Feltételes hozzáférési szabályzat változásaival összefüggő hibaelhárítás

  • Cikk

A Microsoft Entra-auditnapló értékes információforrás, ha hibaelhárítást kell végezni azzal kapcsolatban, hogy miért és hogyan történtek feltételes hozzáférési szabályzat módosítások az Ön környezetében.

Az auditnapló adatai alapértelmezés szerint csak 30 napig kerülnek megőrzésre, ami nem feltétlenül elég hosszú minden szervezet számára. A szervezetek hosszabb ideig tárolhatnak adatokat, ha a Microsoft Entra ID diagnosztikai beállításait a következőre módosítják:

  • Adatok küldése Log Analytics-munkaterületre
  • Adatok archiválása tárfiókba
  • Adatok streamelése az Event Hubsra
  • Adatok küldése partnermegoldásnak

Ezeket a beállításokat az Identitásfigyelés > állapotdiagnosztikai>beállítások>Szerkesztés beállításában találja.> Ha nem rendelkezik diagnosztikai beállítással, kövesse a Diagnosztikai beállítások létrehozása című cikkben található utasításokat, hogy platformnaplókat és metrikákat küldjön különböző helyekre , hogy létrehozhasson egyet.

Az auditnapló használata

  1. Jelentkezzen be a Microsoft Entra felügyeleti központbafeltételeshozzáférés-adminisztrátorként.

  2. Keresse meg az Identitásfigyelés>> állapotnaplókat.>

  3. Válassza ki a lekérdezni kívánt dátumtartományt .

  4. A Szolgáltatásszűrőben válassza a Feltételes hozzáférés lehetőséget, majd az Alkalmaz gombot.

    Az auditnaplók alapértelmezés szerint az összes tevékenységet megjelenítik. Nyissa meg a Tevékenység szűrőt a tevékenységek szűkítéséhez. A feltételes hozzáférés naplózási naplótevékenységeinek teljes listáját az Auditnapló-tevékenységek című témakörben találja.

  5. Jelölje ki a sort a részletek megtekintéséhez. A Módosított tulajdonságok lap a kijelölt naplózási tevékenység módosított JSON-értékeit sorolja fel.

Naplóbejegyzés a feltételes hozzáférési szabályzat régi és új JSON-értékeiről

A Log Analytics használata

A Log Analytics lehetővé teszi, hogy a szervezetek beépített lekérdezésekkel vagy egyénileg létrehozott Kusto-lekérdezésekkel kérdezhessenek le adatokat. További információt a napló lekérdezéseinek első lépései az Azure Monitorban című témakörben talál.

Log Analytics-lekérdezés a feltételes hozzáférési szabályzatok frissítéséhez új és régi értékhelyet jelenít meg

Miután engedélyezte a Log Analyticshez való hozzáférést az Identity>Monitoring & Health>Log Analytics szolgáltatásban. A feltételes hozzáférési rendszergazdák számára leginkább érdekes táblázat az AuditLogs.

AuditLogs 
| where OperationName == "Update Conditional Access policy"

A módosítások a TargetResources>modifiedProperties alatt találhatók.

Értékek olvasása

A napló és a Log Analytics régi és új értékei JSON formátumban vannak. Hasonlítsa össze a két értéket a szabályzat módosításainak megtekintéséhez.

Régi házirend-példa:

{
    "conditions": {
        "applications": {
            "applicationFilter": null,
            "excludeApplications": [
            ],
            "includeApplications": [
                "797f4846-ba00-4fd7-ba43-dac1f8f63013"
            ],
            "includeAuthenticationContextClassReferences": [
            ],
            "includeUserActions": [
            ]
        },
        "clientAppTypes": [
            "browser",
            "mobileAppsAndDesktopClients"
        ],
        "servicePrincipalRiskLevels": [
        ],
        "signInRiskLevels": [
        ],
        "userRiskLevels": [
        ],
        "users": {
            "excludeGroups": [
                "eedad040-3722-4bcb-bde5-bc7c857f4983"
            ],
            "excludeRoles": [
            ],
            "excludeUsers": [
            ],
            "includeGroups": [
            ],
            "includeRoles": [
            ],
            "includeUsers": [
                "All"
            ]
        }
    },
    "displayName": "Common Policy - Require MFA for Azure management",
    "grantControls": {
        "builtInControls": [
            "mfa"
        ],
        "customAuthenticationFactors": [
        ],
        "operator": "OR",
        "termsOfUse": [
            "a0d3eb5b-6cbe-472b-a960-0baacbd02b51"
        ]
    },
    "id": "334e26e9-9622-4e0a-a424-102ed4b185b3",
    "modifiedDateTime": "2021-08-09T17:52:40.781994+00:00",
    "state": "enabled"
}

Frissített házirend-példa:

{
    "conditions": {
        "applications": {
            "applicationFilter": null,
            "excludeApplications": [
            ],
            "includeApplications": [
                "797f4846-ba00-4fd7-ba43-dac1f8f63013"
            ],
            "includeAuthenticationContextClassReferences": [
            ],
            "includeUserActions": [
            ]
        },
        "clientAppTypes": [
            "browser",
            "mobileAppsAndDesktopClients"
        ],
        "servicePrincipalRiskLevels": [
        ],
        "signInRiskLevels": [
        ],
        "userRiskLevels": [
        ],
        "users": {
            "excludeGroups": [
                "eedad040-3722-4bcb-bde5-bc7c857f4983"
            ],
            "excludeRoles": [
            ],
            "excludeUsers": [
            ],
            "includeGroups": [
            ],
            "includeRoles": [
            ],
            "includeUsers": [
                "All"
            ]
        }
    },
    "displayName": "Common Policy - Require MFA for Azure management",
    "grantControls": {
        "builtInControls": [
            "mfa"
        ],
        "customAuthenticationFactors": [
        ],
        "operator": "OR",
        "termsOfUse": [
        ]
    },
    "id": "334e26e9-9622-4e0a-a424-102ed4b185b3",
    "modifiedDateTime": "2021-08-09T17:52:54.9739405+00:00",
    "state": "enabled"
}

Az előző példában a frissített szabályzat nem tartalmazza a használati feltételeket a támogatási vezérlőkben.

Következő lépések