Inzichten en rapportage van voorwaardelijke toegang

  • Artikel

Met de werkmap inzichten en rapportage van voorwaardelijke toegang kunt u de impact van beleid voor voorwaardelijke toegang in uw organisatie in de loop van de tijd begrijpen. Tijdens het aanmelden kunnen een of meer beleidsregels voor voorwaardelijke toegang van toepassing zijn, waarbij toegang wordt verleend als aan bepaalde toegangscontroles wordt voldaan of toegang wordt geweigerd. Omdat er tijdens elke aanmelding meerdere beleidsregels voor voorwaardelijke toegang kunnen worden geëvalueerd, kunt u met de werkmap inzichten en rapportage de impact van een afzonderlijk beleid of een subset van alle beleidsregels bekijken.

Vereisten

Als u de werkmap inzichten en rapportage wilt inschakelen, moet uw tenant een Log Analytics-werkruimte hebben om een logboek met aanmeldinggegevens te bewaren. Gebruikers moeten beschikken over Azure AD Premium P1- of P2-licenties om voorwaardelijke toegang te kunnen gebruiken.

Aan gebruikers moeten ten minste de rol Beveiligingslezer zijn toegewezen en de rollen Inzender voor Log Analytics-werkruimte zijn toegewezen.

Logboeken met aanmeldingsgegevens streamen van Azure AD- naar Azure Monitor-logboeken

Als u Azure AD logboeken nog niet hebt geïntegreerd met Azure Monitor-logboeken, moet u de volgende stappen uitvoeren voordat de werkmap wordt geladen:

  1. Een Log Analytics-werkruimte maken in Azure Monitor.
  2. Azure AD-logboeken integreren met Azure Monitor-logboeken.

Uitleg

Ga als volgende te werk om toegang te krijgen tot de werkmap inzichten en rapportage:

  1. Meld u aan bij de Azure-portal.
  2. Blader naar Azure Active Directory>Beveiliging>Voorwaardelijke toegang>Inzichten en rapportage.

Aan de slag: Parameters selecteren

Met het dashboard inzichten en rapportage kunt u de impact van een of meer beleidsregels voor voorwaardelijke toegang gedurende een opgegeven periode bekijken. Begin met het instellen van alle parameters boven aan de werkmap.

Schermopname van de werkmap Inzichten en rapportage voor voorwaardelijke toegang.

Beleid voor voorwaardelijke toegang: selecteer een of meer beleidsregels voor voorwaardelijke toegang om hun gecombineerde impact te bekijken. Beleidsregels worden onderverdeeld in twee groepen: ingeschakeld en beleid voor alleen rapporten. Standaard zijn alle ingeschakelde beleidsregels geselecteerd. Deze ingeschakelde beleidsregels zijn het beleid dat momenteel wordt afgedwongen in uw tenant.

Tijdsbereik: selecteer een tijdsbereik van 4 uur tot 90 dagen. Als u een tijdsbereik selecteert dat verder terug ligt dan wanneer u de Azure AD-logboeken hebt geïntegreerd met Azure Monitor, worden alleen aanmeldingen na het tijdstip van integratie weergegeven.

Gebruiker: standaard toont het dashboard de impact van het geselecteerde beleid voor alle gebruikers. Als u wilt filteren op een afzonderlijke gebruiker, typt u de naam van de gebruiker in het tekstveld. Als u wilt filteren op alle gebruikers, typt u 'Alle gebruikers' in het tekstveld of laat u de parameter leeg.

App: standaard toont het dashboard de impact van het geselecteerde beleid voor alle apps. Als u wilt filteren op een afzonderlijke app, typt u de naam van de app in het tekstveld. Als u wilt filteren op alle apps, typt u 'Alle apps' in het tekstveld of laat u de parameter leeg.

Gegevensweergave: selecteer of u wilt dat het dashboard resultaten weergeeft als aantal gebruikers of aantal aanmeldingen. Een individuele gebruiker kan honderden aanmeldingen hebben voor veel apps met veel verschillende resultaten gedurende een bepaald tijdsbereik. Als u de gegevensweergave selecteert als gebruiker, kan een gebruiker worden opgenomen in zowel het aantal geslaagde als het aantal mislukte gebruikers. Als er bijvoorbeeld 10 gebruikers zijn, kunnen er 8 van hen de afgelopen 30 dagen een succes hebben gehad en 9 van hen het resultaat van een fout in de afgelopen 30 dagen.

Samenvatting van de impact

Zodra de parameters zijn ingesteld, wordt de samenvatting van de impact geladen. In de samenvatting ziet u hoeveel gebruikers of aanmeldingen tijdens het tijdsbereik hebben geresulteerd in 'Geslaagd', 'Mislukt', 'Actie van gebruiker vereist' of 'Niet toegepast' wanneer het geselecteerde beleid is geëvalueerd.

Schermopname van een voorbeeld van een impactsamenvatting in de werkmap Voorwaardelijke toegang.

Totaal: het aantal gebruikers of aanmeldingen tijdens de periode waarin ten minste één van de geselecteerde beleidsregels is geëvalueerd.

Geslaagd: het aantal gebruikers of aanmeldingen tijdens de periode waarin het gecombineerde resultaat van het geselecteerde beleid 'Geslaagd' of 'Alleen rapporteren: Geslaagd' was.

Mislukt: het aantal gebruikers of aanmeldingen tijdens de periode waarin het resultaat van ten minste één van de geselecteerde beleidsregels 'Mislukt' of 'Alleen rapporteren: Mislukt' is.

Actie van gebruiker vereist: het aantal gebruikers of aanmeldingen tijdens de periode waarin het gecombineerde resultaat van het geselecteerde beleid 'Alleen rapporteren: Actie van gebruiker vereist' was. Gebruikersactie is vereist wanneer een interactief toekenningsbeheer, zoals meervoudige verificatie, is vereist. Omdat interactieve toekenningsbesturingselementen niet worden afgedwongen door beleid voor alleen-rapporteren, kan het slagen of mislukken niet worden bepaald.

Niet toegepast: het aantal gebruikers of aanmeldingen tijdens de periode waarin ten minste één van de geselecteerde beleidsregels is geëvalueerd.

De impact begrijpen

Schermopname van een werkmap uitsplitsing per voorwaarde en status.

Bekijk de uitsplitsing van gebruikers of aanmeldingen voor elk van de voorwaarden. U kunt de aanmeldingen van een bepaald resultaat (bijvoorbeeld Geslaagd of Mislukt) filteren door boven aan de werkmap de samenvattingstegels te selecteren. U kunt de uitsplitsing van aanmeldingen voor elk van de voorwaarden voor voorwaardelijke toegang zien: apparaatstatus, apparaatplatform, client-app, locatie, toepassing en aanmeldingsrisico's.

Details van de aanmelding

Schermopname van de aanmeldingsgegevens van de werkmap.

U kunt de aanmeldingen van een specifieke gebruiker ook onderzoeken door te zoeken naar aanmeldingen onder aan het dashboard. De query geeft de meest voorkomende gebruikers weer. Als u een gebruiker selecteert, wordt de query gefilterd.

Notitie

Wanneer u de logboeken met aanmeldingsgegevens downloadt, kiest u de JSON-indeling om alleen resultaatgegevens voor voorwaardelijke toegang op te nemen.

Een beleid voor voorwaardelijke toegang in modus Alleen rapporteren configureren

Een beleid voor voorwaardelijke toegang in modus Alleen rapporteren configureren:

  1. Meld u aan bij de Azure Portal als beheerder voor voorwaardelijke toegang, beveiligingsbeheerder of globale beheerder.
  2. Blader naar Azure Active Directory>Beveiliging>Voorwaardelijke toegang.
  3. Selecteer een bestaand beleid of maak een nieuw beleid.
  4. Stel onder Beleid inschakelen de wisselknop in op de modus Alleen-rapporteren.
  5. Selecteer Opslaan

Tip

Als u de status Beleid Inschakelen van een bestaand beleid van Aan naar Alleen rapporteren bewerkt, wordt het afdwingen van bestaande beleidsregels uitgeschakeld.

Problemen oplossen

Waarom mislukken query's vanwege een machtigingsfout?

Voor toegang tot de werkmap hebt u de juiste machtigingen voor Azure AD en Machtigingen voor Log Analytics-werkruimten nodig. Als u wilt testen of u over de juiste werkruimtemachtigingen beschikt door een voorbeeldquery voor Log Analytics uit te voeren:

  1. Meld u aan bij de Azure-portal.
  2. Blader naar Azure Active Directory>Log Analytics.
  3. Typ SigninLogs in het queryvak en selecteer Uitvoeren.
  4. Als de query geen resultaten retourneert, is uw werkruimte mogelijk niet juist geconfigureerd.

Schermopname van het oplossen van problemen met mislukte query's.

Zie het artikel Azure AD logboeken integreren met Azure Monitor-logboeken voor meer informatie over het streamen van Azure AD-logboeken met aanmeldingsgegevens naar een Log Analytics-werkruimte.

Waarom mislukken de query's in de werkmap?

Klanten hebben gemerkt dat query's soms mislukken als de verkeerde of meerdere werkruimten aan de werkmap zijn gekoppeld. Als u dit probleem wilt oplossen, selecteert u Bewerken bovenaan de werkmap en vervolgens het tandwiel Instellingen. Selecteer en verwijder werkruimten die niet aan de werkmap zijn gekoppeld. Er mag slechts één werkruimte zijn gekoppeld aan elke werkmap.

Waarom is de parameter beleid voor voorwaardelijke toegang leeg?

De lijst met beleidsregels wordt gegenereerd door te kijken naar het beleid dat wordt geëvalueerd voor de meest recente gebeurtenis met aanmeldingsgegevens. Als er geen recente aanmeldingsgegevens in uw tenant zijn, moet u mogelijk een paar minuten wachten totdat de werkmap de lijst met beleidsregels voor voorwaardelijke toegang laadt. Lege resultaten kunnen direct optreden na het configureren van Log Analytics of als een tenant geen recente aanmeldingsactiviteit heeft.

Waarom duurt het lang voordat de werkmap is geladen?

Afhankelijk van het geselecteerde tijdsbereik en de grootte van uw tenant, kan de werkmap een buitengewoon groot aantal gebeurtenissen met aanmeldingsgegevens evalueren. Voor grote tenants kan het aantal aanmeldingsgegevens de querycapaciteit van Log Analytics overschrijden. Probeer het tijdsbereik tot 4 uur te verkorten om te zien of de werkmap wordt geladen.

Waarom retourneert de werkmap na het laden van een paar minuten nul resultaten?

Wanneer het aantal aanmeldingen de querycapaciteit van Log Analytics overschrijdt, retourneert de werkmap nul resultaten. Probeer het tijdsbereik tot 4 uur te verkorten om te zien of de werkmap wordt geladen.

Kan ik mijn parameterselecties opslaan?

U kunt uw parameterselecties boven aan het workbook opslaan door naar Inzichten en rapportage voor voorwaardelijke toegang van >Azure Active Directory>-werkmappen te gaan. Hier vindt u de werkmapsjabloon, waar u de werkmap kunt bewerken en een kopie kunt opslaan in uw werkruimte, inclusief de parameterselecties, in Mijn rapporten of Gedeelde rapporten.

Kan ik de werkmap bewerken en aanpassen met andere query's?

U kunt het workbook bewerken en aanpassen door naar Inzichten en rapportage voor voorwaardelijke toegang> van Azure Active Directory-werkmappen> te gaan. Hier vindt u de werkmapsjabloon, waar u de werkmap kunt bewerken en een kopie kunt opslaan in uw werkruimte, inclusief de parameterselecties, in Mijn rapporten of Gedeelde rapporten. Als u de query's wilt bewerken, selecteert u Bewerken bovenaan de werkmap.

Volgende stappen