Usare i log di controllo per risolvere i problemi relativi alle modifiche ai criteri di accesso condizionale

Il log di controllo di Microsoft Entra è un'importante fonte di informazioni durante la verifica dei motivi e delle modalità con cui i criteri di accesso condizionale sono stati modificati nell'ambiente.

Per impostazione predefinita, i dati del log di controllo vengono conservati solo per 30 giorni, un periodo che potrebbe non essere sufficiente per ogni organizzazione. Le organizzazioni possono archiviare i dati per periodi più lunghi modificando le impostazioni di diagnostica in Microsoft Entra ID in:

• Inviare dati a un'area di lavoro Log Analytics
• Archiviare i dati in un account di archiviazione
• Trasmettere dati in Hub eventi
• Inviare dati a una soluzione partner

Trova queste opzioni sotto Entra ID>Monitoraggio & integrità>Impostazioni di diagnostica>Modifica impostazione. Se non si ha un'impostazione di diagnostica, seguire le istruzioni riportate nell'articolo Creare impostazioni di diagnostica per inviare log e metriche della piattaforma a destinazioni diverse per crearne una.

Usare il log di controllo

1. Accedere all'interfaccia di amministrazione di Microsoft Entra come almeno un lettore di report.

2. Passare a Entra ID>Monitoraggio e integrità>Audit logs.

3. Selezionare l'intervallo di date su cui eseguire la query.

4. Nel filtro Servizio selezionare Accesso condizionale e selezionare il pulsante Applica .

   Per impostazione predefinita, i log di controllo visualizzano tutte le attività. Aprire il filtro Attività per restringere le attività. Per un elenco completo delle attività del log di controllo per l'accesso condizionale, vedere le attività del log di controllo.

5. Per visualizzare i dettagli, selezionare una riga. Nella scheda Proprietà modificate sono elencati i valori JSON modificati per l'attività di controllo selezionata.

Usare Log Analytics

Log Analytics consente alle organizzazioni di eseguire query sui dati usando query predefinite o query Kusto create personalizzate. Per altre informazioni, vedere Introduzione alle query di log in Monitoraggio di Azure.

Una volta abilitato, trova l'accesso a Log Analytics in Entra ID>Monitoring & health>Log Analytics. La tabella di maggiore interesse per gli amministratori dell'accesso condizionale è AuditLogs.

AuditLogs 
| where OperationName == "Update Conditional Access policy"

Le modifiche sono disponibili in TargetResources>modifiedProperties.

Lettura dei valori

I valori precedenti e nuovi del log di controllo e Log Analytics sono in formato JSON. Confrontare i due valori per visualizzare le modifiche apportate ai criteri.

Esempio di criteri precedenti:

{
    "conditions": {
        "applications": {
            "applicationFilter": null,
            "excludeApplications": [
            ],
            "includeApplications": [
                "797f4846-ba00-4fd7-ba43-dac1f8f63013"
            ],
            "includeAuthenticationContextClassReferences": [
            ],
            "includeUserActions": [
            ]
        },
        "clientAppTypes": [
            "browser",
            "mobileAppsAndDesktopClients"
        ],
        "servicePrincipalRiskLevels": [
        ],
        "signInRiskLevels": [
        ],
        "userRiskLevels": [
        ],
        "users": {
            "excludeGroups": [
                "eedad040-3722-4bcb-bde5-bc7c857f4983"
            ],
            "excludeRoles": [
            ],
            "excludeUsers": [
            ],
            "includeGroups": [
            ],
            "includeRoles": [
            ],
            "includeUsers": [
                "All"
            ]
        }
    },
    "displayName": "Common Policy - Require MFA for Azure management",
    "grantControls": {
        "builtInControls": [
            "mfa"
        ],
        "customAuthenticationFactors": [
        ],
        "operator": "OR",
        "termsOfUse": [
            "a0d3eb5b-6cbe-472b-a960-0baacbd02b51"
        ]
    },
    "id": "334e26e9-9622-4e0a-a424-102ed4b185b3",
    "modifiedDateTime": "2021-08-09T17:52:40.781994+00:00",
    "state": "enabled"
}

Esempio di criteri aggiornato:

{
    "conditions": {
        "applications": {
            "applicationFilter": null,
            "excludeApplications": [
            ],
            "includeApplications": [
                "797f4846-ba00-4fd7-ba43-dac1f8f63013"
            ],
            "includeAuthenticationContextClassReferences": [
            ],
            "includeUserActions": [
            ]
        },
        "clientAppTypes": [
            "browser",
            "mobileAppsAndDesktopClients"
        ],
        "servicePrincipalRiskLevels": [
        ],
        "signInRiskLevels": [
        ],
        "userRiskLevels": [
        ],
        "users": {
            "excludeGroups": [
                "eedad040-3722-4bcb-bde5-bc7c857f4983"
            ],
            "excludeRoles": [
            ],
            "excludeUsers": [
            ],
            "includeGroups": [
            ],
            "includeRoles": [
            ],
            "includeUsers": [
                "All"
            ]
        }
    },
    "displayName": "Common Policy - Require MFA for Azure management",
    "grantControls": {
        "builtInControls": [
            "mfa"
        ],
        "customAuthenticationFactors": [
        ],
        "operator": "OR",
        "termsOfUse": [
        ]
    },
    "id": "334e26e9-9622-4e0a-a424-102ed4b185b3",
    "modifiedDateTime": "2021-08-09T17:52:54.9739405+00:00",
    "state": "enabled"
}

Nell'esempio precedente, i criteri aggiornati non includono le condizioni per l'utilizzo nei controlli di concessione.

Contenuto correlato

• Che cos'è il monitoraggio di Microsoft Entra?
• Installare e usare le visualizzazioni di Log Analytics per Microsoft Entra ID