Udostępnij za pośrednictwem

Szczegółowe informacje i raportowanie dostępu warunkowego

Skoroszyt informacji o dostępie warunkowym i raportowaniu umożliwia zrozumienie wpływu zasad dostępu warunkowego w organizacji z upływem czasu. Podczas logowania można zastosować co najmniej jedną zasady dostępu warunkowego, udzielając dostępu, jeśli niektóre mechanizmy kontroli udzielania są spełnione lub nie zezwalają na dostęp. Ponieważ podczas każdego logowania można ocenić wiele zasad dostępu warunkowego, skoroszyt szczegółowych informacji i raportowania umożliwia sprawdzenie wpływu poszczególnych zasad lub podzestawu wszystkich zasad.

Wymagania wstępne

Aby włączyć skoroszyt szczegółowych informacji i raportowania, konto dzierżawy musi mieć następujące elementy:

  • Obszar roboczy usługi Log Analytics do przechowywania danych dzienników logowania.
  • Licencje Microsoft Entra ID P1 do korzystania z Dostępu Warunkowego.

Użytkownicy muszą mieć przypisaną co najmniej rolę Czytelnika zabezpieczeń oraz rolę Współautora obszaru roboczego Log Analytics.

Przesyłaj dzienniki logowania z Microsoft Entra ID do dzienników usługi Azure Monitor

Jeśli dzienniki usługi Microsoft Entra nie zostały zintegrowane z dziennikami usługi Azure Monitor, przed załadowaniem skoroszytu należy wykonać następujące czynności:

  1. Utwórz obszar roboczy usługi Log Analytics w usłudze Azure Monitor.
  2. Integrowanie dzienników firmy Microsoft Entra z dziennikami usługi Azure Monitor.

Jak to działa

Aby uzyskać dostęp do szczegółowych informacji i skoroszytu raportowania:

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako czytelnik zabezpieczeń.
  2. Przejdź do Entra ID>Warunkowy dostęp>Zrozumienie i raportowanie.

Wprowadzenie: wybieranie parametrów

Panel analizy i raportowania pozwala zobaczyć wpływ jednej lub więcej zasad dostępu warunkowego w określonym okresie. Zacznij od ustawienia każdego z parametrów w górnej części skoroszytu.

Zrzut ekranu przedstawiający szczegółowe informacje o dostępie warunkowym i skoroszyt raportowania.

Zasady dostępu warunkowego: aby wyświetlić ich łączny wpływ, wybierz co najmniej jedną zasadę dostępu warunkowego. Zasady są rozdzielone na dwie grupy: włączone i tylko do odczytu. Domyślnie są zaznaczone wszystkie włączone zasady. Te zasady są obecnie wymuszane w dzierżawie.

Zakres czasu: wybierz zakres czasu od 4 godzin do nawet 90 dni. Jeśli wybierzesz zakres czasu później niż w przypadku zintegrowania dzienników firmy Microsoft Entra z usługą Azure Monitor, pojawią się tylko logowania po zakończeniu integracji.

Użytkownik: domyślnie pulpit nawigacyjny pokazuje wpływ wybranych zasad dla wszystkich użytkowników. Aby filtrować według pojedynczego użytkownika, wpisz nazwę użytkownika w polu tekstowym. Aby filtrować według wszystkich użytkowników, wpisz Wartość Wszyscy użytkownicy w polu tekstowym lub pozostaw pusty parametr.

Aplikacja: domyślnie pulpit nawigacyjny pokazuje wpływ wybranych zasad dla wszystkich aplikacji. Aby filtrować według poszczególnych aplikacji, wpisz nazwę aplikacji w polu tekstowym. Aby filtrować według wszystkich aplikacji, wpisz Wszystkie aplikacje w polu tekstowym lub pozostaw pusty parametr.

Widok danych: wybierz, czy pulpit nawigacyjny ma wyświetlać wyniki pod względem liczby użytkowników lub liczby logów. Pojedynczy użytkownik może mieć setki logów do wielu aplikacji z wieloma różnymi wynikami w danym zakresie czasu. Jeśli wybierzesz widok danych na użytkowników, użytkownik może być uwzględniony zarówno w liczbie sukcesów, jak i niepowodzeń. Na przykład, jeśli jest 10 użytkowników, 8 z nich mogło osiągnąć sukces w ciągu ostatnich 30 dni, a 9 z nich mogło napotkać porażkę w ciągu ostatnich 30 dni.

Podsumowanie wpływu

Po ustawieniu parametrów zostanie załadowane podsumowanie Wpływu . W podsumowaniu pokazano, ilu użytkowników lub logowań w przedziale czasu spowodowało powodzenie, niepowodzenie, wymagana akcja użytkownika lub niezastosowanie po ocenie wybranych zasad.

Zrzut ekranu przedstawiający przykładowe podsumowanie wpływu w skoroszycie dostępu warunkowego.

Suma: liczba użytkowników lub logów w okresie, w którym oceniano co najmniej jedną z wybranych zasad.

Powodzenie: liczba użytkowników lub logowań w okresie, w którym łączny wynik wybranych zasad to Powodzenie lub Tylko raport: Powodzenie.

Niepowodzenie: liczba użytkowników lub logowań w okresie, w którym wynik co najmniej jednej z wybranych zasad to Niepowodzenie lub Tylko raport: Niepowodzenie.

Wymagana akcja użytkownika: liczba użytkowników lub logowań w okresie, w którym łączny wynik wybranych zasad to Tylko raport: wymagana akcja użytkownika. Akcja użytkownika jest wymagana, gdy wymagana jest interaktywna kontrola udzielania, taka jak uwierzytelnianie wieloskładnikowe. Ponieważ interaktywne mechanizmy kontroli przydzielania nie są wymuszane przez zasady wyłącznie do celów raportowania, nie można określić, czy zakończyły się sukcesem, czy niepowodzeniem.

Nie zastosowano: liczba użytkowników lub logów w okresie, w którym żadna z wybranych zasad nie została zastosowana.

Zrozumienie wpływu

Zrzut ekranu przedstawiający podział skoroszytu według warunku i stanu.

Wyświetl podział użytkowników lub logowań dla każdego z warunków. Możesz filtrować logowania dla określonego wyniku (na przykład sukces lub niepowodzenie), wybierając jeden z kafelków podsumowania na górze skoroszytu. Możesz zobaczyć podział logowań dla każdego z warunków dostępu warunkowego: stan urządzenia, platforma urządzenia, aplikacja kliencka, lokalizacja, aplikacja, aplikacja i ryzyko logowania.

Szczegóły logowania

Zrzut ekranu przedstawiający szczegóły logowania do skoroszytu.

Możesz również zbadać logowania określonego użytkownika, wyszukując logowania w dolnej części pulpitu nawigacyjnego. Zapytanie wyświetla najczęściej spotykanych użytkowników. Wybranie użytkownika filtruje zapytanie.

Uwaga

Podczas pobierania dzienników logowania wybierz format JSON, aby uwzględnić dane wynikowe tylko dla dostępu warunkowego.

Zwiększanie wydajności skoroszytu

Standardowy skoroszyt szczegółowych informacji o dostępie warunkowym i raportów może przechwytywać dużą ilość danych przy użyciu ustawień domyślnych. Ilość przechwyconych danych może mieć wpływ na wydajność skoroszytu, więc ładowanie niektórych zapytań może potrwać dłużej, a nawet może dojść do przekroczenia limitu czasu ładowania. Aby poprawić wydajność, możesz utworzyć transformację za pomocą Azure Monitor.

Przed kontynuowaniem tego opcjonalnego kroku zapoznaj się z artykułem Przekształcanie w usłudze Azure Monitor , aby zapoznać się z ogólnym omówieniem i zagadnieniami dotyczącymi kosztów.

Aby zidentyfikować wyniki do zachowania lub wykluczenia z przekształcenia, użyj następującego zapytania Kusto w usłudze Log Analytics:

SignInLogs
| extend CAPResult_CF = extract_all(@"(\{[^{}]*""result"":""(success|failure)""[^{}]*\})", tostring(ConditionalAccessPolicies))
| project-away ConditionalAccessPolicies

Zapytanie analizuje konkretnie zasady dostępu warunkowego, które powodują powodzenie lub niepowodzenie. Inne wartości, które można uwzględnić w zapytaniu, to notApplied: , reportOnlySuccess, reportOnlyFailurereportOnlyNotApplied, i notEnabled.

Aby utworzyć regułę zbierania danych (DCR) dla dzienników logowania:

  1. Zaloguj się do witryny Azure Portal jako co najmniej współautor monitorowania.
  2. Przejdź do obszarów roboczych usługi Log Analytics i wybierz swój obszar roboczy.
  3. Przejdź dopozycji Tabele ustawień>>, wybierz pozycję SignInLogs.
  4. Otwórz menu po prawej stronie i wybierz pozycję Utwórz przekształcenie.
  5. Postępuj zgodnie z monitami, aby utworzyć przekształcenie, wybierając pozycję Edytor przekształceń , aby zmienić dowolne szczegóły zawarte w transformacji.

Po pomyślnym utworzeniu i wdrożeniu przekształcenia szczegółowe informacje o dostępie warunkowym i skoroszycie raportowania powinny być ładowane szybciej. Przekształcenie dotyczy tylko nowych dzienników logowania wprowadzonych po utworzeniu przekształcenia. Inne skoroszyty, które również ściągają dane z tej tabeli, są wpływane przez przekształcenie.

Pamiętaj, że w przypadku wykluczenia pewnych wyników polityk z przekształcenia, nie zobaczysz żadnych z tych wyników w arkuszu po uruchomieniu przekształcenia.

Konfigurowanie zasad dostępu warunkowego w trybie wyłącznie raportowym

Aby skonfigurować zasady dostępu warunkowego w trybie tylko raportowania:

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako co najmniej administrator dostępu warunkowego.
  2. Przejdź do Entra ID>dostępu warunkowego>zasad.
  3. Wybierz istniejące zasady lub utwórz nowe zasady.
  4. W obszarze Włącz zasady ustaw przełącznik w tryb tylko raportowania.
  5. Wybierz Zapisz

Napiwek

Edytowanie stanu Włączenia zasad istniejących zasad z Włączone na Tylko raportowanie powoduje wyłączenie istniejącego wymuszania zasad.

Rozwiązywanie problemów

Dlaczego zapytania kończą się niepowodzeniem z powodu błędu uprawnień?

Aby uzyskać dostęp do skoroszytu, potrzebne są odpowiednie uprawnienia w usłudze Microsoft Entra ID i Log Analytics. Aby sprawdzić, czy masz odpowiednie uprawnienia obszaru roboczego, uruchamiając przykładowe zapytanie usługi Log Analytics:

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako czytelnik zabezpieczeń.
  2. Przejdź do obszaru Monitorowanie identyfikatorów>entra i analiza dzienników kondycji>.
  3. Wpisz SigninLogs w polu zapytania i wybierz pozycję Uruchom.
  4. Jeśli zapytanie nie zwraca żadnych wyników, obszar roboczy może nie zostać poprawnie skonfigurowany.

Zrzut ekranu przedstawiający sposób rozwiązywania problemów z niepowodzeniem zapytań.

Aby uzyskać więcej informacji na temat przesyłania strumieniowego dzienników logowania w usłudze Microsoft Entra do obszaru roboczego usługi Log Analytics, zobacz artykuł Integrowanie dzienników firmy Microsoft Entra z dziennikami usługi Azure Monitor.

Dlaczego zapytania w skoroszycie kończą się niepowodzeniem?

Klienci zauważają, że zapytania czasami kończą się niepowodzeniem, jeśli ze skoroszytem są skojarzone nieprawidłowe lub zbyt wiele przestrzeni roboczych. Aby rozwiązać ten problem, wybierz pozycję Edytuj w górnej części skoroszytu, a następnie ikonę koła zębatego Ustawienia. Wybierz i usuń obszary robocze, które nie są skojarzone ze skoroszytem. Z każdym skoroszytem powinien być skojarzony tylko jeden obszar roboczy.

Dlaczego parametr zasad dostępu warunkowego jest pusty?

Lista zasad jest generowana przez przyjrzenie się zasadom ocenianym pod kątem ostatniego zdarzenia logowania. Jeśli w dzierżawie nie ma niedawnych logowań, może być konieczne odczekanie kilku minut, aż skoroszyt załaduje listę zasad dostępu warunkowego. Puste wyniki mogą wystąpić natychmiast po skonfigurowaniu usługi Log Analytics lub jeśli dzierżawa nie ma niedawnej aktywności logowania.

Dlaczego ładowanie skoroszytu trwa długo lub nie zwraca wyników?

W zależności od wybranego zakresu czasu i rozmiaru Twojej dzierżawy, skoroszyt może oceniać niezwykle dużą liczbę zdarzeń logowania użytkowników. W przypadku dużych dzierżawców liczba logowań może przekroczyć pojemność zapytań w usłudze Log Analytics. Spróbuj skrócić zakres czasu do 4 godzin, a następnie sprawdź, czy skoroszyt zostanie załadowany. Zapoznaj się z sekcją Zwiększanie wydajności skoroszytu , aby uzyskać więcej informacji na temat zwiększania wydajności.

Czy mogę zapisać wybrane parametry lub dostosować skoroszyt?

Możesz zapisać wybrane parametry i dostosować skoroszyt w górnej części skoroszytu. Przejdź do Entra ID>Monitorowanie i kondycja>Skoroszyty>Wglądy i raportowanie dostępu warunkowego. W tym miejscu znajdziesz szablon skoroszytu, w którym można edytować skoroszyt i zapisać kopię w obszarze roboczym, w tym wybór parametrów, w obszarze Moje raporty lub Raporty udostępnione. Aby rozpocząć edytowanie zapytań, wybierz pozycję Edytuj w górnej części skoroszytu.

Powiązana zawartość