , um weitere Informationen zur Verbesserung der Leistung zu erfahren.

Kann ich meine Parameterauswahl speichern oder die Arbeitsmappe anpassen?

Sie können Ihre Parameterauswahl speichern und die Arbeitsmappe oben anpassen. Navigieren Sie zu Entra IDÜberwachung & GesundheitArbeitsmappenEinblicke und Berichterstattung zur bedingten Zugriffssteuerung. Hier finden Sie die Arbeitsmappenvorlage, in der Sie die Arbeitsmappe bearbeiten und eine Kopie einschließlich der Parameterauswahl in Ihrem Arbeitsbereich unter Meine Berichte oder Freigegebene Berichte speichern können. Wenn Sie mit dem Bearbeiten der Abfragen beginnen möchten, wählen Sie oben in der Arbeitsmappe die Option Bearbeiten aus.