Informazioni dettagliate e report di Accesso condizionale

  • Articolo

La cartella di lavoro Informazioni dettagliate e report di Accesso condizionale consente di conoscere l'impatto dei criteri di accesso condizionale dell'organizzazione nel tempo. Durante l'accesso, è possibile applicare uno o più criteri di accesso condizionale, concedendo l'accesso se vengono soddisfatti alcuni controlli di concessione o negando l'accesso in caso contrario. Dato che durante ogni accesso possono essere valutati più criteri di accesso condizionale, la cartella di lavoro Informazioni dettagliate e report consente di esaminare l'impatto dei singoli criteri o di un sottoinsieme di tutti i criteri.

Prerequisiti

Per abilitare la cartella di lavoro Informazioni dettagliate e report, il tenant deve avere un'area di lavoro Log Analytics per conservare i dati dei log di accesso. Gli utenti devono avere licenze P1 o P2 per l'uso dell'accesso condizionale.

Agli utenti deve essere assegnato almeno il ruolo con autorizzazioni di lettura per la sicurezza e i ruoli collaboratore dell'area di lavoro Log Analytics.

Trasmettere i log di accesso da Microsoft Entra ID ai log di Monitoraggio di Azure

Se i log di Microsoft Entra non sono stati integrati con i log di Monitoraggio di Azure, è necessario eseguire i passaggi seguenti prima del caricamento della cartella di lavoro:

  1. Creare un'area di lavoro Log Analytics in Monitoraggio di Azure.
  2. Integrare i log di Microsoft Entra con i log di Monitoraggio di Azure.

Funzionamento

Per accedere alla cartella di lavoro Informazioni dettagliate e report:

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra come almeno un Amministrazione istrator di accesso condizionale.
  2. Passare a Protezione>dati analitici e report per l'accesso>condizionale.

Introduzione: Selezionare i parametri

Il dashboard Informazioni dettagliate e report consente di visualizzare l'impatto di uno o più criteri di accesso condizionale in un periodo di tempo specificato. Per iniziare, impostare ognuno dei parametri nella parte superiore della cartella di lavoro.

Screenshot showing the Conditional Access insights and reporting workbook.

Criteri di accesso condizionale: selezionare uno o più criteri di accesso condizionale per visualizzare l'impatto combinato. I criteri sono separati in due gruppi: abilitato e solo report. Per impostazione predefinita, sono selezionati tutti i criteri abilitati, che sono i criteri attualmente applicati nel tenant.

Intervallo di tempo: selezionare un intervallo di tempo compreso tra 4 ore e 90 giorni. Se si seleziona un intervallo di tempo più indietro rispetto a quando sono stati integrati i log di Microsoft Entra con Monitoraggio di Azure, vengono visualizzati solo gli accessi dopo l'ora di integrazione.

Utente: per impostazione predefinita, il dashboard mostra l'impatto dei criteri selezionati per tutti gli utenti. Per filtrare un singolo utente, digitarne il nome nel campo di testo. Per filtrare tutti gli utenti, digitare "Tutti gli utenti" nel campo di testo o lasciare vuoto il parametro.

App: per impostazione predefinita, il dashboard mostra l'impatto dei criteri selezionati per tutte le app. Per filtrare una singola app, digitarne il nome nel campo di testo. Per filtrare tutte le app, digitare "Tutte le app" nel campo di testo o lasciare vuoto il parametro.

Visualizzazione dati: selezionare se si vuole che il dashboard visualizzi i risultati in termini di numero di utenti o numero di accessi. Un singolo utente può avere centinaia di accessi a molte app con molti risultati diversi durante un determinato intervallo di tempo. Se si seleziona la visualizzazione dati per essere utenti, è possibile includere un utente sia nel conteggio delle operazioni riuscite che in quello degli errori. Ad esempio, se sono presenti 10 utenti, 8 di essi potrebbero avere avuto esito positivo negli ultimi 30 giorni e 9 di essi potrebbero avere avuto un risultato di errore negli ultimi 30 giorni.

Riepilogo dell'impatto

Dopo l'impostazione dei parametri, viene caricato il riepilogo dell'impatto. Il riepilogo mostra il numero di utenti o di accessi per i quali, nell'intervallo di tempo, il risultato con la valutazione dei criteri selezionati è stato "Operazione riuscita", "Errore", "È richiesto l'intervento dell'utente" o "Non applicato".

Screenshot showing an example impact summary in the Conditional Access workbook.

Totale: numero di utenti o accessi durante il periodo di tempo in cui è stato valutato almeno uno dei criteri selezionati.

Operazione riuscita: numero di utenti o accessi durante il periodo di tempo in cui il risultato combinato dei criteri selezionati è "Operazione riuscita" o "Solo report: operazione riuscita".

Errore: numero di utenti o accessi durante il periodo di tempo in cui il risultato di almeno uno dei criteri selezionati è "Errore" o "Solo report: Errore".

Azione dell'utente obbligatoria: numero di utenti o accessi durante il periodo di tempo in cui il risultato combinato dei criteri selezionati è "Solo report: azione utente richiesta". L'azione dell'utente è necessaria quando è necessario un controllo di concessione interattivo, ad esempio l'autenticazione a più fattori. Poiché i controlli di concessione interattiva non vengono applicati dai criteri solo report, non è possibile determinare l'esito positivo o negativo.

Non applicato: numero di utenti o accessi durante il periodo di tempo in cui nessuno dei criteri selezionati è stato applicato.

Informazioni sull'impatto

Screenshot showing a workbook breakdown per condition and status.

Visualizzare il dettaglio degli utenti o degli accessi per ognuna delle condizioni. È possibile filtrare gli accessi di un determinato risultato (ad esempio, Operazione riuscita o Errore) selezionando i riquadri di riepilogo nella parte superiore della cartella di lavoro. È possibile visualizzare il dettaglio degli accessi per ognuna delle condizioni di accesso condizionale: stato del dispositivo, piattaforma del dispositivo, app client, località, applicazione e rischio di accesso.

Dettagli di accesso

Screenshot showing workbook sign-in details.

È anche possibile esaminare gli accessi di un utente specifico cercando gli accessi nella parte inferiore del dashboard. La query visualizza gli utenti più frequenti. Se si seleziona un utente, la query viene filtrata.

Nota

Quando si scaricano i log di accesso, scegliere il formato JSON per includere i dati dei risultati del report solo per l'accesso condizionale.

Configurare criteri di accesso condizionale in modalità solo report

Per configurare un criterio di accesso condizionale in modalità solo report:

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra come almeno un Amministrazione istrator di accesso condizionale.
  2. Passare a Protezione>dell'accesso condizionale.
  3. Selezionare un criterio esistente o creare un nuovo criterio.
  4. In Abilita criterio impostare l'interruttore su Modalità solo report.
  5. Selezionare Salva

Suggerimento

Se si modifica lo stato dei criteri Abilita criteri di un criterio esistente da Attivato a Solo report , l'applicazione dei criteri esistente viene disabilitata.

Risoluzione dei problemi

Perché le query hanno esito negativo a causa di un errore di autorizzazioni?

Per accedere alla cartella di lavoro, sono necessarie le autorizzazioni appropriate in Microsoft Entra ID e Log Analytics. Per verificare se si dispone delle autorizzazioni appropriate per l'area di lavoro eseguendo una query di Log Analytics di esempio:

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra come almeno un Amministrazione istrator di accesso condizionale.
  2. Passare a Integrità>monitoraggio & delle identità>Log Analytics.
  3. Digitare SigninLogs nella casella di query e selezionare Esegui.
  4. Se la query non restituisce risultati, l'area di lavoro potrebbe non essere stata configurata correttamente.

Screenshot showing how to troubleshoot failing queries.

Per altre informazioni su come trasmettere i log di accesso di Microsoft Entra a un'area di lavoro Log Analytics, vedere l'articolo Integrare i log di Microsoft Entra con i log di Monitoraggio di Azure.

Perché le query nella cartella di lavoro hanno esito negativo?

I clienti hanno notato che le query a volte hanno esito negativo se le aree di lavoro errate o più aree di lavoro sono associate alla cartella di lavoro. Per risolvere il problema, selezionare Modifica nella parte superiore della cartella di lavoro e quindi l'ingranaggio Impostazioni. Selezionare e quindi rimuovere le aree di lavoro non associate alla cartella di lavoro. A ogni cartella di lavoro deve essere associata una sola area di lavoro.

Perché il parametro dei criteri di accesso condizionale è vuoto?

L'elenco dei criteri viene generato esaminando i criteri valutati per l'evento di accesso più recente. Se non sono presenti accessi recenti nel tenant, potrebbe essere necessario attendere alcuni minuti prima che la cartella di lavoro carichi l'elenco dei criteri di accesso condizionale. I risultati vuoti possono verificarsi immediatamente dopo la configurazione di Log Analytics o se un tenant non ha attività di accesso recenti.

Perché il caricamento della cartella di lavoro richiede molto tempo?

A seconda dell'intervallo di tempo selezionato e delle dimensioni del tenant, la cartella di lavoro potrebbe valutare un numero estremamente elevato di eventi di accesso. Per i tenant di grandi dimensioni, il volume degli accessi potrebbe superare la capacità di query di Log Analytics. Provare a ridurre l'intervallo di tempo a 4 ore per verificare se la cartella di lavoro viene caricata.

Perché, dopo un caricamento durato alcuni minuti, la cartella di lavoro restituisce zero risultati?

Quando il volume degli accessi supera la capacità di query di Log Analytics, la cartella di lavoro restituisce zero risultati. Provare a ridurre l'intervallo di tempo a 4 ore per verificare se la cartella di lavoro viene caricata.

È possibile salvare le selezioni dei parametri?

È possibile salvare le selezioni dei parametri nella parte superiore della cartella di lavoro passando a Identity Monitoring & health>Workbooks Conditional Access Insights and reporting (>Informazioni dettagliate sull'accesso condizionale e creazione di report delle cartelle di lavoro di monitoraggio delle identità).> Qui si trova il modello di cartella di lavoro, in cui è possibile modificare la cartella di lavoro e salvare una copia nell'area di lavoro, incluse le selezioni dei parametri, in Report personali o Report condivisi.

È possibile modificare e personalizzare la cartella di lavoro con altre query?

È possibile modificare e personalizzare la cartella di lavoro passando a Identity Monitoring & health>Workbooks Conditional Access Insights and reporting (>Informazioni>dettagliate sull'accesso condizionale e creazione di report). Qui si trova il modello di cartella di lavoro, in cui è possibile modificare la cartella di lavoro e salvare una copia nell'area di lavoro, incluse le selezioni dei parametri, in Report personali o Report condivisi. Per iniziare a modificare le query, selezionare Modifica nella parte superiore della cartella di lavoro.

Passaggi successivi