Feltételes hozzáférési elemzések és jelentéskészítés

A feltételes hozzáférési elemzések és a jelentéskészítési munkafüzet lehetővé teszi a feltételes hozzáférési szabályzatok időbeli hatásának megértését a szervezetben. A bejelentkezés során egy vagy több feltételes hozzáférési szabályzat alkalmazható, amely hozzáférést biztosít, ha bizonyos engedélyezési vezérlők teljesülnek, vagy más módon megtagadják a hozzáférést. Mivel az egyes bejelentkezések során több feltételes hozzáférési szabályzat is kiértékelhető, az elemzések és a jelentéskészítési munkafüzet segítségével megvizsgálhatja az egyes szabályzatok vagy az összes szabályzat egy részhalmazának hatását.

Előfeltételek

Az elemzések és jelentéskészítési munkafüzet engedélyezéséhez a beállításoknak a következő feltételeknek kell megfelelniük:

• Log Analytics-munkaterület a bejelentkezési naplók adatainak megőrzéséhez és a munkaterülethez való hozzáféréshez.
• Microsoft Entra ID P1-licencek feltételes hozzáférés használatához.

A felhasználóknak legalább a Biztonsági olvasó szerepkört és a Log Analytics-munkaterület közreműködői szerepkörét kell hozzárendelniük.

Bejelentkezési naplók streamelése a Microsoft Entra ID-ból az Azure Monitor-naplókba

Ha még nem integrálta a Microsoft Entra-naplókat az Azure Monitor-naplókkal, integrálnia kell a Microsoft Entra-naplókat az Azure Monitor-naplókkal.

Hogyan működik?

Az elemzések és a jelentéskészítési munkafüzet elérése:

1. Jelentkezzen be a Microsoft Entra felügyeleti központba legalább biztonsági olvasóként és a Log Analytics-munkaterület megfelelő engedélyeinek megfelelően.
2. Keresse meg az Entra ID>feltételes hozzáférési>elemzéseket és jelentéskészítést.

Első lépések: Paraméterek kiválasztása

Az elemzések és a jelentéskészítési irányítópult lehetővé teszi egy vagy több feltételes hozzáférési szabályzat adott időszakra gyakorolt hatását. Először állítsa be az egyes paramétereket a munkafüzet tetején.

Feltételes hozzáférési szabályzat: Az együttes hatásuk megtekintéséhez válasszon ki egy vagy több feltételes hozzáférési szabályzatot. A szabályzatok két csoportra vannak osztva: engedélyezett és csak jelentésalapú szabályzatok. Alapértelmezés szerint az összes engedélyezett házirend ki van jelölve. Ezek a szabályzatok a bérlői környezetedben jelenleg érvényben levő szabályzatok.

Időtartomány: Válasszon ki egy 4 óra és 90 nap közötti időtartományt. Ha a Microsoft Entra-naplók Azure Monitorral való integrálásának időpontjánál korábbi időtartományt választ, csak az integráció utáni bejelentkezések jelennek meg.

Felhasználó: Alapértelmezés szerint az irányítópult az összes felhasználóra vonatkozóan megjeleníti a kiválasztott szabályzatok hatását. Ha egyéni felhasználó alapján szeretne szűrni, írja be a felhasználó nevét a szövegmezőbe. Ha az összes felhasználó alapján szeretne szűrni, írja be a Minden felhasználó szöveget a szövegmezőbe, vagy hagyja üresen a paramétert.

Alkalmazás: Alapértelmezés szerint az irányítópult az összes alkalmazásra vonatkozóan megjeleníti a kiválasztott szabályzatok hatását. Ha egy alkalmazás alapján szeretne szűrni, írja be az alkalmazás nevét a szövegmezőbe. Ha az összes alkalmazás alapján szeretne szűrni, írja be a Minden alkalmazás szöveget a szövegmezőbe, vagy hagyja üresen a paramétert.

Adatnézet: Válassza ki, hogy az irányítópult a felhasználók száma vagy a bejelentkezések száma alapján szeretné-e megjeleníteni az eredményeket. Az egyes felhasználók több száz bejelentkezéssel rendelkezhetnek számos alkalmazásba, amelyek számos különböző eredménnyel rendelkeznek egy adott időtartományban. Ha az adatnézetként a felhasználókat választja ki, egy felhasználó szerepelhet mind a Sikeres, mind a Sikertelen számlálók között. Ha például 10 felhasználó van, az elmúlt 30 napban 8 felhasználónak lehet sikeres eredménye, és közülük 9 az elmúlt 30 napban sikertelen lehet.

Hatás összegzése

A paraméterek beállítása után az Hatás összegzése betöltődik. Az összegzés azt mutatja be, hogy az időtartományban hány felhasználó vagy bejelentkezés eredményezett sikeres,sikertelen, felhasználói műveletet szükséges vagy nem alkalmazott a kiválasztott szabályzatok kiértékelésekor.

Összesen: Azon felhasználók vagy bejelentkezések száma abban az időszakban, amikor a kiválasztott szabályzatok közül legalább egy kiértékelésre került.

Sikeresség: Azon felhasználók vagy bejelentkezések száma abban az időszakban, amikor a kiválasztott szabályzatok összesített eredménye a Siker vagy a Csak jelentés: Siker volt.

Hiba: Azon felhasználók vagy bejelentkezések száma abban az időszakban, amikor a kiválasztott szabályzatok közül legalább az egyik sikertelen vagy csak jelentésalapú: hiba volt.

Felhasználói művelet szükséges: Azon felhasználók vagy bejelentkezések száma abban az időszakban, amikor a kiválasztott szabályzatok összesített eredménye csak jelentéssel rendelkezik: Felhasználói művelet szükséges. Felhasználói műveletre akkor van szükség, ha interaktív engedélyezési vezérlőre, például többtényezős hitelesítésre van szükség. Mivel az interaktív engedélyezési vezérlőket a csak jelentéseken alapuló szabályzatok nem kényszerítik ki, a siker vagy a kudarc nem határozható meg.

Nincs alkalmazva: Azon felhasználók vagy bejelentkezések száma abban az időszakban, amikor a kiválasztott szabályzatok egyike sem volt alkalmazva.

A hatás megértése

Az egyes feltételekhez tartozó felhasználók vagy bejelentkezések lebontásának megtekintése. Egy adott eredmény (például sikeres vagy sikertelen) bejelentkezéseit úgy szűrheti, hogy a munkafüzet tetején található összefoglaló csempékre kattint. Megtekintheti a bejelentkezések lebontását az egyes feltételes hozzáférési feltételek esetében: eszközállapot, eszközplatform, ügyfélalkalmazás, hely, alkalmazás és bejelentkezési kockázat.

Bejelentkezési részletek

Az irányítópult alján található bejelentkezések keresésével egy adott felhasználó bejelentkezéseit is megvizsgálhatja. A lekérdezés megjeleníti a leggyakoribb felhasználókat. A felhasználó kiválasztása szűri a lekérdezést.

Feljegyzés

A bejelentkezési naplók letöltésekor válassza a JSON formátumot a csak feltételes hozzáférésű jelentések eredményadatainak belefoglalásához.

A munkafüzet teljesítményének javítása

A standard feltételes hozzáférési elemzések és jelentéskészítő munkafüzetek nagy mennyiségű adatot rögzíthetnek az alapértelmezett beállításokkal. A rögzített adatok mennyisége befolyásolhatja a munkafüzet teljesítményét, így egyes lekérdezések betöltése hosszabb ideig vagy akár időtúllépésig is eltarthat. A teljesítmény javítása érdekében átalakítást hozhat létre az Azure Monitorban.

A választható lépés végrehajtása előtt tekintse át az Azure Monitor átalakításával foglalkozó cikket, amely általános áttekintést és költségelemzést nyújt.

Az eredmények azonosításához, amelyeket meg kell tartani vagy ki kell zárni az átalakításból, használja az alábbi Kusto-lekérdezést a Log Analyticsben.

SignInLogs
| extend CAPResult_CF = extract_all(@"(\{[^{}]*""result"":""(success|failure)""[^{}]*\})", tostring(ConditionalAccessPolicies))
| project-away ConditionalAccessPolicies 

A lekérdezés kifejezetten a feltételes hozzáférési szabályzatokat vizsgálja, amelyek sikeres vagy sikertelen működést eredményeznek. A lekérdezésben szerepelhetnek egyéb értékek is notApplied: , reportOnlySuccess, reportOnlyFailure, reportOnlyNotAppliedés notEnabled.

A bejelentkezési naplók adatgyűjtési szabályának (DCR) létrehozása:

1. Jelentkezzen be legalább monitorozási közreműködőként az Azure Portalra.
2. Keresse meg a Log Analytics-munkaterületeket, és válassza ki a munkaterületet.
3. Nyissa meg a Beállítások>táblák lehetőséget> , és válassza a SignInLogs lehetőséget.
4. Nyissa meg a jobb oldali menüt, és válassza az Átalakítás létrehozása lehetőséget.
5. Kövesse az utasításokat az átalakítás létrehozásához, és válassza az Átalakítás szerkesztőt az átalakításban szereplő részletek módosításához.

Az átalakítás sikeres létrehozása és üzembe helyezése után a feltételes hozzáférési elemzések és jelentéskészítő munkafüzetek gyorsabban töltődnek be. Az átalakítás csak az átalakítás létrehozása után betöltött új bejelentkezési naplókra vonatkozik. Más munkafüzetek, amelyek szintén ebből a táblázatból nyernek adatokat, érintettek az átalakítás által.

Ne feledje, hogy ha kizár bizonyos szabályzateredményeket az átalakításból, az átalakítás futtatása után ezek egyike sem jelenik meg a munkafüzetben.

Feltételes hozzáférési házirend konfigurálása jelentéskészítési módban

Feltételes hozzáférési szabályzat konfigurálása csak jelentés módban:

1. Jelentkezzen be a Microsoft Entra felügyeleti központba legalább feltételes hozzáférési rendszergazdaként.
2. Keresse meg az Entra ID>feltételes hozzáférési>szabályzatokat.
3. Válasszon ki egy meglévő szabályzatot, vagy hozzon létre egy új szabályzatot.
4. A Házirend engedélyezése csoportban állítsa a kapcsolót Csak jelentési módra.
5. Válassza a Mentés opciót

Tipp

Ha egy meglévő házirend engedélyezési állapotátBe állapotról Csak jelentés állapotra módosítjuk, az letiltja a meglévő házirend érvényesítését.

Hibaelhárítás

Miért hiúsulnak meg a lekérdezések engedélyhiba miatt?

A munkafüzet eléréséhez a Megfelelő engedélyekre van szüksége a Microsoft Entra-azonosítóban és a Log Analyticsben. Annak ellenőrzéséhez, hogy rendelkezik-e a megfelelő munkaterületi engedélyekkel egy mintanapló-elemzési lekérdezés futtatásával:

1. Jelentkezzen be a Microsoft Entra felügyeleti központba legalább biztonsági olvasóként.
2. Keresse meg az Entra ID>Monitorozás és állapot>Naplóelemzés.
3. Írja be SigninLogs a lekérdezési mezőbe, és válassza a Futtatás lehetőséget.
4. Ha a lekérdezés nem ad vissza eredményt, előfordulhat, hogy a munkaterület nincs megfelelően konfigurálva.

A Microsoft Entra bejelentkezési naplóinak Log Analytics-munkaterületre való streamelésére vonatkozó további információkért lásd a Microsoft Entra-naplók Azure Monitor-naplókkal való integrálásáról szóló cikket.

Miért hiúsulnak meg a munkafüzet lekérdezései?

Az ügyfelek azt tapasztalják, hogy a lekérdezések néha meghiúsulnak, ha a munkafüzethez nem megfelelő vagy több munkaterület van társítva. A probléma megoldásához válassza a munkafüzet ablakának tetején lévő Szerkesztés lehetőséget, majd a Beállítások ikont. Jelölje ki, majd távolítsa el a munkafüzethez nem társított munkaterületeket. Minden munkafüzethez csak egy munkaterület tartozhat.

Miért üres a feltételes hozzáférési szabályzat paramétere?

A szabályzatok listája a legutóbbi bejelentkezési eseményre kiértékelt szabályzatok alapján jön létre. Ha nincsenek legutóbbi bejelentkezések a bérlőben, előfordulhat, hogy várnia kell néhány percet, amíg a munkafüzet betölti a feltételes hozzáférési szabályzatok listáját. Az üres eredmények közvetlenül a Log Analytics konfigurálása után következhetnek be, vagy ha egy bérlő nem rendelkezik legutóbbi bejelentkezési tevékenységekkel.

Miért tart sokáig a munkafüzet betöltése vagy nulla eredmény visszaadása?

A kiválasztott időtartománytól és a bérlő méretétől függően előfordulhat, hogy a munkafüzet rendkívül nagy számú bejelentkezési eseményt értékel ki. Nagy bérlők esetén a bejelentkezések mennyisége meghaladhatja a Log Analytics lekérdezési kapacitását. Próbálja meg lerövidíteni az időtartományt 4 órára, majd ellenőrizze, hogy betöltődik-e a munkafüzet. A teljesítmény javításáról további információt a Munkafüzet teljesítményének javítása című szakaszban talál.

Menthetem a paraméterkijelöléseket, vagy testre szabhatom a munkafüzetet?

Mentheti a paraméterkijelöléseket, és testre szabhatja a munkafüzetet a munkafüzet tetején. Keresse fel az Entra ID>Felügyelet és egészség>Munkafüzetek>Feltételes hozzáférési elemzések és jelentések. Itt találja a munkafüzetsablont, ahol szerkesztheti a munkafüzetet, és menthet egy másolatot a munkaterületre, beleértve a paraméterek kiválasztását is a Saját jelentésekben vagy a Megosztott jelentésekben. A lekérdezések szerkesztésének megkezdéséhez válassza a Szerkesztés lehetőséget a munkafüzet tetején.

Kapcsolódó tartalom

• Csak feltételes hozzáférés jelentéskészítési módja

• A Microsoft Entra-munkafüzetekről a Microsoft Entra-jelentésekhez készült Azure Monitor-munkafüzetek használata című cikkben talál további információt.

• A feltételes hozzáférés gyakori szabályzatai