Insikter och rapportering för villkorlig åtkomst

Med insikts- och rapporteringsarbetsboken för villkorsstyrd åtkomst kan du förstå effekten av principer för villkorsstyrd åtkomst i din organisation över tid. Under inloggningen kan en eller flera principer för villkorsstyrd åtkomst tillämpas, vilket ger åtkomst om vissa beviljandekontroller uppfylls eller nekar åtkomst på annat sätt. Eftersom flera principer för villkorsstyrd åtkomst kan utvärderas under varje inloggning kan du med insikts- och rapporteringsarbetsboken undersöka effekten av en enskild princip eller en delmängd av alla principer.

Förutsättningar

Om du vill aktivera arbetsboken insikter och rapporter måste din klientorganisation ha en Log Analytics-arbetsyta för att behålla inloggningsloggdata. Användare måste ha Azure AD Premium P1- eller P2-licenser för att kunna använda villkorlig åtkomst.

Följande roller kan komma åt insikter och rapportering:

  • Administratör för villkorsstyrd åtkomst
  • Säkerhetsläsare
  • Säkerhetsadministratör
  • Global läsare
  • Global administratör

Användarna behöver också någon av följande Log Analytics-arbetsyteroller:

  • Deltagare
  • Ägare

Strömma inloggningsloggar från Azure AD till Azure Monitor-loggar

Om du inte har integrerat Azure AD loggar med Azure Monitor-loggar måste du utföra följande steg innan arbetsboken läses in:

  1. Skapa en Log Analytics-arbetsyta i Azure Monitor.
  2. Integrera Azure AD loggar med Azure Monitor-loggar.

Så här fungerar det

Så här kommer du åt arbetsboken för insikter och rapportering:

  1. Logga in på Azure-portalen.
  2. Bläddra till Azure Active Directory>Security>Insikter och rapportering förvillkorlig åtkomst>.

Kom igång: Välj parametrar

Med instrumentpanelen för insikter och rapportering kan du se effekten av en eller flera principer för villkorsstyrd åtkomst under en angiven period. Börja med att ange var och en av parametrarna överst i arbetsboken.

Instrumentpanelen för insikter och rapportering för villkorlig åtkomst i Azure Portal

Princip för villkorsstyrd åtkomst: Välj en eller flera principer för villkorsstyrd åtkomst för att visa deras kombinerade effekt. Principer är uppdelade i två grupper: Aktiverade principer och Principer för endast rapport. Som standard är alla aktiverade principer markerade. Dessa aktiverade principer är de principer som för närvarande tillämpas i din klientorganisation.

Tidsintervall: Välj ett tidsintervall från 4 timmar till så långt tillbaka som 90 dagar. Om du väljer ett tidsintervall längre tillbaka än när du integrerade Azure AD loggarna med Azure Monitor visas bara inloggningar efter integreringstiden.

Användare: Som standard visar instrumentpanelen effekten av de valda principerna för alla användare. Om du vill filtrera efter en enskild användare skriver du namnet på användaren i textfältet. Om du vill filtrera efter alla användare skriver du "Alla användare" i textfältet eller lämnar parametern tom.

App: Som standard visar instrumentpanelen effekten av de valda principerna för alla appar. Om du vill filtrera efter en enskild app skriver du namnet på appen i textfältet. Om du vill filtrera efter alla appar skriver du "Alla appar" i textfältet eller lämnar parametern tom.

Datavy: Välj om du vill att instrumentpanelen ska visa resultat när det gäller antalet användare eller antalet inloggningar. En enskild användare kan ha hundratals inloggningar till många appar med många olika resultat under ett visst tidsintervall. Om du väljer datavyn som användare kan en användare inkluderas i både antalet lyckade och misslyckade (om det till exempel finns 10 användare kan 8 av dem ha haft ett resultat av framgång under de senaste 30 dagarna och 9 av dem kan ha haft ett resultat av fel under de senaste 30 dagarna).

Sammanfattning av påverkan

När parametrarna har angetts läses konsekvenssammanfattningen in. Sammanfattningen visar hur många användare eller inloggningar under tidsintervallet som resulterade i "Success", "Failure", "User action required" eller "Not applied" när de valda principerna utvärderades.

Effektsammanfattning i arbetsboken för villkorsstyrd åtkomst

Totalt: Antalet användare eller inloggningar under den tidsperiod då minst en av de valda principerna utvärderades.

Lyckades: Antalet användare eller inloggningar under den tidsperiod då det kombinerade resultatet av de valda principerna var "Success" eller "Report-only: Success".

Fel: Antalet användare eller inloggningar under den tidsperiod då resultatet av minst en av de valda principerna var "Failure" eller "Report-only: Failure".

Användaråtgärd krävs: Antalet användare eller inloggningar under den tidsperiod då det kombinerade resultatet av de valda principerna var "Endast rapport: Användaråtgärd krävs". Användaråtgärd krävs när en interaktiv beviljandekontroll, till exempel multifaktorautentisering, krävs av en princip för villkorsstyrd åtkomst med endast rapport. Eftersom interaktiva beviljandekontroller inte framtvingas av principer som endast gäller för rapporter går det inte att avgöra om det går att lyckas eller misslyckas.

Inte tillämpad: Antalet användare eller inloggningar under den tidsperiod då ingen av de valda principerna tillämpades.

Förstå effekten

Arbetsboksuppdelning per villkor och status

Visa uppdelningen av användare eller inloggningar för vart och ett av villkoren. Du kan filtrera inloggningarna för ett visst resultat (till exempel lyckades eller misslyckades) genom att välja på sammanfattningspanelerna överst i arbetsboken. Du kan se uppdelningen av inloggningar för vart och ett av villkoren för villkor för villkorsstyrd åtkomst: enhetstillstånd, enhetsplattform, klientapp, plats, program och inloggningsrisk.

Inloggningsinformation

Inloggningsinformation för arbetsbok

Du kan också undersöka inloggningarna för en viss användare genom att söka efter inloggningar längst ned på instrumentpanelen. Frågan till vänster visar de vanligaste användarna. Om du väljer en användare filtreras frågan till höger.

Anteckning

När du laddar ned loggarna för inloggningar väljer du JSON-format för att inkludera resultatdata för endast villkorlig åtkomst.

Konfigurera en princip för villkorsstyrd åtkomst i rapportläge

Så här konfigurerar du en princip för villkorsstyrd åtkomst i rapportläge:

  1. Logga in på Azure Portal som administratör för villkorsstyrd åtkomst, säkerhetsadministratör eller global administratör.
  2. Bläddra tillVillkorsstyrd åtkomst för Azure Active Directory Security>>.
  3. Välj en befintlig princip eller skapa en ny princip.
  4. Under Aktivera princip anger du växlingsknappen till Läget Endast rapport .
  5. Välj Spara

Tips

Om du redigerar tillståndet Aktivera princip för en befintlig princip från till Endast rapport inaktiveras befintlig principtillämpning.

Felsökning

Varför misslyckas frågor på grund av ett behörighetsfel?

För att få åtkomst till arbetsboken behöver du rätt Azure AD behörigheter samt Log Analytics-arbetsytebehörigheter. Så här testar du om du har rätt behörigheter för arbetsytan genom att köra en log analytics-exempelfråga:

  1. Logga in på Azure-portalen.
  2. Bläddra till Azure Active Directory>Log Analytics.
  3. Skriv SigninLogs i frågerutan och välj Kör.
  4. Om frågan inte returnerar några resultat kanske arbetsytan inte har konfigurerats korrekt.

Felsöka misslyckade frågor

Mer information om hur du strömmar Azure AD inloggningsloggar till en Log Analytics-arbetsyta finns i artikeln Integrera Azure AD loggar med Azure Monitor-loggar.

Varför misslyckas frågorna i arbetsboken?

Kunder har märkt att frågor ibland misslyckas om fel eller flera arbetsytor är associerade med arbetsboken. Åtgärda problemet genom att klicka på Redigera överst i arbetsboken och sedan på Inställningar. Välj och ta sedan bort arbetsytor som inte är associerade med arbetsboken. Det bör bara finnas en arbetsyta som är associerad med varje arbetsbok.

Varför är parametern principer för villkorsstyrd åtkomst tom?

Listan över principer genereras genom att titta på de principer som utvärderats för den senaste inloggningshändelsen. Om det inte finns några nyligen använda inloggningar i din klientorganisation kan du behöva vänta några minuter på att arbetsboken ska läsa in listan över principer för villkorsstyrd åtkomst. Detta kan inträffa omedelbart efter konfigurationen av Log Analytics eller kan ta längre tid om en klientorganisation inte har den senaste inloggningsaktiviteten.

Varför tar det lång tid att läsa in arbetsboken?

Beroende på det valda tidsintervallet och storleken på din klientorganisation kan arbetsboken utvärdera ett utomordentligt stort antal inloggningshändelser. För stora klientorganisationer kan mängden inloggningar överskrida frågekapaciteten för Log Analytics. Prova att förkorta tidsintervallet till 4 timmar för att se om arbetsboken läses in.

Varför returnerar arbetsboken noll resultat efter inläsning i några minuter?

När mängden inloggningar överskrider frågekapaciteten för Log Analytics returnerar arbetsboken noll resultat. Prova att förkorta tidsintervallet till 4 timmar för att se om arbetsboken läses in.

Kan jag spara mina parameterval?

Du kan spara dina parameterval överst i arbetsboken genom att gå till Azure ActiveDirectory-arbetsböcker>>Villkorlig åtkomst Insikter och rapportering. Här hittar du arbetsboksmallen, där du kan redigera arbetsboken och spara en kopia på din arbetsyta, inklusive parametervalen, i Mina rapporter eller Delade rapporter.

Kan jag redigera och anpassa arbetsboken med ytterligare frågor?

Du kan redigera och anpassa arbetsboken genom att gå tillInsikter och rapportering för villkorlig åtkomst i Azure Active Directory-arbetsböcker>>. Här hittar du arbetsboksmallen, där du kan redigera arbetsboken och spara en kopia på din arbetsyta, inklusive parametervalen, i Mina rapporter eller Delade rapporter. Börja redigera frågorna genom att klicka på Redigera överst i arbetsboken.

Nästa steg