Szczegółowe informacje i raportowanie dostępu warunkowego

Skoroszyt szczegółowych informacji o dostępie warunkowym i raportowania umożliwia zrozumienie wpływu zasad dostępu warunkowego w organizacji w czasie. Podczas logowania można zastosować co najmniej jedną zasady dostępu warunkowego, udzielając dostępu, jeśli niektóre mechanizmy kontroli udzielania są spełnione lub nie zezwalają na dostęp. Ponieważ podczas każdego logowania można ocenić wiele zasad dostępu warunkowego, skoroszyt szczegółowych informacji i raportowania umożliwia zbadanie wpływu poszczególnych zasad lub podzestawu wszystkich zasad.

Wymagania wstępne

Aby włączyć skoroszyt szczegółowych informacji i raportowania, dzierżawa musi mieć obszar roboczy usługi Log Analytics, aby zachować dane dzienników logowania. Aby korzystać z dostępu warunkowego, użytkownicy muszą mieć licencje Azure AD — wersja Premium P1 lub P2.

Następujące role mogą uzyskiwać dostęp do szczegółowych informacji i raportowania:

  • Administrator dostępu warunkowego
  • Czytelnik zabezpieczeń
  • Administrator zabezpieczeń
  • Czytelnik globalny
  • Administrator globalny

Użytkownicy potrzebują również jednej z następujących ról obszaru roboczego usługi Log Analytics:

  • Współautor
  • Właściciel

Przesyłanie strumieniowe dzienników logowania z Azure AD do dzienników usługi Azure Monitor

Jeśli dzienniki Azure AD nie zostały zintegrowane z dziennikami usługi Azure Monitor, przed załadowaniem skoroszytu należy wykonać następujące czynności:

  1. Tworzenie obszaru roboczego usługi Log Analytics w usłudze Azure Monitor.
  2. Integrowanie dzienników Azure AD z dziennikami usługi Azure Monitor.

Jak to działa

Aby uzyskać dostęp do skoroszytu szczegółowych informacji i raportowania:

  1. Zaloguj się w witrynie Azure Portal.
  2. Przejdź do obszaruSzczegółowe informacje i raportowaniedostępu warunkowego zabezpieczeń>>usługi Azure Active Directory>.

Wprowadzenie: wybieranie parametrów

Pulpit nawigacyjny szczegółowych informacji i raportowania pozwala zobaczyć wpływ co najmniej jednej zasady dostępu warunkowego w określonym przedziale czasu. Zacznij od ustawienia każdego z parametrów w górnej części skoroszytu.

Pulpit nawigacyjny szczegółowych informacji o dostępie warunkowym i raportowaniu w Azure Portal

Zasady dostępu warunkowego: wybierz co najmniej jedną zasadę dostępu warunkowego, aby wyświetlić ich łączny wpływ. Zasady są rozdzielane na dwie grupy: włączone i zasady tylko do raportów. Domyślnie są zaznaczone wszystkie włączone zasady. Te włączone zasady są obecnie wymuszane w dzierżawie.

Zakres czasu: wybierz zakres czasu od 4 godzin do 90 dni. Jeśli wybierzesz zakres czasu z powrotem niż w przypadku zintegrowania dzienników Azure AD z usługą Azure Monitor, zostaną wyświetlone tylko logowania po zakończeniu integracji.

Użytkownik: domyślnie pulpit nawigacyjny pokazuje wpływ wybranych zasad dla wszystkich użytkowników. Aby filtrować według pojedynczego użytkownika, wpisz nazwę użytkownika w polu tekstowym. Aby filtrować według wszystkich użytkowników, wpisz "Wszyscy użytkownicy" w polu tekstowym lub pozostaw pusty parametr.

Aplikacja: domyślnie pulpit nawigacyjny pokazuje wpływ wybranych zasad dla wszystkich aplikacji. Aby filtrować według poszczególnych aplikacji, wpisz nazwę aplikacji w polu tekstowym. Aby filtrować według wszystkich aplikacji, wpisz "Wszystkie aplikacje" w polu tekstowym lub pozostaw pusty parametr.

Widok danych: wybierz, czy pulpit nawigacyjny ma wyświetlać wyniki pod względem liczby użytkowników lub liczby logów. Pojedynczy użytkownik może mieć setki logów do wielu aplikacji z wieloma różnymi wynikami w danym przedziale czasu. Jeśli wybierzesz widok danych, który ma być użytkownikiem, może zostać uwzględniony zarówno w liczbie sukcesów, jak i niepowodzeń (na przykład jeśli istnieje 10 użytkowników, 8 z nich mogło mieć wynik sukcesu w ciągu ostatnich 30 dni, a 9 z nich mogło mieć wynik niepowodzenia w ciągu ostatnich 30 dni).

Podsumowanie wpływu

Po ustawieniu parametrów podsumowanie wpływu zostanie załadowane. W podsumowaniu pokazano, ile użytkowników lub logów w przedziale czasu spowodowało "Powodzenie", "Niepowodzenie", "Wymagana akcja użytkownika" lub "Nie zastosowano", gdy wybrane zasady zostały ocenione.

Podsumowanie wpływu w skoroszycie dostępu warunkowego

Suma: liczba użytkowników lub logów w okresie, w którym oceniano co najmniej jedną z wybranych zasad.

Powodzenie: liczba użytkowników lub logowań w okresie, w którym łączny wynik wybranych zasad to "Powodzenie" lub "Tylko raport: powodzenie".

Niepowodzenie: liczba użytkowników lub logowań w okresie, w którym wynik co najmniej jednej z wybranych zasad to "Niepowodzenie" lub "Tylko raport: niepowodzenie".

Wymagana akcja użytkownika: liczba użytkowników lub logowań w okresie, w którym łączny wynik wybranych zasad to "Tylko raport: wymagana akcja użytkownika". Akcja użytkownika jest wymagana, gdy interaktywna kontrola udzielania, taka jak uwierzytelnianie wieloskładnikowe, jest wymagana przez zasady dostępu warunkowego tylko do raportu. Ponieważ interakcyjne mechanizmy kontroli udzielania nie są wymuszane przez zasady tylko do raportowania, nie można określić powodzenia ani niepowodzenia.

Nie zastosowano: liczba użytkowników lub logowania w okresie, w którym żadna z wybranych zasad nie została zastosowana.

Zrozumienie wpływu

Podział skoroszytu na warunek i stan

Wyświetl podział użytkowników lub logowań dla każdego z warunków. Możesz filtrować logowania określonego wyniku (na przykład Powodzenie lub Niepowodzenie), wybierając kafelki podsumowania w górnej części skoroszytu. Możesz zobaczyć podział logowań dla każdego z warunków dostępu warunkowego: stan urządzenia, platforma urządzenia, aplikacja kliencka, lokalizacja, aplikacja, aplikacja i ryzyko logowania.

Szczegóły logowania

Szczegóły logowania do skoroszytu

Możesz również zbadać logowania określonego użytkownika, wyszukując logowania w dolnej części pulpitu nawigacyjnego. Zapytanie po lewej stronie wyświetla najczęściej występujących użytkowników. Wybranie użytkownika spowoduje odfiltrowanie zapytania po prawej stronie.

Uwaga

Podczas pobierania dzienników logowania wybierz format JSON, aby uwzględnić dane wynikowe tylko do dostępu warunkowego.

Konfigurowanie zasad dostępu warunkowego w trybie tylko do raportu

Aby skonfigurować zasady dostępu warunkowego w trybie tylko do raportu:

  1. Zaloguj się do Azure Portal jako administrator dostępu warunkowego, administrator zabezpieczeń lub administrator globalny.
  2. Przejdź doobszaru Dostęp warunkowyzabezpieczeń>usługi Azure Active Directory>.
  3. Wybierz istniejące zasady lub utwórz nowe zasady.
  4. W obszarze Włącz zasady ustaw przełącznik w trybie tylko do raportu .
  5. Wybierz pozycję Zapisz

Porada

Edytowanie stanu Włącz zasady istniejących zasad z Włączone na Raport powoduje wyłączenie istniejących wymuszania zasad.

Rozwiązywanie problemów

Dlaczego zapytania kończą się niepowodzeniem z powodu błędu uprawnień?

Aby uzyskać dostęp do skoroszytu, potrzebne są odpowiednie uprawnienia Azure AD oraz uprawnienia obszaru roboczego usługi Log Analytics. Aby sprawdzić, czy masz odpowiednie uprawnienia obszaru roboczego, uruchamiając przykładowe zapytanie analizy dzienników:

  1. Zaloguj się w witrynie Azure Portal.
  2. Przejdź do usługi Azure Active Directory>Log Analytics.
  3. Wpisz SigninLogs w polu zapytania i wybierz pozycję Uruchom.
  4. Jeśli zapytanie nie zwraca żadnych wyników, być może obszar roboczy nie został poprawnie skonfigurowany.

Rozwiązywanie problemów z błędami zapytań

Aby uzyskać więcej informacji na temat przesyłania strumieniowego dzienników logowania Azure AD do obszaru roboczego usługi Log Analytics, zobacz artykuł Integrowanie dzienników Azure AD z dziennikami usługi Azure Monitor.

Dlaczego zapytania w skoroszycie kończą się niepowodzeniem?

Klienci zauważyli, że zapytania czasami kończą się niepowodzeniem, jeśli z skoroszytem jest skojarzonych niewłaściwy lub wiele obszarów roboczych. Aby rozwiązać ten problem, kliknij pozycję Edytuj w górnej części skoroszytu, a następnie koło zębate Ustawienia. Wybierz i usuń obszary robocze, które nie są skojarzone ze skoroszytem. Z każdym skoroszytem powinien być skojarzony tylko jeden obszar roboczy.

Dlaczego parametr zasad dostępu warunkowego jest pusty?

Lista zasad jest generowana przez przyjrzenie się zasadom ocenianym dla ostatniego zdarzenia logowania. Jeśli w dzierżawie nie ma ostatnich logów, może być konieczne odczekanie kilku minut, aż skoroszyt załaduje listę zasad dostępu warunkowego. Może się to zdarzyć natychmiast po skonfigurowaniu usługi Log Analytics lub może potrwać dłużej, jeśli dzierżawa nie ma ostatnich działań logowania.

Dlaczego ładowanie skoroszytu trwa długo?

W zależności od wybranego zakresu czasu i rozmiaru dzierżawy skoroszyt może oceniać niezwykle dużą liczbę zdarzeń logowania. W przypadku dużych dzierżaw liczba logów może przekroczyć pojemność zapytań usługi Log Analytics. Spróbuj skrócić zakres czasu do 4 godzin, aby sprawdzić, czy skoroszyt zostanie załadowany.

Dlaczego po załadowaniu przez kilka minut skoroszyt zwraca zero wyników?

Gdy liczba logów przekroczy pojemność zapytań usługi Log Analytics, skoroszyt zwróci zero wyników. Spróbuj skrócić zakres czasu do 4 godzin, aby sprawdzić, czy skoroszyt zostanie załadowany.

Czy mogę zapisać wybrane parametry?

Możesz zapisać wybrane parametry w górnej części skoroszytu, przechodząc do obszaru Azure Active Directory>Skoroszyty>dostępu warunkowego i raportowania. W tym miejscu znajdziesz szablon skoroszytu, w którym można edytować skoroszyt i zapisać kopię w obszarze roboczym, w tym w obszarze Moje raporty lub Udostępnione raporty.

Czy mogę edytować i dostosowywać skoroszyt przy użyciu dodatkowych zapytań?

Skoroszyt można edytować i dostosowywać, przechodząc do obszaru Azure Active Directory>Skoroszytydostępu warunkowego i raportowania>. W tym miejscu znajdziesz szablon skoroszytu, w którym można edytować skoroszyt i zapisać kopię w obszarze roboczym, w tym w obszarze Moje raporty lub Udostępnione raporty. Aby rozpocząć edytowanie zapytań, kliknij pozycję Edytuj w górnej części skoroszytu.

Następne kroki