Condividi tramite

Cartella di lavoro dell'analizzatore di gap di accesso condizionale

  • Articolo

In Microsoft Entra ID è possibile proteggere l'accesso alle risorse configurando i criteri di accesso condizionale. Gli amministratori IT vogliono assicurarsi che i criteri di accesso condizionale funzionino come previsto per assicurarsi che le risorse siano protette correttamente. Con la cartella di lavoro dell'analizzatore gap di accesso condizionale è possibile rilevare lacune nell'implementazione dell'accesso condizionale.

Questo articolo offre una panoramica della cartella di lavoro dell'analizzatore gap di accesso condizionale .

Prerequisiti

Per usare cartelle di lavoro di Azure per Microsoft Entra ID, è necessario:

  • Un tenant di Microsoft Entra con una licenza Premium P1
  • Un'area di lavoro Log Analytics e l'accesso a tale area di lavoro
  • Ruoli appropriati per Monitoraggio di Azure e Microsoft Entra ID

Area di lavoro Log Analytics

È necessario creare un'area di lavoroLog Analytics prima di poter usare cartelle di lavoro di Microsoft Entra. diversi fattori determinano l'accesso alle aree di lavoro Log Analytics. Sono necessari i ruoli appropriati per l'area di lavoro e le risorse che inviano i dati.

Per altre informazioni, vedere Gestire l'accesso alle aree di lavoro Log Analytics.

Ruoli di Monitoraggio di Azure

Monitoraggio di Azure offre due ruoli predefiniti per la visualizzazione dei dati di monitoraggio e la modifica delle impostazioni di monitoraggio. Il controllo degli accessi in base al ruolo di Azure offre anche due ruoli predefiniti di Log Analytics che concedono un accesso simile.

  • Visualizza:

    • Lettore di monitoraggio
    • Lettore di Log Analytics

  • Visualizzare e modificare le impostazioni:

    • Collaboratore al monitoraggio
    • Collaboratore di Log Analytics

Ruoli di Microsoft Entra

L'accesso in sola lettura consente di visualizzare i dati di log di Microsoft Entra ID all'interno di una cartella di lavoro, eseguire query sui dati da Log Analytics o leggere i log nell'interfaccia di amministrazione di Microsoft Entra. L'accesso agli aggiornamenti consente di creare e modificare le impostazioni di diagnostica per inviare i dati di Microsoft Entra a un'area di lavoro Log Analytics.

  • Read:

    • Amministratore che legge i report
    • Ruolo con autorizzazioni di lettura per la sicurezza
    • Ruolo con autorizzazioni di lettura globali

  • Aggiornamento:

    • Amministratore della sicurezza

Per altre informazioni sui ruoli predefiniti di Microsoft Entra, vedere Ruoli predefiniti di Microsoft Entra.

Per altre informazioni sui ruoli controllo degli accessi in base al ruolo di Log Analytics, vedere Ruoli predefiniti di Azure.

Descrizione

Workbook category

Gli amministratori IT vogliono assicurarsi che solo le persone giuste possano accedere alle risorse. L'accesso condizionale Microsoft Entra consente di raggiungere questo obiettivo.

La cartella di lavoro dell'analizzatore gap di accesso condizionale consente di verificare che i criteri di accesso condizionale funzionino come previsto.

Questa cartella di lavoro:

  • Evidenzia gli accessi utente a cui non sono applicati criteri di accesso condizionale.
  • Consente di assicurarsi che non siano presenti utenti, applicazioni o posizioni che non sono stati involontariamente esclusi dai criteri di accesso condizionale.

Come accedere alla cartella di lavoro

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra usando la combinazione appropriata di ruoli.

  2. Passare a Identity Monitoring &health Workbooks (Cartelle di lavoro di monitoraggio delle identità>e integrità).>

  3. Selezionare la cartella di lavoro dell'analizzatore gap di accesso condizionale nella sezione Accesso condizionale.

Sezioni della cartella di lavoro

La cartella di lavoro include quattro sezioni:

  • Utenti che accedono con l'autenticazione legacy

  • Numero di accessi da parte di applicazioni non interessate dai criteri di accesso condizionale

  • Eventi di accesso ad alto rischio ignorando i criteri di accesso condizionale

  • Numero di accessi in base alla posizione non interessati dai criteri di accesso condizionale

Conditional Access coverage by location

Ognuna di queste tendenze offre una suddivisione degli accessi a livello di utente, in modo da poter vedere quali utenti per scenario stanno ignorando l'accesso condizionale.

Filtri

Questa cartella di lavoro supporta l'impostazione di un filtro di intervallo di tempo.

Time range filter

Procedure consigliate

Usare questa cartella di lavoro per assicurarsi che il tenant sia configurato per le procedure consigliate per l'accesso condizionale seguenti:

  • Bloccare tutti gli accessi di autenticazione legacy

  • Applicare almeno un criterio di accesso condizionale a ogni applicazione

  • Bloccare tutti gli accessi ad alto rischio

  • Bloccare gli accessi da posizioni non attendibili