Exibir políticas de Acesso Condicional aplicadas nos logs de entrada do Microsoft Entra
Com as políticas de Acesso Condicional, você pode controlar como seus usuários obtêm acesso aos recursos do locatário do Azure. Como administrador de locatário, você precisa ser capaz de determinar o efeito que suas políticas de Acesso Condicional têm sobre as entradas em seu locatário, para que possa tomar medidas, se necessário.
Os logs de entrada no Microsoft Entra ID fornecem as informações necessárias para avaliar o efeito de suas políticas. Este artigo explica como exibir as políticas de Acesso Condicional aplicadas nesses logs.
Pré-requisitos
Para ver as políticas de Acesso Condicional aplicadas nos logs de entrada, os administradores devem ter permissões para exibir os logs e as políticas. A função interna menos privilegiada que concede ambas as permissões é o Leitor de Segurança. Como prática recomendada, o Administrador Global deve adicionar a função de Leitor de Segurança às contas de administrador relacionadas.
As seguintes funções internas concedem permissões para ler políticas de Acesso Condicional:
- Leitor de Segurança
- Leitor Global
- Administrador de Segurança
- Administrador de Acesso Condicional
As seguintes funções internas concedem permissão para exibir logs de entrada:
- Leitor de Relatórios
- Leitor de Segurança
- Leitor Global
- Administrador de Segurança
Permissões para aplicativos cliente
Se você usar um aplicativo cliente para extrair logs de entrada do Microsoft Graph, seu aplicativo precisará de permissões para receber o appliedConditionalAccessPolicy recurso do Microsoft Graph. Como prática recomendada, atribua Policy.Read.ConditionalAccess porque é a permissão menos privilegiada.
Qualquer uma das seguintes permissões é suficiente para que um aplicativo cliente acesse as políticas de Acesso Condicional aplicadas em logs de entrada por meio do Microsoft Graph:
Policy.Read.ConditionalAccessPolicy.ReadWrite.ConditionalAccessPolicy.Read.All
Permissões para o PowerShell
Como qualquer outro aplicativo cliente, o módulo Microsoft Graph PowerShell precisa de permissões de cliente para acessar as políticas de Acesso Condicional aplicadas nos logs de entrada. Para obter com êxito as políticas de Acesso Condicional aplicadas nos logs de entrada, você deve consentir com as permissões necessárias com sua conta de administrador para o Microsoft Graph PowerShell. Como prática recomendada, consentimento para:
Policy.Read.ConditionalAccessAuditLog.Read.AllDirectory.Read.All
As seguintes permissões são as permissões menos privilegiadas com o acesso necessário:
- Para consentir com as permissões necessárias:
Connect-MgGraph -Scopes Policy.Read.ConditionalAccess, AuditLog.Read.All, Directory.Read.All - Para visualizar os logs de entrada:
Get-MgAuditLogSignIn
Para obter mais informações sobre esse cmdlet, consulte Get-MgAuditLogSignIn.
Acesso condicional e cenários de log de entrada
Como administrador do Microsoft Entra, você pode usar os logs de entrada para:
- Resolução de problemas de início de sessão.
- Verifique o desempenho do recurso.
- Avalie a segurança de um inquilino.
Alguns cenários exigem que você entenda como suas políticas de Acesso Condicional foram aplicadas a um evento de entrada. Exemplos comuns incluem:
Administradores de helpdesk que precisam examinar as políticas de Acesso Condicional aplicadas para entender se uma política é a causa raiz de um tíquete aberto por um usuário.
Administradores de locatários que precisam verificar se as políticas de Acesso Condicional têm o efeito pretendido nos usuários de um locatário.
Você pode acessar os logs de entrada usando o centro de administração do Microsoft Entra, o portal do Azure, o Microsoft Graph e o PowerShell.
Exibir políticas de Acesso Condicional nos logs de entrada do Microsoft Entra
Gorjeta
As etapas neste artigo podem variar ligeiramente com base no portal a partir do qual você começou.
Os detalhes da atividade dos logs de entrada contêm várias guias. A guia Acesso Condicional lista as políticas de Acesso Condicional aplicadas a esse evento de entrada.
- Entre no centro de administração do Microsoft Entra como pelo menos um Leitor Global.
- Navegue até Monitoramento de identidade>& logs de entrada de integridade>.
- Selecione um item de início de sessão na tabela para ver o painel de detalhes de início de sessão.
- Selecione a guia Acesso condicional.
Se não vir as políticas de Acesso Condicional, confirme que está a utilizar uma função que fornece acesso aos registos de início de sessão e às políticas de Acesso Condicional.