Compartilhar via

Insights e relatórios de acesso condicional

A pasta de trabalho de insights e relatórios de acesso condicional permite entender o impacto das políticas de Acesso Condicional em sua organização ao longo do tempo. Durante a entrada, uma ou mais políticas de Acesso Condicional podem ser aplicadas, concedendo acesso se determinados controles de concessão forem atendidos ou negando o acesso caso contrário. Como várias políticas de Acesso Condicional podem ser avaliadas durante cada entrada, a pasta de trabalho de insights e relatórios permite que você examine o impacto da uma política individual ou de um subconjunto de todas as políticas.

Pré-requisitos

Para habilitar a pasta de trabalho de insights e relatórios, seu locatário precisa ter:

  • Um workspace do Log Analytics para reter dados de logs de autenticação e acesso a esse workspace.
  • Licenças do Microsoft Entra ID P1 para usar o Acesso Condicional.

Os usuários devem ter pelo menos a função leitor de segurança atribuída e as funções colaborador do workspace do Log Analytics atribuídas.

Como transmitir logs de entrada do Microsoft Entra ID para os logs do Azure Monitor

Se você ainda não integrou os logs do Microsoft Entra aos logs do Azure Monitor, deverá integrar os logs do Microsoft Entra aos logs do Azure Monitor.

Como ele funciona

Para acessar a pasta de trabalho de insights e relatórios:

  1. Faça login no centro de administração do Microsoft Entra como pelo menos um Leitor de Segurança e com as permissões apropriadas para a área de trabalho do Log Analytics.
  2. Acesse Entra ID>Acesso condicional>Insights e relatórios.

Introdução: Selecione os parâmetros

O painel de insights e relatórios permite ver o impacto de uma ou mais políticas de Acesso Condicional durante um período especificado. Comece definindo cada um dos parâmetros na parte superior da pasta de trabalho.

Captura de tela mostrando os insights do Acesso Condicional e a pasta de trabalho de relatórios.

Política de Acesso Condicional: para exibir o impacto combinado, selecione uma ou mais políticas de Acesso Condicional. As políticas são separadas em dois grupos: políticas habilitadas e políticas apenas de relatório. Por padrão, todas as políticas habilitadas são selecionadas. Essas políticas são as atualmente aplicadas em seu locatário.

Intervalo de tempo: selecione um intervalo de tempo de 4 horas a até 90 dias. Se você selecionar um intervalo de tempo anterior ao momento em que integrou os logs do Microsoft Entra ao Azure Monitor, aparecerão apenas as entradas de login feitas após o momento da integração.

Usuário: por padrão, o painel mostra o impacto das políticas selecionadas para todos os usuários. Para filtrar por um usuário individual, digite o nome do usuário no campo de texto. Para filtrar por todos os usuários, digite Todos os usuários no campo de texto ou deixe o parâmetro vazio.

Aplicativo: por padrão, o painel mostra o impacto das políticas selecionadas para todos os aplicativos. Para filtrar por um aplicativo individual, digite o nome do aplicativo no campo de texto. Para filtrar por todos os aplicativos, digite Todos os aplicativos no campo de texto ou deixe o parâmetro vazio.

Exibição de dados: selecione se você deseja que o painel mostre resultados em termos do número de usuários ou número de entradas. Um usuário individual pode ter centenas de entradas em muitos aplicativos com muitos resultados diferentes durante um determinado intervalo de tempo. Caso selecione a exibição de dados para ser usuário, um usuário poderá ser incluído nas contagens Êxito e Falha. Por exemplo, se você tiver 10 usuários, 8 deles poderão ter um resultado positivo nos últimos 30 dias e 9 deles poderão ter uma falha nos últimos 30 dias.

Resumo de impacto

Depois que os parâmetros são definidos, o resumo do impacto é carregado. O resumo mostra quantos usuários ou entradas durante o intervalo de tempo resultaram em êxito, falha, ação do usuário necessária ou Não aplicada quando as políticas selecionadas foram avaliadas.

Captura de tela mostrando um exemplo de resumo de impacto no relatório de Acesso Condicional.

Total: o número de usuários ou entradas durante o período em que pelo menos uma das políticas selecionadas foi avaliada.

Êxito: o número de usuários ou acessos durante o período em que o resultado combinado das políticas selecionadas foi Êxito ou Relatório apenas: Êxito.

Falha: o número de usuários ou entradas durante o período em que o resultado de pelo menos uma das políticas selecionadas foi Falha ou Somente Relatório: Falha.

Ação do usuário necessária: O número de usuários ou logins durante o período em que o resultado combinado das políticas selecionadas foi Apenas Relatório: Ação do usuário necessária. A ação do usuário é necessária quando um controle de concessão interativo, como a autenticação multifator, é exigido. Como os controles de concessão interativos não são impostos por políticas somente relatório, não é possível determinar o êxito ou a falha.

Não aplicado: o número de usuários ou entradas durante o período em que nenhuma das políticas selecionadas foi aplicada.

Entendendo o impacto

Captura de tela mostrando uma divisão de pasta de trabalho por condição e status.

Veja o detalhamento de usuários ou entradas de cada uma das condições. Você pode filtrar as entradas de um resultado específico (por exemplo, êxito ou falha), selecionando os blocos de resumo na parte superior da pasta de trabalho. Você pode conferir o detalhamento das entradas de cada uma das condições de Acesso Condicional: estado do dispositivo, plataforma do dispositivo, aplicativo cliente, local, aplicativo e risco de entrada.

Detalhes de entrada

Captura de tela mostrando detalhes de login da pasta de trabalho.

Você também pode investigar as entradas de um usuário específico procurando as entradas na parte inferior do painel. A consulta exibe os usuários mais frequentes. A seleção de um usuário filtra a consulta.

Observação

Ao baixar os logs de entradas, escolha o formato JSON para incluir os dados de resultados somente relatório do Acesso Condicional.

Aprimorar o desempenho da pasta de trabalho

A pasta de trabalho padrão de relatórios e insights de Acesso Condicional pode capturar uma grande quantidade de dados com as configurações padrão. A quantidade de dados capturados pode afetar o desempenho da pasta de trabalho, fazendo com que algumas consultas demorem mais para carregar ou até mesmo expirem. Para melhorar o desempenho, você pode criar uma transformação no Azure Monitor.

Antes de prosseguir com essa etapa opcional, examine o artigo Transformação no Azure Monitor para obter uma visão geral e considerações de custo.

Para identificar os resultados a serem mantidos ou excluídos da transformação, use a seguinte consulta Kusto no Log Analytics:

SignInLogs
| extend CAPResult_CF = extract_all(@"(\{[^{}]*""result"":""(success|failure)""[^{}]*\})", tostring(ConditionalAccessPolicies))
| project-away ConditionalAccessPolicies

A consulta analisa especificamente as políticas de Acesso Condicional que resultam em êxito ou falha. Outros valores que você pode incluir na consulta incluem notApplied, , reportOnlySuccess, reportOnlyFailuree reportOnlyNotAppliednotEnabled.

Para criar a DCR (Regra de Coleta de Dados) para logs de autenticação:

  1. Entre no portal do Azure como pelo menos um Colaborador de Monitoramento.
  2. Acesse Espaços de trabalho do Log Analytics e selecione seu espaço de trabalho.
  3. Vá para Configurações>Tabelas>, selecione SignInLogs.
  4. Abra o menu à direita e selecione Criar transformação.
  5. Siga os prompts para criar a transformação, selecionando o editor de Transformação para alterar qualquer um dos detalhes incluídos na transformação.

Depois que a transformação for criada e implantada com êxito, os insights do Acesso Condicional e a planilha de relatório devem ser carregados mais rapidamente. A transformação só se aplica aos novos registros de login capturados após a criação da transformação. Outras pastas de trabalho que também extraem dados desta tabela são afetadas pela transformação.

Tenha em mente que, se você excluir determinados resultados de política da transformação, não verá nenhum desses resultados na pasta de trabalho depois que a transformação estiver em execução.

Configurar uma política de Acesso Condicional no modo somente relatório

Para configurar uma política de Acesso Condicional no modo somente relatório:

  1. Entre no Centro de administração do Microsoft Entra como pelo menos um Administrador de Acesso Condicional.
  2. Navegue até Entra ID>Acesso Condicional>Políticas.
  3. Selecione uma política existente ou crie uma nova.
  4. Em Habilitar política, defina alternar para o modo Somente relatório.
  5. Selecione Salvar

Dica

Editar o estado de Habilitar política de uma política existente de Ativado para Somente relatório desabilita a imposição de política existente.

Solução de problemas

Por que as consultas falham devido a um erro de permissões?

Para acessar a pasta de trabalho, precisará das permissões adequadas no Microsoft Entra ID e no Log Analytics. Para testar se você tem as permissões apropriadas do espaço de trabalho executando uma consulta de exemplo do Log Analytics:

  1. Entre no Centro de administração do Microsoft Entra como pelo menos Leitor de Segurança.
  2. AcesseEntra ID>Monitoramento e integridade>Log Analytics.
  3. Digite SigninLogs na caixa de consulta e selecione Executar.
  4. Se a consulta não retornar nenhum resultado, seu espaço de trabalho pode não estar configurado corretamente.

Captura de tela mostrando como solucionar problemas de consultas com falha.

Para obter mais informações sobre como transmitir logs de entrada do Microsoft Entra para um workspace do Log Analytics, consulte o artigo Integrar logs do Microsoft Entra aos logs do Azure Monitor.

Por que as consultas na pasta de trabalho falham?

Os clientes notam que as consultas às vezes falham se o espaço de trabalho errado ou vários espaços de trabalho estiverem associados à pasta de trabalho. Para corrigir esse problema, selecione Editar na parte superior da pasta de trabalho e, em seguida, a engrenagem Configurações. Selecione e remova espaços de trabalho que não estão associados à pasta de trabalho. Deve haver apenas um espaço de trabalho associado a cada pasta de trabalho.

Por que o parâmetro de políticas de Acesso Condicional está vazio?

A lista de políticas é gerada observando as políticas avaliadas para o evento de login mais recente. Se não existirem entradas recentes em seu locatário, talvez seja necessário aguardar alguns minutos para que a pasta de trabalho carregue a lista de políticas de Acesso Condicional. Resultados vazios podem ocorrer imediatamente após a configuração do Log Analytics ou se um locatário não tiver uma atividade de entrada recente.

Por que a pasta de trabalho está demorando muito para carregar ou não está retornando resultados?

Dependendo do intervalo de tempo selecionado e do tamanho do seu locatário, a pasta de trabalho pode estar avaliando um número extraordinariamente grande de eventos de entrada. Para locatários grandes, o volume de entradas pode exceder a capacidade de consulta do Log Analytics. Tente reduzir o intervalo de tempo para 4 horas e veja se a pasta de trabalho é carregada. Revise a seção Melhorar o desempenho da pasta de trabalho para obter mais informações sobre como melhorar o desempenho.

Posso salvar minhas seleções de parâmetro ou personalizar a pasta de trabalho?

Você pode salvar suas seleções de parâmetro e personalizar a pasta de trabalho na parte superior da pasta de trabalho. Acesse Entra ID>Monitoramento e integridade>Pastas de trabalho>Relatórios e insights de acesso condicional. Aqui você encontra o modelo de pasta de trabalho, em que pode editar a pasta de trabalho e salvar uma cópia em seu workspace, incluindo as seleções de parâmetros, em Meus relatórios ou relatórios compartilhados. Para começar a editar as consultas, selecione Editar na parte superior da pasta de trabalho.

Conteúdo relacionado

  • Last updated on