Wyświetlanie zastosowanych zasad dostępu warunkowego w dziennikach logowania firmy Microsoft
Za pomocą zasad dostępu warunkowego możesz kontrolować, jak użytkownicy uzyskują dostęp do zasobów dzierżawy platformy Azure. Jako administrator dzierżawy musisz mieć możliwość określenia, jaki wpływ mają zasady dostępu warunkowego na logowania do dzierżawy, aby w razie potrzeby móc podjąć działania.
Dzienniki logowania w usłudze Microsoft Entra ID zawierają informacje potrzebne do oceny wpływu zasad. W tym artykule wyjaśniono, jak wyświetlić zastosowane zasady dostępu warunkowego w tych dziennikach.
Wymagania wstępne
Aby wyświetlić zastosowane zasady dostępu warunkowego w dziennikach logowania, administratorzy muszą mieć uprawnienia do wyświetlania dzienników i zasad. Najmniej uprzywilejowana wbudowana rola, która przyznaje oba uprawnienia, to Czytelnik zabezpieczeń. Najlepszym rozwiązaniem jest dodanie roli Czytelnik zabezpieczeń do powiązanych kont administratorów przez administratora globalnego Administracja istratora.
Następujące wbudowane role udzielają uprawnień do odczytu zasad dostępu warunkowego:
- Czytelnik zabezpieczeń
- Czytelnik globalny
- Administrator zabezpieczeń
- Administrator dostępu warunkowego
Następujące wbudowane role udzielają uprawnień do wyświetlania dzienników logowania:
- Czytelnik raportów
- Czytelnik zabezpieczeń
- Czytelnik globalny
- Administrator zabezpieczeń
Uprawnienia dla aplikacji klienckich
Jeśli używasz aplikacji klienckiej do ściągania dzienników logowania z programu Microsoft Graph, aplikacja musi mieć uprawnienia do odbierania appliedConditionalAccessPolicy zasobu z programu Microsoft Graph. Najlepszym rozwiązaniem jest przypisanie Policy.Read.ConditionalAccess , ponieważ jest to najmniej uprzywilejowane uprawnienie.
Każde z następujących uprawnień jest wystarczające, aby aplikacja kliencka uzyskiwała dostęp do zastosowanych zasad dostępu warunkowego w dziennikach logowania za pośrednictwem programu Microsoft Graph:
Policy.Read.ConditionalAccessPolicy.ReadWrite.ConditionalAccessPolicy.Read.All
Uprawnienia dla programu PowerShell
Podobnie jak każda inna aplikacja kliencka, moduł programu Microsoft Graph PowerShell wymaga uprawnień klienta w celu uzyskania dostępu do zastosowanych zasad dostępu warunkowego w dziennikach logowania. Aby pomyślnie ściągnąć zastosowane zasady dostępu warunkowego w dziennikach logowania, musisz wyrazić zgodę na niezbędne uprawnienia przy użyciu konta administratora programu Microsoft Graph PowerShell. Najlepszym rozwiązaniem jest wyrażenie zgody na:
Policy.Read.ConditionalAccessAuditLog.Read.AllDirectory.Read.All
Następujące uprawnienia to najmniej uprzywilejowane uprawnienia z wymaganym dostępem:
- Aby wyrazić zgodę na niezbędne uprawnienia:
Connect-MgGraph -Scopes Policy.Read.ConditionalAccess, AuditLog.Read.All, Directory.Read.All - Aby wyświetlić dzienniki logowania:
Get-MgAuditLogSignIn
Aby uzyskać więcej informacji na temat tego polecenia cmdlet, zobacz Get-MgAuditLogSignIn.
Scenariusze logowania i dostępu warunkowego
Jako administrator firmy Microsoft Entra możesz użyć dzienników logowania, aby:
- Rozwiązywanie problemów z logowaniem.
- Sprawdź wydajność funkcji.
- Ocena zabezpieczeń dzierżawy.
Niektóre scenariusze wymagają zrozumienia sposobu zastosowania zasad dostępu warunkowego do zdarzenia logowania. Do powszechnych przykładów należą:
Administratorzy pomocy technicznej, którzy muszą przyjrzeć się zastosowanym zasadom dostępu warunkowego, aby zrozumieć, czy zasady są główną przyczyną otwarcia biletu przez użytkownika.
Administratorzy dzierżawy, którzy muszą sprawdzić, czy zasady dostępu warunkowego mają zamierzony wpływ na użytkowników dzierżawy.
Dostęp do dzienników logowania można uzyskać przy użyciu centrum administracyjnego firmy Microsoft Entra, witryny Azure Portal, programu Microsoft Graph i programu PowerShell.
Wyświetlanie zasad dostępu warunkowego w dziennikach logowania firmy Microsoft
Napiwek
Kroki opisane w tym artykule mogą się nieznacznie różnić w zależności od portalu, od którego zaczynasz.
Szczegóły działania dzienników logowania zawierają kilka kart. Karta Dostęp warunkowy zawiera listę zasad dostępu warunkowego zastosowanych do tego zdarzenia logowania.
- Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako co najmniej czytelnik globalny.
- Przejdź do dzienników logowania do monitorowania tożsamości>i kondycji.>
- Wybierz element logowania z tabeli, aby wyświetlić okienko szczegółów logowania.
- Wybierz kartę Dostęp warunkowy.
Jeśli nie widzisz zasad dostępu warunkowego, upewnij się, że używasz roli, która zapewnia dostęp zarówno do dzienników logowania, jak i zasad dostępu warunkowego.