Uwaga
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Dostęp warunkowy pomaga organizacjom zachować bezpieczeństwo, stosując odpowiednie mechanizmy kontroli dostępu zabezpieczeń w odpowiednich okolicznościach. Zrozumienie wpływu tych zasad może być trudne, zwłaszcza w przypadku wdrażania nowych zasad. W tym artykule wyjaśniono, jak analizować wpływ zasad dostępu warunkowego przy użyciu trybu tylko do raportowania i innych narzędzi.
Istnieje kilka opcji dostępnych dla administratorów w oparciu o tryb tylko raportowania. Tryb raportowania jest ustawieniem polityki pozwalającym administratorom na testowanie większości polityk dostępu warunkowego przed ich włączeniem.
- Zasady dostępu warunkowego można oceniać w trybie tylko raportu, z wyjątkiem elementów zawartych w zakresie "Akcje użytkownika".
- Podczas logowania zasady w trybie raportowania są analizowane, ale nie są egzekwowane.
- Wyniki są rejestrowane na kartach dostępu warunkowego oraz tylko raport w szczegółach dziennika logowania.
- Klienci z subskrypcją usługi Azure Monitor mogą monitorować wpływ zasad dostępu warunkowego przy użyciu skoroszytu szczegółowych informacji o dostępie warunkowym.
Ostrzeżenie
Zasady w trybie wyłącznie raportowania, które wymagają zgodnego urządzenia, mogą prosić użytkowników na urządzeniach z systemem macOS, iOS i Android o wybranie certyfikatu urządzenia podczas oceny zasad, mimo że zgodność urządzenia nie jest wymagana. Te komunikaty mogą powtarzać się, dopóki urządzenie nie będzie zgodne. Aby uniemożliwić użytkownikom końcowym otrzymywanie monitów podczas logowania, wyklucz platformy urządzeń Mac, iOS i Android z zasad tylko raportowych, które wykonują sprawdzanie zgodności urządzeń.
Wyniki oceny polityki
Po ocenie zasad dla danego logowania istnieje kilka możliwych wyników:
| Wynik | Opis |
|---|---|
| Tylko raport: sukces | Wszystkie skonfigurowane warunki zasad, wymagane nieinterakcyjne mechanizmy kontroli udzielania i mechanizmy kontroli sesji zostały spełnione. Na przykład wymaganie uwierzytelniania wieloskładnikowego jest spełnione przez twierdzenie uwierzytelniania wieloskładnikowego już obecne w tokenie, a zgodność z zasadami urządzeń jest zapewniona poprzez przeprowadzenie sprawdzenia zgodności urządzenia. |
| Tylko raport: niepowodzenie | Wszystkie skonfigurowane warunki polityki zostały spełnione, ale nie wszystkie wymagane nieinterakcyjne mechanizmy przyznawania lub mechanizmy kontroli sesji zostały spełnione. Na przykład zasady dotyczą użytkownika, na którego nałożono kontrolę blokowania, lub urządzenie nie spełnia zgodnych zasad urządzenia. |
| Tylko raport: wymagana akcja użytkownika | Wszystkie skonfigurowane warunki zasad zostały spełnione, ale wymagana będzie interwencja użytkownika w celu spełnienia wymaganych kontrolek udzielania dostępu lub kontrolek sesji. W trybie raportowania użytkownik nie jest zachęcany do spełnienia wymaganych kontroli. Na przykład użytkownicy nie są proszeni o wyzwania związane z uwierzytelnianiem wieloskładnikowym lub warunki użytkowania. |
| Tylko raport: nie zastosowano | Nie wszystkie skonfigurowane warunki zasad zostały spełnione. Na przykład użytkownik jest wykluczony z zasad lub zasady dotyczą tylko niektórych zaufanych nazwanych lokalizacji. |
| Sukces | Zdarzenia logowania, w których zastosowano zasady, spełniono wymagania i zasady pozwalały na kontynuację logowania. Logowanie może być nadal blokowane przez inne zasady. |
| Niepowodzenie | Zdarzenia logowania, w których zastosowano zasady, wymagania nie zostały spełnione, a zasady mogłyby zablokować logowanie. Może to być zamierzone, na przykład kiedy logowania z określonej lokalizacji są zablokowane, lub przypadkowe, gdy zasady są błędnie skonfigurowane. |
| Nie zastosowano | Zdarzenia logowania, w których polityka nie została zastosowana, na przykład użytkownik został wykluczony. |
Przeglądanie wyników
Administratorzy mogą użyć kilku opcji, aby przejrzeć potencjalne wyniki zasad w swoim środowisku:
- Zeszyty ćwiczeń
- Dzienniki logowania
- Wpływ zasad (wersja zapoznawcza)
Wpływ polityki
Widok wpływu zasad na dostęp warunkowy umożliwia administratorom z co najmniej rolą Czytelnik zabezpieczeń wyświetlenie migawki informacji o potencjalnym lub istniejącym wpływie zasad na logowanie interakcyjne w organizacji. Ta funkcja umożliwia eksplorowanie wpływu w ciągu ostatnich 24 godzin, 7 dni lub 1 miesiąca. Ponadto możesz zobaczyć przykłady wydarzeń logowania i skorzystać z linku do nich, aby uzyskać więcej szczegółów.
Zeszyty ćwiczeń
Administratorzy mogą tworzyć wiele zasad w trybie tylko do raportowania, dlatego należy zrozumieć zarówno indywidualny wpływ poszczególnych zasad, jak i łączny wpływ wielu zasad ocenianych razem. Skoroszyt Wgląd w dostęp warunkowy i raportowanie pozwala administratorom wizualizować zasady dostępu warunkowego, wykonywać zapytania oraz monitorować wpływ tych zasad w określonym przedziale czasowym, dla zestawu aplikacji i użytkowników. Administratorzy mogą dostosowywać skoroszyty zgodnie z ich konkretnymi potrzebami.
Dzienniki logowania
W celu dokładniejszej oceny zasad dostępu warunkowego i ich aplikacji podczas określonego logowania administratorzy mogą badać poszczególne zdarzenia logowania. Każde z tych zdarzeń zawiera szczegółowe informacje o tym, jakie zasady dostępu warunkowego zostały włączone, a które były tylko w trybie raportowania, i czy zostały zastosowane, czy nie.
Korzystanie z tych opcji
Gdy administratorzy ocenią ustawienia zasad przy użyciu trybu wpływu zasad lub trybu tylko raportowania, mogą ustawić przełącznik Włącz zasady z pozycji Tylko raport do Włączone.
Powiązana zawartość
- Konfigurowanie trybu wyłącznie raportowania zasad dostępu warunkowego