Partilhar via

Informações e relatórios do Acesso Condicional

O painel de relatórios e insights do Acesso Condicional permite que compreenda o impacto das políticas de Acesso Condicional na sua organização ao longo do tempo. Durante o login, uma ou mais políticas de Acesso Condicional podem ser aplicadas, concedendo acesso se determinados controles de concessão forem satisfeitos ou negando acesso de outra forma. Como várias políticas de Acesso Condicional podem ser avaliadas durante cada entrada, a pasta de trabalho de insights e relatórios permite examinar o impacto de uma política individual ou de um subconjunto de todas as políticas.

Pré-requisitos

Para habilitar a pasta de trabalho de insights e relatórios, seu locatário deve ter:

  • Um espaço de trabalho do Log Analytics para reter dados de registos de início de sessão.
  • O Microsoft Entra ID P1 licencia para usar o Acesso Condicional.

Os utilizadores devem ter pelo menos a função de Leitor de Segurança atribuída e as funções de Colaborador do espaço de trabalho do Log Analytics atribuídas.

Transmitir os logs de entrada do Entra ID da Microsoft para os logs do Azure Monitor

Se você não tiver integrado os logs do Microsoft Entra com os logs do Azure Monitor, precisará executar as seguintes etapas antes que a pasta de trabalho seja carregada:

  1. Crie um espaço de trabalho do Log Analytics no Azure Monitor.
  2. Integre os logs do Microsoft Entra com os logs do Azure Monitor.

Como funciona

Para aceder ao caderno de insights e relatórios:

  1. Entre no centro de administração do Microsoft Entra como pelo menos um Leitor de Segurança.
  2. Navegue até Entra ID>acesso condicional>Insights e relatórios.

Primeiros passos: selecione parâmetros

O painel de insights e relatórios permite que você veja o impacto de uma ou mais políticas de Acesso Condicional durante um período especificado. Comece definindo cada um dos parâmetros na parte superior da pasta de trabalho.

Captura de ecrã mostrando o livro de insights e relatórios do Acesso Condicional.

Política de Acesso Condicional: para ver o seu impacto combinado, selecione uma ou mais políticas de Acesso Condicional. As políticas são separadas em dois grupos: Políticas ativas e Políticas apenas para relatório. Por padrão, todas as políticas Habilitadas são selecionadas. Estas políticas são as políticas atualmente em vigor no seu locatário.

Intervalo de tempo: selecione um intervalo de tempo de 4 horas a até 90 dias. Se você selecionar um intervalo de tempo mais recuado do que quando integrou os logs do Microsoft Entra com o Azure Monitor, somente os logins após o tempo de integração serão exibidos.

Usuário: por padrão, o painel mostra o impacto das políticas selecionadas para todos os usuários. Para filtrar por um usuário individual, digite o nome do usuário no campo de texto. Para filtrar por todos os usuários, digite Todos os usuários no campo de texto ou deixe o parâmetro vazio.

Aplicativo: por padrão, o painel mostra o impacto das políticas selecionadas para todos os aplicativos. Para filtrar por um aplicativo individual, digite o nome do aplicativo no campo de texto. Para filtrar por todos os aplicativos, digite Todos os aplicativos no campo de texto ou deixe o parâmetro vazio.

Visualização de dados: selecione se deseja que o painel mostre resultados em termos de número de usuários ou número de entradas. Um usuário individual pode ter centenas de entradas em muitos aplicativos com muitos resultados diferentes durante um determinado intervalo de tempo. Se você selecionar a visualização de dados como usuários, um usuário poderá estar incluído nas contagens Sucesso e Falha. Por exemplo, se houver 10 usuários, 8 deles podem ter um resultado de sucesso nos últimos 30 dias e 9 deles podem ter uma falha nos últimos 30 dias.

Resumo do impacto

Depois que os parâmetros são definidos, o resumo do impacto é carregado. O resumo mostra quantos utilizadores ou sessões iniciadas durante o intervalo de tempo resultaram em êxito, falha, ação do utilizador necessária ou não aplicada quando as políticas selecionadas foram avaliadas.

Captura de ecrã que mostra um exemplo de resumo do impacto no caderno de Acesso Condicional.

Total: o número de usuários ou entradas durante o período em que pelo menos uma das políticas selecionadas foi avaliada.

Sucesso: o número de usuários ou entradas durante o período em que o resultado combinado das políticas selecionadas foi Sucesso ou Somente relatório: Sucesso.

Falha: O número de usuários ou entradas durante o período em que o resultado de pelo menos uma das políticas selecionadas foi Falha ou Somente relatório: Falha.

Ação do usuário necessária: o número de usuários ou entradas durante o período em que o resultado combinado das políticas selecionadas foi Somente relatório: ação do usuário necessária. A ação do usuário é necessária quando um controle de concessão interativo, como autenticação multifator, é necessário. Como os controles de concessão interativos não são impostos por políticas somente de relatório, o sucesso ou a falha não podem ser determinados.

Não aplicado: o número de usuários ou entradas durante o período em que nenhuma das políticas selecionadas foi aplicada.

Compreender o impacto

Captura de ecrã mostrando uma divisão da pasta de trabalho por condição e status.

Visualize o detalhamento de usuários ou logins para cada uma das condições. Você pode filtrar as entradas de um resultado específico (por exemplo, Êxito ou Falha) selecionando os blocos de resumo na parte superior da pasta de trabalho. Você pode ver o detalhamento de entradas para cada uma das condições de Acesso Condicional: estado do dispositivo, plataforma do dispositivo, aplicativo cliente, local, aplicativo e risco de entrada.

Detalhes de início de sessão

Captura de ecrã a mostrar os dados de acesso da folha de cálculo.

Você também pode investigar os inícios de sessão de um utilizador específico, procurando por inícios de sessão na parte inferior do painel de controlo. A consulta exibe os usuários mais frequentes. Selecionar um usuário filtra a consulta.

Nota

Ao baixar os logs de entrada, escolha o formato JSON para incluir dados de resultado somente de relatório de Acesso Condicional.

Melhorar o desempenho da pasta de trabalho

A pasta de trabalho padrão de relatórios e insights do Acesso Condicional pode capturar uma grande quantidade de dados com as configurações padrão. A quantidade de dados capturados pode afetar o desempenho da pasta de trabalho, de modo que algumas consultas podem levar mais tempo para carregar ou até mesmo o tempo limite. Para melhorar o desempenho, você pode criar uma transformação no Azure Monitor.

Antes de prosseguir com esta etapa opcional, revise o artigo Transformação no Azure Monitor para obter uma visão geral e considerações de custo.

Para identificar os resultados a serem mantidos ou excluídos da transformação, use a seguinte consulta Kusto no Log Analytics:

SignInLogs
| extend CAPResult_CF = extract_all(@"(\{[^{}]*""result"":""(success|failure)""[^{}]*\})", tostring(ConditionalAccessPolicies))
| project-away ConditionalAccessPolicies

A consulta examina especificamente as políticas de Acesso Condicional que resultam em um sucesso ou falha. Outros valores que você pode incluir na consulta incluem notApplied, reportOnlySuccess, reportOnlyFailure, reportOnlyNotAppliede notEnabled.

Para criar a Regra de Recolha de Dados para os registos de entrada:

  1. Entre no portal do Azure como pelo menos um Colaborador de Monitoramento.
  2. Navegue até espaços de trabalho do Log Analytics e selecione seu espaço de trabalho.
  3. Vá para Tabelas de configurações>>, selecione SignInLogs.
  4. Abra o menu à direita e selecione Criar transformação.
  5. Siga as instruções para criar a transformação, selecionando Editor de transformação para alterar qualquer um dos detalhes incluídos na transformação.

Depois que a transformação for criada e implantada com êxito, o livro de trabalho de insights e relatórios do Acesso Condicional deverá ser carregado mais rapidamente. A transformação só se aplica a novos logs de entrada ingeridos após a transformação ser criada. Outras pastas de trabalho que também dependem dessa tabela são afetadas pela transformação.

Lembre-se de que, se você excluir determinados resultados de política da transformação, não verá nenhum desses resultados na pasta de trabalho quando a transformação estiver em execução.

Configurar uma política de Acesso Condicional no modo somente relatório

Para configurar uma política de Acesso Condicional no modo somente relatório:

  1. Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Acesso Condicional.
  2. Navegue até Entra ID>Acesso Condicional>Políticas.
  3. Selecione uma política existente ou crie uma nova política.
  4. Em Ativar política, defina o alternador para o modo Somente relatório.
  5. Selecione Salvar

Sugestão

Editar o estado Habilitar política de uma política existente de Ativado para Somente relatório desabilita a aplicação de política existente.

Resolução de Problemas

Por que as consultas estão falhando devido a um erro de permissões?

Para acessar a pasta de trabalho, você precisa das permissões adequadas no Microsoft Entra ID e no Log Analytics. Para testar se tens as permissões de área de trabalho adequadas, executando um exemplo de consulta de análise de logs:

  1. Entre no centro de administração do Microsoft Entra como pelo menos um Leitor de Segurança.
  2. Navegue até Entra ID>Monitorização e Saúde>Análise de Registos.
  3. Digite SigninLogs na caixa de consulta e selecione Executar.
  4. Se a consulta não retornar nenhum resultado, seu espaço de trabalho pode não estar configurado corretamente.

Captura de tela mostrando como solucionar problemas de consultas com falha.

Para obter mais informações sobre como transmitir logs de entrada do Microsoft Entra para um espaço de trabalho do Log Analytics, consulte o artigo Integrar logs do Microsoft Entra com logs do Azure Monitor.

Por que as consultas na pasta de trabalho estão falhando?

Os clientes notam que as consultas às vezes falham se os espaços de trabalho errados ou múltiplos estiverem associados à pasta de trabalho. Para corrigir esse problema, selecione Editar na parte superior da pasta de trabalho e, em seguida, a engrenagem Configurações. Selecione e remova espaços de trabalho que não estão associados à pasta de trabalho. Deve haver apenas um espaço de trabalho associado a cada pasta de trabalho.

Por que o parâmetro Políticas de acesso condicional está vazio?

A lista de políticas é gerada examinando as políticas avaliadas para o evento de entrada mais recente. Se não houver entradas recentes em seu locatário, talvez seja necessário aguardar alguns minutos para que a pasta de trabalho carregue a lista de políticas de Acesso Condicional. Resultados vazios podem acontecer imediatamente após a configuração do Log Analytics ou se um locatário não tiver atividade de entrada recente.

Por que a pasta de trabalho está demorando muito para carregar ou retornando zero resultados?

Dependendo do intervalo de tempo selecionado e do tamanho do seu locatário, a pasta de trabalho pode estar avaliando um número extraordinariamente grande de eventos de entrada. Para locatários grandes, o volume de entradas pode exceder a capacidade de consulta do Log Analytics. Tente encurtar o intervalo de tempo para 4 horas e, em seguida, veja se a pasta de trabalho carrega. Consulte a seção Melhorar o desempenho da pasta de trabalho para obter mais informações sobre como otimizar o desempenho.

Posso salvar minhas seleções de parâmetros ou personalizar a pasta de trabalho?

Você pode salvar suas seleções de parâmetros e personalizar a pasta de trabalho na parte superior da pasta de trabalho. Navegue até Entra ID>Monitorização e Saúde>Cadernos>Perceções e Relatórios de Acesso Condicional. Aqui você encontra o modelo de pasta de trabalho, onde você pode editar a pasta de trabalho e salvar uma cópia em seu espaço de trabalho, incluindo as seleções de parâmetros, em Meus relatórios ou Relatórios compartilhados. Para começar a editar as consultas, selecione Editar na parte superior da pasta de trabalho.

Conteúdos relacionados