Аналитика и отчеты условного доступа

  • Статья

С помощью книги аналитики и отчетов условного доступа можно понять, как меняется влияние политик условного доступа на организацию с течением времени. Во время входа в систему могут применяться одна или несколько политик условного доступа, которые предоставляют или запрещают доступ в соответствии с определенными элементами управления предоставлением прав. Так как во время каждого входа могут оцениваться несколько политик условного доступа, книга аналитики и отчетов позволяет проверить влияние отдельной политики или подмножества всех политик.

Предварительные требования

Чтобы включить книгу аналитики и отчетов, клиент должен иметь рабочую область Log Analytics для хранения журналов входа. Для использования условного доступа пользователи должны иметь лицензии Azure AD Premium P1 или P2.

Пользователям должна быть назначена по крайней мере роль Читатель безопасности и Роль участника рабочей области Log Analytics.

Потоковая передача журналов входа из Azure AD в журналы Azure Monitor

Если вы еще не интегрировали журналы Azure AD с журналами Azure Monitor, перед загрузкой книги необходимо выполнить следующие действия.

  1. Создайте рабочую область Log Analytics в Azure Monitor.
  2. Интегрируйте журналы Azure AD с журналами Azure Monitor.

Принцип работы

Чтобы получить доступ к книге аналитики и отчетов, выполните указанные ниже действия.

  1. Войдите на портал Azure.
  2. Выберите Azure Active Directory>Безопасность>Условный доступ>Аналитические данные и отчеты.

Приступая к работе: выбор параметров

На панели мониторинга аналитики и отчетов можно увидеть влияние одной или нескольких политик условного доступа за указанный период. Сначала задайте все параметры в верхней части книги.

Снимок экрана: книга аналитики и отчетов условного доступа.

Политика условного доступа. Выберите одну или несколько политик условного доступа, чтобы просмотреть их совокупное влияние. Политики делятся на две группы: включенные и политики в режиме "Только отчет". По умолчанию выбраны все включенные политики. Это политики, которые в настоящее время применяются в клиенте.

Диапазон времени. Выберите диапазон времени от 4 часов до 90 дней. Если вы выберете диапазон времени дальше, чем при интеграции журналов Azure AD с Azure Monitor, появятся только входы после интеграции.

Пользователь. По умолчанию на панели мониторинга отображается влияние выбранных политик для всех пользователей. Чтобы выполнить фильтрацию по отдельному пользователю, введите его имя в текстовом поле. Чтобы выполнить фильтрацию по всем пользователям, введите "Все пользователи" в текстовом поле или оставьте параметр пустым.

Приложение. По умолчанию на панели мониторинга отображается влияние выбранных политик для всех приложений. Чтобы выполнить фильтрацию по отдельному приложению, введите его имя в текстовом поле. Чтобы выполнить фильтрацию по всем приложениям, введите "Все приложения" в текстовом поле или оставьте параметр пустым.

Представление данных. Укажите, должны ли результаты на панели мониторинга содержать число пользователей или число входов. У отдельного пользователя могут быть сотни входов во множество приложений с множеством различных результатов в течение заданного диапазона времени. Если вы выберете представление данных для пользователей, пользователь может быть включен в число успешных и неудачных попыток. Например, если есть 10 пользователей, 8 из них могли бы иметь результат успеха за последние 30 дней, а 9 из них могли иметь результат сбоя за последние 30 дней.

Сводка данных по влиянию

После задания параметров загружается сводка данных по влиянию. В сводке показано, сколько пользователей или входов в течение указанного интервала времени имело результат оценки выбранных политик "Успешно", "Сбой", "Требуется действие пользователя" или "Неприменимо".

Снимок экрана: пример сводки по влиянию в книге условного доступа.

Total: Количество пользователей или входов в систему за период времени, в течение которого была оценена хотя бы одна из выбранных политик.

Выполнено. Количество пользователей или входов в систему за период времени, в течение которого совокупный результат для выбранных политик был "Успешно" или "Только отчет: успешно".

Сбой. Количество пользователей или входов в систему за период времени, в течение которого результат для по крайней мере одной из выбранных политик был "Сбой" или "Только отчет: сбой".

Требуется действие пользователя. Количество пользователей или входов в систему за период времени, в течение которого совокупный результат для выбранных политик был "Только отчет: требуется действие пользователя". Действия пользователя требуются, когда требуется интерактивный элемент управления предоставлением, например многофакторная проверка подлинности. Так как интерактивные элементы управления предоставлением не применяются политиками только для отчетов, невозможно определить успешность или сбой.

Не применено. Количество пользователей или входов в систему за период времени, в течение которого ни одна из выбранных политик не была применена.

Анализ влияния

Снимок экрана: разбивка книги по условию и состоянию.

Вы можете просмотреть распределение пользователей или входов для каждого из условий. Вы можете отфильтровать операции входа с определенным результатом (например, "Успешно" или "Сбой"), выбрав плитку сводки в верхней части книги. Вы можете просмотреть разбивку входов по каждому из условий условного доступа: состояние устройства, платформа устройства, клиентское приложение, расположение, приложение и риск входа.

Подробности данных для входа

Снимок экрана: сведения о входе в книгу.

Вы также можете исследовать операции входа конкретного пользователя, выполнив поиск в нижней части панели мониторинга. В запросе отображаются наиболее частые пользователи. При выборе пользователя запрос фильтруется.

Примечание

При скачивании журналов данных для входа выберите формат JSON, чтобы включить результаты работы в режиме «только отчет» согласно политике условного доступа.

Настройка политики условного доступа в режиме «только отчет»

Для настройки политики условного доступа в режиме «только отчет» выполните следующее:

  1. Войдите на портал Azure с учетными данными администратора условного доступа, администратора безопасности или глобального администратора.
  2. Выберите Azure Active Directory>Безопасность>Условный доступ.
  3. Выберите существующую политику или создайте новую.
  4. В разделе Включить политику установите переключатель в режим Только отчет.
  5. Нажмите кнопку Сохранить.

Совет

При изменении значения параметра Включить политику для существующей политики с Вкл. на Только отчет существующее применение политики будет отключено.

Устранение неполадок

Почему происходит сбой запросов из-за ошибки разрешений?

Для доступа к книге требуются соответствующие разрешения Azure AD и разрешения рабочей области Log Analytics. Чтобы проверить наличие нужных разрешений рабочей области, выполните пробный запрос аналитики журналов:

  1. Войдите на портал Azure.
  2. Перейдите к разделу Azure Active Directory>Log Analytics.
  3. Введите SigninLogs в поле запроса и выберите Выполнить.
  4. Если запрос не возвращает никаких результатов, возможно, рабочая область настроена неправильно.

Снимок экрана: устранение неполадок при неудачных запросах.

Дополнительные сведения о потоковой передаче журналов входа Azure AD в рабочую область Log Analytics см. в статье Интеграция журналов Azure AD с журналами Azure Monitor.

Почему происходит сбой запросов в книге?

Клиенты заметили, что иногда происходит сбой запросов, если с книгой связана недопустимая рабочая область или несколько рабочих областей. Чтобы устранить эту проблему, выберите Изменить в верхней части книги, а затем нажмите кнопку Параметры шестеренки. Выберите и удалите рабочие области, которые не связаны с книгой. С каждой книгой должна быть связана только одна рабочая область.

Почему параметр политик условного доступа пустой?

Список политик создается путем просмотра политик, оцененных для самого последнего события входа. Если в клиенте нет недавних входов, может потребоваться подождать несколько минут, пока в книге загрузится список политик условного доступа. Пустые результаты могут возникать сразу после настройки Log Analytics или в случае, если у клиента нет последних действий входа.

Почему книга долго загружается?

В зависимости от выбранного диапазона времени и размера клиента книга может оценивать чрезвычайно большое количество событий входа. Для больших клиентов количество входов в систему может превысить емкость запроса в Log Analytics. Попробуйте сократить диапазон времени до 4 часов, чтобы проверить, загружается ли книга.

Почему книга возвращает нулевые результаты после нескольких минут загрузки?

Если объем входов превышает емкость запросов Log Analytics, книга возвращает ноль результатов. Попробуйте сократить диапазон времени до 4 часов, чтобы проверить, загружается ли книга.

Можно ли сохранить выбранные параметры?

Вы можете сохранить выбранные в верхней части книги параметры, последовательно выбрав Azure Active Directory>Книги>Аналитические сведения и отчеты условного доступа. Здесь вы найдете шаблон книги, в котором можно изменить книгу и сохранить ее копию в рабочей области, включая выбранные параметры, в разделе Мои отчеты или Общие отчеты.

Можно ли изменить и настроить книгу с помощью других запросов?

Вы можете изменить и настроить книгу, последовательно выбрав Azure Active Directory>Книги>Аналитические сведения и отчеты условного доступа. Здесь вы найдете шаблон книги, в котором можно изменить книгу и сохранить ее копию в рабочей области, включая выбранные параметры, в разделе Мои отчеты или Общие отчеты. Чтобы начать редактирование запросов, выберите Изменить в верхней части книги.

Дальнейшие действия