Toegepast beleid voor voorwaardelijke toegang weergeven in aanmeldingslogboeken van Microsoft Entra
Met beleid voor voorwaardelijke toegang kunt u bepalen hoe uw gebruikers toegang krijgen tot de resources van uw Azure-tenant. Als tenantbeheerder moet u kunnen bepalen welk effect uw beleid voor voorwaardelijke toegang heeft op aanmeldingen bij uw tenant, zodat u zo nodig actie kunt ondernemen.
De aanmeldingslogboeken in Microsoft Entra ID geven u de informatie die u nodig hebt om het effect van uw beleid te beoordelen. In dit artikel wordt uitgelegd hoe u toegepaste beleidsregels voor voorwaardelijke toegang in deze logboeken kunt weergeven.
Vereisten
Om toegepast beleid voor voorwaardelijke toegang in de aanmeldingslogboeken te zien, moeten beheerders machtigingen hebben om zowel de logboeken als het beleid weer te geven. De minst bevoorrechte ingebouwde rol die beide machtigingen verleent, is Beveiligingslezer. Als best practice moet u de rol Beveiligingslezer toevoegen aan de gerelateerde beheerdersaccounts.
De volgende ingebouwde rollen verlenen machtigingen om beleid voor voorwaardelijke toegang te lezen:
- Beveiligingslezer
- Algemene lezer
- Beveiligingsbeheer
- Beheerder voor voorwaardelijke toegang
De volgende ingebouwde rollen verlenen toestemming om aanmeldingslogboeken weer te geven:
- Rapportenlezer
- Beveiligingslezer
- Algemene lezer
- Beveiligingsbeheer
Machtigingen voor client-apps
Als u een client-app gebruikt om aanmeldingslogboeken op te halen uit Microsoft Graph, heeft uw app machtigingen nodig om de appliedConditionalAccessPolicy resource van Microsoft Graph te ontvangen. Wijs het beste toe Policy.Read.ConditionalAccess omdat dit de minst bevoegde machtiging is.
Een van de volgende machtigingen is voldoende voor een client-app voor toegang tot toegepast beleid voor voorwaardelijke toegang in aanmeldingslogboeken via Microsoft Graph:
Policy.Read.ConditionalAccessPolicy.ReadWrite.ConditionalAccessPolicy.Read.All
Machtigingen voor PowerShell
Net als elke andere client-app heeft de Microsoft Graph PowerShell-module clientmachtigingen nodig voor toegang tot toegepast beleid voor voorwaardelijke toegang in de aanmeldingslogboeken. Als u toegepaste beleidsregels voor voorwaardelijke toegang wilt ophalen in de aanmeldingslogboeken, moet u toestemming geven voor de benodigde machtigingen met uw beheerdersaccount voor Microsoft Graph PowerShell. Als best practice gaat u akkoord met:
Policy.Read.ConditionalAccessAuditLog.Read.AllDirectory.Read.All
De volgende machtigingen zijn de minst bevoegde machtigingen met de benodigde toegang:
- Ga als volgende te werk om toestemming te geven voor de benodigde machtigingen:
Connect-MgGraph -Scopes Policy.Read.ConditionalAccess, AuditLog.Read.All, Directory.Read.All - De aanmeldingslogboeken weergeven:
Get-MgAuditLogSignIn
Zie Get-MgAuditLogSignIn voor meer informatie over deze cmdlet.
Scenario's voor voorwaardelijke toegang en aanmeldingslogboeken
Als Microsoft Entra-beheerder kunt u de aanmeldingslogboeken gebruiken om het volgende te doen:
- Problemen met aanmelden oplossen.
- Controleer de functieprestaties.
- Evalueer de beveiliging van een tenant.
Voor sommige scenario's moet u inzicht krijgen in hoe uw beleid voor voorwaardelijke toegang is toegepast op een aanmeldingsgebeurtenis. Dit zijn enkele veel voorkomende voorbeelden:
Helpdeskbeheerders die het toegepaste beleid voor voorwaardelijke toegang moeten bekijken om te begrijpen of een beleid de hoofdoorzaak is van een ticket dat een gebruiker heeft geopend.
Tenantbeheerders die moeten controleren of het beleid voor voorwaardelijke toegang het beoogde effect heeft op de gebruikers van een tenant.
U hebt toegang tot de aanmeldingslogboeken via het Microsoft Entra-beheercentrum, de Azure-portal, Microsoft Graph en PowerShell.
Beleid voor voorwaardelijke toegang weergeven in aanmeldingslogboeken van Microsoft Entra
Tip
Stappen in dit artikel kunnen enigszins variƫren op basis van de portal waaruit u begint.
De activiteitsgegevens van aanmeldingslogboeken bevatten verschillende tabbladen. Op het tabblad Voorwaardelijke toegang worden de beleidsregels voor voorwaardelijke toegang vermeld die zijn toegepast op die aanmeldingsgebeurtenis.
- Meld u als globale lezer aan bij het Microsoft Entra-beheercentrum.
- Blader naar aanmeldingslogboeken voor identiteitsbewaking>en -status>.
- Selecteer een aanmeldingsitem in de tabel om het detailvenster voor aanmelding weer te geven.
- Selecteer het tabblad Voorwaardelijke toegang .
Als u het beleid voor voorwaardelijke toegang niet ziet, controleert u of u een rol gebruikt die toegang biedt tot zowel de aanmeldingslogboeken als het beleid voor voorwaardelijke toegang.