Verwenden von Überwachungsprotokollen zur Problembehandlung von Richtlinienänderungen für bedingten Zugriff

Das Überwachungsprotokoll von Microsoft Entra ist eine wertvolle Informationsquelle bei der Problembehandlung, um festzustellen, warum und wie Änderungen der Richtlinie für bedingten Zugriff in Ihrer Umgebung vorgenommen wurden.

Überwachungsprotokolldaten werden standardmäßig 30 Tage lang aufbewahrt, was für jede Organisation möglicherweise nicht ausreicht. Organisationen können Daten länger speichern, indem Sie die Diagnoseeinstellungen in der Microsoft Entra-ID wie folgt ändern:

• Daten an einen Log Analytics-Arbeitsbereich zu senden
• Daten in einem Speicherkonto zu archivieren
• Streamen von Daten an Event Hubs
• Daten an eine Partnerlösung zu senden

Suchen Sie diese Optionen unter Entra IDÜberwachung & GesundheitDiagnostikeinstellungenEinstellung bearbeiten. Wenn Sie nicht über eine Diagnoseeinstellung verfügen, lesen Sie " Erstellen von Diagnoseeinstellungen", um Plattformprotokolle und Metriken an verschiedene Ziele zu senden , um anweisungen zum Erstellen eines zu erhalten.

Verwenden des Überwachungsprotokolls

1. Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Berichtleseberechtigter an.

2. Navigieren Sie zu Entra ID>Monitoring & Health>Audit-Protokollen.

3. Wählen Sie den zu abfragenden Datumsbereich aus.

4. Wählen Sie im Filter Dienst die Option Bedingter Zugriff und dann die Schaltfläche Anwenden aus.

   Standardmäßig werden in den Überwachungsprotokollen alle Aktivitäten angezeigt. Verwenden Sie den Aktivitätsfilter , um die Aktivitäten einzugrenzen. Eine vollständige Liste der Überwachungsprotokollaktivitäten für bedingten Zugriff finden Sie unter Überwachungsprotokollaktivitäten.

5. Wählen Sie eine Zeile aus, um die Details anzuzeigen. Auf der Registerkarte Geänderte Eigenschaften werden die geänderten JSON-Werte für die ausgewählte Überwachungsaktivität aufgelistet.

Verwenden von Log Analytics

Mit Log Analytics können Organisationen Daten mit integrierten Abfragen oder benutzerdefinierten Kusto-Abfragen abfragen. Weitere Informationen finden Sie unter "Erste Schritte mit Protokollabfragen in Azure Monitor".

Suchen Sie nach der Aktivierung log Analytics in Entra ID>Monitoring & Health>Log Analytics. Die Tabelle, die für Administratoren mit bedingtem Zugriff am relevantesten ist , ist AuditLogs.

AuditLogs 
| where OperationName == "Update Conditional Access policy"

Suchen Sie Änderungen unter TargetResources>modifiedProperties.

Lesen der Werte

Die alten und neuen Werte aus dem Überwachungsprotokoll und von Log Analytics liegen im JSON-Format vor. Vergleichen Sie die beiden Werte, um Änderungen an der Richtlinie zu identifizieren.

Beispiel für eine alte Richtlinie:

{
    "conditions": {
        "applications": {
            "applicationFilter": null,
            "excludeApplications": [
            ],
            "includeApplications": [
                "797f4846-ba00-4fd7-ba43-dac1f8f63013"
            ],
            "includeAuthenticationContextClassReferences": [
            ],
            "includeUserActions": [
            ]
        },
        "clientAppTypes": [
            "browser",
            "mobileAppsAndDesktopClients"
        ],
        "servicePrincipalRiskLevels": [
        ],
        "signInRiskLevels": [
        ],
        "userRiskLevels": [
        ],
        "users": {
            "excludeGroups": [
                "eedad040-3722-4bcb-bde5-bc7c857f4983"
            ],
            "excludeRoles": [
            ],
            "excludeUsers": [
            ],
            "includeGroups": [
            ],
            "includeRoles": [
            ],
            "includeUsers": [
                "All"
            ]
        }
    },
    "displayName": "Common Policy - Require MFA for Azure management",
    "grantControls": {
        "builtInControls": [
            "mfa"
        ],
        "customAuthenticationFactors": [
        ],
        "operator": "OR",
        "termsOfUse": [
            "a0d3eb5b-6cbe-472b-a960-0baacbd02b51"
        ]
    },
    "id": "334e26e9-9622-4e0a-a424-102ed4b185b3",
    "modifiedDateTime": "2021-08-09T17:52:40.781994+00:00",
    "state": "enabled"
}

Beispiel für eine aktualisierte Richtlinie:

{
    "conditions": {
        "applications": {
            "applicationFilter": null,
            "excludeApplications": [
            ],
            "includeApplications": [
                "797f4846-ba00-4fd7-ba43-dac1f8f63013"
            ],
            "includeAuthenticationContextClassReferences": [
            ],
            "includeUserActions": [
            ]
        },
        "clientAppTypes": [
            "browser",
            "mobileAppsAndDesktopClients"
        ],
        "servicePrincipalRiskLevels": [
        ],
        "signInRiskLevels": [
        ],
        "userRiskLevels": [
        ],
        "users": {
            "excludeGroups": [
                "eedad040-3722-4bcb-bde5-bc7c857f4983"
            ],
            "excludeRoles": [
            ],
            "excludeUsers": [
            ],
            "includeGroups": [
            ],
            "includeRoles": [
            ],
            "includeUsers": [
                "All"
            ]
        }
    },
    "displayName": "Common Policy - Require MFA for Azure management",
    "grantControls": {
        "builtInControls": [
            "mfa"
        ],
        "customAuthenticationFactors": [
        ],
        "operator": "OR",
        "termsOfUse": [
        ]
    },
    "id": "334e26e9-9622-4e0a-a424-102ed4b185b3",
    "modifiedDateTime": "2021-08-09T17:52:54.9739405+00:00",
    "state": "enabled"
}

Im vorherigen Beispiel enthält die aktualisierte Richtlinie keine Nutzungsbedingungen in den Grant-Steuerelementen.

Zugehöriger Inhalt

• Was wird von Microsoft Entra überwacht?
• Erfahren Sie, wie Sie die Protokollanalyseansichten für die Microsoft Entra-ID installieren und verwenden.