Alkalmazott feltételes hozzáférési szabályzatok megtekintése a Microsoft Entra bejelentkezési naplóiban
A feltételes hozzáférési szabályzatokkal szabályozhatja, hogy a felhasználók hogyan férnek hozzá az Azure-bérlő erőforrásaihoz. Bérlői rendszergazdaként meg kell tudnia határoznia, hogy a feltételes hozzáférési szabályzatok milyen hatással vannak a bérlőbe való bejelentkezésekre, hogy szükség esetén műveletet hajthasson végre.
A Microsoft Entra ID bejelentkezési naplói olyan információkat adnak meg, amelyekre szüksége van a szabályzatok hatásának értékeléséhez. Ez a cikk bemutatja, hogyan tekintheti meg az alkalmazott feltételes hozzáférési szabályzatokat ezekben a naplókban.
Előfeltételek
A bejelentkezési naplókban alkalmazott feltételes hozzáférési szabályzatok megtekintéséhez a rendszergazdáknak rendelkezniük kell a naplók és a szabályzatok megtekintéséhez szükséges engedélyekkel. A legkevésbé kiemelt beépített szerepkör, amely mindkét engedélyt megadja, a Security Reader. Ajánlott eljárásként vegye fel a Biztonsági olvasó szerepkört a kapcsolódó rendszergazdai fiókokba.
A következő beépített szerepkörök engedélyezik a feltételes hozzáférési szabályzatok olvasását:
- Biztonsági olvasó
- Globális olvasó
- Biztonsági rendszergazda
- Feltételes hozzáférésű rendszergazda
A következő beépített szerepkörök engedélyezik a bejelentkezési naplók megtekintését:
- Jelentésolvasó
- Biztonsági olvasó
- Globális olvasó
- Biztonsági rendszergazda
Ügyfélalkalmazások engedélyei
Ha ügyfélalkalmazással kéri le a bejelentkezési naplókat a Microsoft Graphból, az alkalmazásnak engedélyekre van szüksége ahhoz, hogy megkapja az erőforrást a appliedConditionalAccessPolicy Microsoft Graphtól. Ajánlott eljárásként rendelje hozzá Policy.Read.ConditionalAccess , mert ez a legkevésbé kiemelt engedély.
Az alábbi engedélyek bármelyike elegendő ahhoz, hogy egy ügyfélalkalmazás hozzáférjen az alkalmazott feltételes hozzáférési szabályzatokhoz a bejelentkezési naplókban a Microsoft Graphon keresztül:
Policy.Read.ConditionalAccessPolicy.ReadWrite.ConditionalAccessPolicy.Read.All
A PowerShell engedélyei
Mint minden más ügyfélalkalmazás, a Microsoft Graph PowerShell-modulnak is szüksége van ügyfélengedélyekre a bejelentkezési naplókban alkalmazott feltételes hozzáférési szabályzatok eléréséhez. Ahhoz, hogy sikeresen lekérje az alkalmazott feltételes hozzáférési szabályzatokat a bejelentkezési naplókban, hozzá kell adnia a Microsoft Graph PowerShell rendszergazdai fiókjához szükséges engedélyeket. Ajánlott eljárásként járuljon hozzá a következőkhöz:
Policy.Read.ConditionalAccessAuditLog.Read.AllDirectory.Read.All
Az alábbi engedélyek a legkevésbé emelt jogosultságú engedélyek a szükséges hozzáféréssel:
- A szükséges engedélyekhez való hozzájárulás:
Connect-MgGraph -Scopes Policy.Read.ConditionalAccess, AuditLog.Read.All, Directory.Read.All - A bejelentkezési naplók megtekintése:
Get-MgAuditLogSignIn
További információ erről a parancsmagról: Get-MgAuditLogSignIn.
Feltételes hozzáférés és bejelentkezési naplók forgatókönyvei
Microsoft Entra-rendszergazdaként a bejelentkezési naplókat a következőkre használhatja:
- Bejelentkezési problémák elhárítása.
- Ellenőrizze a funkció teljesítményét.
- Értékelje ki a bérlő biztonságát.
Egyes forgatókönyvek megkövetelik, hogy megismerje, hogyan lettek alkalmazva a feltételes hozzáférési szabályzatok egy bejelentkezési eseményre. Néhány általános példa:
A segélyszolgálat rendszergazdáinak meg kell vizsgálniuk az alkalmazott feltételes hozzáférési szabályzatokat annak megértéséhez, hogy a felhasználó által megnyitott jegy kiváltó oka-e a szabályzat.
A bérlői rendszergazdáknak ellenőrizniük kell, hogy a feltételes hozzáférési szabályzatok a kívánt hatással vannak-e a bérlő felhasználóira.
A bejelentkezési naplókat a Microsoft Entra felügyeleti központ, az Azure Portal, a Microsoft Graph és a PowerShell használatával érheti el.
Feltételes hozzáférési szabályzatok megtekintése a Microsoft Entra bejelentkezési naplóiban
Tipp.
A cikkben szereplő lépések a portáltól függően kissé eltérhetnek.
A bejelentkezési naplók tevékenységadatai több lapot tartalmaznak. A Feltételes hozzáférés lap felsorolja az adott bejelentkezési eseményre alkalmazott feltételes hozzáférési szabályzatokat.
- Jelentkezzen be a Microsoft Entra felügyeleti központba legalább globális olvasóként.
- Tallózással keresse meg az Identitásfigyelés>> állapot>bejelentkezési naplóit.
- Válasszon ki egy bejelentkezési elemet a táblából a bejelentkezési adatok panel megtekintéséhez.
- Válassza a Feltételes hozzáférés lapot.
Ha nem látja a feltételes hozzáférési szabályzatokat, győződjön meg arról, hogy olyan szerepkört használ, amely hozzáférést biztosít mind a bejelentkezési naplókhoz, mind a feltételes hozzáférési szabályzatokhoz.
Következő lépések
Visszajelzés
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ: https://aka.ms/ContentUserFeedback.
Visszajelzés küldése és megtekintése a következőhöz: