Feltételes hozzáférési megállapítások és jelentéskészítés
A feltételes hozzáférési megállapítások és jelentéskészítési munkafüzet lehetővé teszi a feltételes hozzáférési szabályzatok időbeli hatásának megértését a szervezetben. A bejelentkezés során egy vagy több feltételes hozzáférési szabályzat alkalmazható, amely hozzáférést biztosít, ha bizonyos engedélyezési vezérlők teljesülnek, vagy más módon megtagadják a hozzáférést. Mivel az egyes bejelentkezések során több feltételes hozzáférési szabályzat is kiértékelhető, az elemzések és a jelentéskészítési munkafüzet segítségével megvizsgálhatja az egyes szabályzatok vagy az összes szabályzat egy részhalmazának hatását.
Előfeltételek
Az elemzési és jelentéskészítési munkafüzet engedélyezéséhez a bérlőnek rendelkeznie kell egy Log Analytics-munkaterületel a bejelentkezési naplók adatainak megőrzéséhez. A feltételes hozzáférés használatához a felhasználóknak Prémium P1 szintű Azure AD vagy P2 licenccel kell rendelkezniük.
A felhasználóknak legalább a Security Reader szerepkörrel és a Log Analytics-munkaterület közreműködői szerepkörével kell rendelkezniük.
Bejelentkezési naplók streamelése Azure AD-ról Azure Monitor-naplókra
Ha még nem integrálta Azure AD naplókat az Azure Monitor-naplókkal, a munkafüzet betöltése előtt a következő lépéseket kell elvégeznie:
- Hozzon létre egy Log Analytics-munkaterületet az Azure Monitorban.
- Integrálja Azure AD naplókat az Azure Monitor-naplókkal.
Működés
Az elemzések és a jelentéskészítési munkafüzet elérése:
- Jelentkezzen be az Azure Portal.
- Keresse meg az Azure Active Directory>biztonsági>feltételes hozzáférési>elemzéseket és jelentéskészítést.
Első lépések: Paraméterek kiválasztása
Az elemzések és a jelentéskészítési irányítópult lehetővé teszi egy vagy több feltételes hozzáférési szabályzat adott időszakra gyakorolt hatását. Először állítsa be az egyes paramétereket a munkafüzet tetején.
Feltételes hozzáférési szabályzat: Válasszon ki egy vagy több feltételes hozzáférési szabályzatot az együttes hatásuk megtekintéséhez. A szabályzatok két csoportra vannak osztva: Engedélyezve és Csak jelentésre vonatkozó szabályzatok. Alapértelmezés szerint az összes engedélyezett szabályzat ki van jelölve. Ezek az engedélyezett szabályzatok a bérlőben jelenleg kikényszerített szabályzatok.
Időtartomány: Válasszon ki egy 4 órától egészen 90 napig terjedő időtartományt. Ha a Azure AD naplók Azure Monitorral való integrálásához képest távolabb választ ki egy időtartományt, csak az integráció időpontja után jelennek meg a bejelentkezések.
Felhasználó: Alapértelmezés szerint az irányítópult megjeleníti a kiválasztott szabályzatok hatását az összes felhasználóra vonatkozóan. Ha egyéni felhasználó alapján szeretne szűrni, írja be a felhasználó nevét a szövegmezőbe. Ha az összes felhasználó alapján szeretne szűrni, írja be a "Minden felhasználó" kifejezést a szövegmezőbe, vagy hagyja üresen a paramétert.
Alkalmazás: Alapértelmezés szerint az irányítópult az összes alkalmazásra vonatkozóan megjeleníti a kiválasztott szabályzatok hatását. Ha egy alkalmazás alapján szeretne szűrni, írja be az alkalmazás nevét a szövegmezőbe. Ha az összes alkalmazás alapján szeretne szűrni, írja be a "Minden alkalmazás" kifejezést a szövegmezőbe, vagy hagyja üresen a paramétert.
Adatnézet: Válassza ki, hogy szeretné-e, hogy az irányítópult a felhasználók száma vagy a bejelentkezések száma alapján jelenítsen meg eredményeket. Az egyes felhasználók több száz bejelentkezéssel rendelkezhetnek számos alkalmazásba, amelyek számos különböző eredménnyel rendelkeznek egy adott időtartományban. Ha az adatnézetet választja ki, hogy felhasználók legyenek, a felhasználók a Sikeres és a Sikertelenség számba is belefoglalhatók. Ha például 10 felhasználó van, közülük 8 az elmúlt 30 napban sikeres lehetett, és közülük 9 az elmúlt 30 napban meghiúsult.
Hatás összegzése
A paraméterek beállítása után a hatás összegzése betöltődik. Az összefoglalás azt mutatja be, hogy az időtartományban hány felhasználó vagy bejelentkezés eredményezte a "Sikeres", "Sikertelen", "Felhasználói művelet szükséges" vagy "Nincs alkalmazva" értéket a kiválasztott szabályzatok kiértékelésekor.
Összesen: Azon felhasználók vagy bejelentkezések száma abban az időszakban, amikor a kiválasztott szabályzatok közül legalább az egyiket kiértékelték.
Sikeres: Azon felhasználók vagy bejelentkezések száma abban az időszakban, amikor a kiválasztott szabályzatok összesített eredménye "Sikeres" vagy "Csak jelentés: Sikeres" volt.
Hiba: Azon felhasználók vagy bejelentkezések száma abban az időszakban, amikor a kiválasztott szabályzatok közül legalább az egyik eredménye "Hiba" vagy "Csak jelentés: Hiba" volt.
Felhasználói művelet szükséges: A felhasználók vagy bejelentkezések száma abban az időszakban, amikor a kiválasztott szabályzatok összesített eredménye "Csak jelentés: Felhasználói művelet szükséges" volt. Felhasználói műveletre akkor van szükség, ha interaktív engedély-vezérlésre, például többtényezős hitelesítésre van szükség. Mivel az interaktív engedélyezési vezérlőket nem kényszerítik csak jelentésalapú szabályzatok, a siker vagy a hiba nem határozható meg.
Nincs alkalmazva: Azon felhasználók vagy bejelentkezések száma abban az időszakban, amikor a kiválasztott szabályzatok egyike sem volt alkalmazva.
A hatás megértése
Tekintse meg az egyes feltételekhez tartozó felhasználók vagy bejelentkezések lebontását. Egy adott eredmény (például Sikeres vagy Sikertelen) bejelentkezéseit szűrheti a munkafüzet tetején található összesítő csempékre kattintva. Megtekintheti a bejelentkezések lebontását az egyes feltételes hozzáférési feltételek esetében: eszközállapot, eszközplatform, ügyfélalkalmazás, hely, alkalmazás és bejelentkezési kockázat.
Bejelentkezési részletek
Az irányítópult alján található bejelentkezések keresésével egy adott felhasználó bejelentkezéseit is megvizsgálhatja. A bal oldali lekérdezés a leggyakoribb felhasználókat jeleníti meg. A felhasználó kiválasztása a lekérdezést a jobb oldalon szűri.
Megjegyzés
A bejelentkezési naplók letöltésekor válassza a JSON formátumot a csak feltételes hozzáférésű jelentések eredményadatainak hozzáadásához.
Feltételes hozzáférési szabályzat konfigurálása csak jelentési módban
Feltételes hozzáférési szabályzat konfigurálása csak jelentési módban:
- Jelentkezzen be a Azure Portal feltételes hozzáférési rendszergazdaként, biztonsági rendszergazdaként vagy globális rendszergazdaként.
- Keresse meg az Azure Active Directory>biztonsági>feltételes hozzáférését.
- Válasszon ki egy meglévő szabályzatot, vagy hozzon létre egy új szabályzatot.
- A Házirend engedélyezése területen állítsa a kapcsolót Csak jelentés módra .
- Válassza a Mentés lehetőséget
Tipp
Ha egy meglévő szabályzat Házirendállapotának engedélyezése a Beről a Csak jelentésre beállítást választja, az letiltja a meglévő szabályzatok kikényszerítését.
Hibaelhárítás
Miért hiúsulnak meg a lekérdezések egy engedélyhiba miatt?
A munkafüzet eléréséhez a megfelelő Azure AD engedélyekre és a Log Analytics-munkaterület engedélyére van szükség. Annak teszteléséhez, hogy rendelkezik-e a megfelelő munkaterületi engedélyekkel egy minta log analytics-lekérdezés futtatásával:
- Jelentkezzen be az Azure Portal.
- Keresse meg az Azure Active Directory>Log Analyticst.
- Írja be
SigninLogs
a lekérdezésmezőbe, és válassza a Futtatás lehetőséget. - Ha a lekérdezés nem ad vissza eredményt, előfordulhat, hogy a munkaterület nincs megfelelően konfigurálva.
A bejelentkezési naplók Azure AD Log Analytics-munkaterületre való streamelésére vonatkozó további információkért lásd: Azure AD naplók integrálása az Azure Monitor-naplókkal.
Miért hiúsulnak meg a munkafüzet lekérdezései?
Az ügyfelek észrevették, hogy a lekérdezések néha meghiúsulnak, ha a munkafüzethez nem megfelelő vagy több munkaterület van társítva. A probléma megoldásához válassza a Szerkesztés lehetőséget a munkafüzet tetején, majd a Beállítások fogaskerék lehetőséget. Jelölje ki, majd távolítsa el a munkafüzethez nem társított munkaterületeket. Az egyes munkafüzetekhez csak egy munkaterület társítható.
Miért üres a feltételes hozzáférési szabályzatok paramétere?
A szabályzatok listája a legutóbbi bejelentkezési eseményre kiértékelt szabályzatok alapján jön létre. Ha nincsenek legutóbbi bejelentkezések a bérlőben, előfordulhat, hogy várnia kell néhány percet, amíg a munkafüzet betölti a feltételes hozzáférési szabályzatok listáját. Az üres eredmények azonnal előfordulhatnak a Log Analytics konfigurálása után, vagy ha egy bérlő nem rendelkezik legutóbbi bejelentkezési tevékenységekkel.
Miért tart sokáig a munkafüzet betöltése?
A kiválasztott időtartománytól és a bérlő méretétől függően előfordulhat, hogy a munkafüzet rendkívül sok bejelentkezési eseményt értékel ki. Nagy bérlők esetén a bejelentkezések mennyisége meghaladhatja a Log Analytics lekérdezési kapacitását. Próbálja meg lerövidíteni az időtartományt 4 órára, hogy kiderüljön, betöltődik-e a munkafüzet.
Néhány perc betöltése után miért ad vissza a munkafüzet nulla eredményt?
Ha a bejelentkezések mennyisége meghaladja a Log Analytics lekérdezési kapacitását, a munkafüzet nulla eredményt ad vissza. Próbálja meg lerövidíteni az időtartományt 4 órára, hogy kiderüljön, betöltődik-e a munkafüzet.
Menthetem a paraméterkijelöléseket?
A paraméterkijelöléseket a munkafüzet tetején mentheti az Azure Active Directory-munkafüzetek>feltételes hozzáférési elemzéseinek>és jelentéseinek megtekintésével. Itt találja a munkafüzetsablont, ahol szerkesztheti a munkafüzetet, és menthet egy másolatot a munkaterületre, beleértve a paraméterkijelöléseket is a Saját jelentések vagy a Megosztott jelentések területen.
Szerkeszthetim és testre szabhatom a munkafüzetet más lekérdezésekkel?
A munkafüzet szerkesztéséhez és testreszabásához nyissa meg az Azure ActiveDirectory-munkafüzetek>feltételes hozzáférési elemzéseit> és jelentéseit. Itt találja a munkafüzetsablont, ahol szerkesztheti a munkafüzetet, és menthet egy másolatot a munkaterületre, beleértve a paraméterkijelöléseket is a Saját jelentések vagy a Megosztott jelentések területen. A lekérdezések szerkesztésének megkezdéséhez válassza a Szerkesztés lehetőséget a munkafüzet tetején.
Következő lépések
A Azure AD munkafüzetekről további információt az Azure Monitor-munkafüzetek használata Azure Active Directory-jelentésekhez című cikkben talál.