Dela via

Insikter och rapportering för villkorsstyrd åtkomst

Med insikts- och rapporteringsarbetsboken för villkorsstyrd åtkomst kan du förstå effekten av principer för villkorsstyrd åtkomst i din organisation över tid. Under inloggningen kan en eller flera principer för villkorsstyrd åtkomst gälla, vilket ger åtkomst om vissa beviljandekontroller uppfylls eller nekar åtkomst på annat sätt. Eftersom flera principer för villkorsstyrd åtkomst kan utvärderas under varje inloggning kan du i arbetsboken insikter och rapporter undersöka effekten av en enskild princip eller en delmängd av alla principer.

Förutsättningar

Om du vill aktivera arbetsboken för insikter och rapporter måste din klientorganisation ha:

  • En Log Analytics-arbetsyta för att behålla inloggningsloggdata.
  • Microsoft Entra ID P1-licenser för användning av villkorsstyrd åtkomst.

Användare måste ha minst rollen Säkerhetsläsare tilldelad och Log Analytics-arbetsytans Deltagarroll tilldelad.

Strömma inloggningsloggar från Microsoft Entra-ID till Azure Monitor-loggar

Om du inte har integrerat Microsoft Entra-loggar med Azure Monitor-loggar måste du vidta följande steg innan arbetsboken läses in:

  1. Skapa en Log Analytics-arbetsyta i Azure Monitor.
  2. Integrera Microsoft Entra-loggar med Azure Monitor-loggar.

Hur det fungerar

Så här kommer du åt arbetsboken insikter och rapporter:

  1. Logga in på administrationscentret för Microsoft Entra med minst behörigheten Security Reader.
  2. Bläddra till Entra ID>Villkorsstyrd åtkomst>Insikter och rapportering.

Kom igång: Välj parametrar

Med instrumentpanelen för insikter och rapportering kan du se effekten av en eller flera principer för villkorsstyrd åtkomst under en angiven period. Börja med att ange var och en av parametrarna överst i arbetsboken.

Skärmbild som visar insikter om villkorlig åtkomst och rapportarbetsbok.

Princip för villkorsstyrd åtkomst: Om du vill visa deras kombinerade effekt väljer du en eller flera principer för villkorsstyrd åtkomst. Principer är uppdelade i två grupper: Aktiverade principer och Principer endast för rapporter . Som standard är alla aktiverade principer markerade. Dessa principer är de principer som för närvarande tillämpas i din klientorganisation.

Tidsintervall: Välj ett tidsintervall från 4 timmar till så långt tillbaka som 90 dagar. Om du väljer ett tidsintervall längre tillbaka än när du integrerade Microsoft Entra-loggarna med Azure Monitor visas endast inloggningar efter tidpunkten för integreringen.

Användare: Som standard visar instrumentpanelen effekten av de valda principerna för alla användare. Om du vill filtrera efter en enskild användare skriver du användarens namn i textfältet. Om du vill filtrera efter alla användare skriver du Alla användare i textfältet eller lämnar parametern tom.

App: Som standard visar instrumentpanelen effekten av de valda principerna för alla appar. Om du vill filtrera efter en enskild app skriver du namnet på appen i textfältet. Om du vill filtrera efter alla appar skriver du Alla appar i textfältet eller lämnar parametern tom.

Datavy: Välj om du vill att instrumentpanelen ska visa resultat när det gäller antalet användare eller antal inloggningar. En enskild användare kan ha hundratals inloggningar till många appar med många olika resultat under ett visst tidsintervall. Om du väljer datavy som användare kan en användare räknas med i både lyckade och misslyckade antal. Om det till exempel finns 10 användare kan 8 av dem ha ett resultat av framgång under de senaste 30 dagarna och 9 av dem kan ha ett fel under de senaste 30 dagarna.

Påverkanssammanfattning

När parametrarna har angetts läses Effektsammandraget in. Sammanfattningen visar hur många användare eller inloggningar under tidsintervallet som resulterade i lyckade, misslyckade, användaråtgärder som krävdes eller Inte tillämpades när de valda principerna utvärderades.

Skärmbild som visar en exempelkonsekvenssammanfattning i arbetsboken för villkorsstyrd åtkomst.

Totalt: Antalet användare eller inloggningar under den tidsperiod då minst en av de valda principerna utvärderades.

Lyckades: Antalet användare eller inloggningar under den tidsperiod då det kombinerade resultatet av de valda principerna var Lyckades eller Endast rapport: Lyckades.

Fel: Antalet användare eller inloggningar under den tidsperiod då resultatet av minst en av de valda principerna var Fel eller Endast rapport: Fel.

Användaråtgärd krävs: Antalet användare eller inloggningar under den tidsperiod då det kombinerade resultatet av de valda principerna var Endast rapport: Användaråtgärd krävs. Användaråtgärd krävs när en interaktiv beviljandekontroll, till exempel multifaktorautentisering, krävs. Eftersom interaktiva beviljandekontroller inte framtvingas av principer som endast gäller för rapporter kan det inte fastställas hur lyckad eller misslyckad den är.

Inte tillämpat: Antalet användare eller inloggningar under tidsperioden då ingen av de valda principerna tillämpades.

Förstå effekten

Skärmbild som visar en arbetsboksuppdelning per villkor och status.

Visa uppdelningen av användare eller inloggningar för vart och ett av villkoren. Du kan filtrera inloggningarna för ett visst resultat (till exempel Lyckat eller Misslyckat) genom att välja på sammanfattningspanelerna överst i arbetsboken. Du kan se uppdelningen av inloggningar för vart och ett av villkoren för villkorlig åtkomst: enhetstillstånd, enhetsplattform, klientapp, plats, program och inloggningsrisk.

Inloggningsinformation

Skärmbild som visar inloggningsinformation för arbetsboken.

Du kan också undersöka inloggningar för en viss användare genom att söka efter inloggningar längst ned på instrumentpanelen. Frågan visar de vanligaste användarna. Om du väljer en användare filtreras frågan.

Anmärkning

När du laddar ned inloggningsloggarna väljer du JSON-format för att inkludera resultatdata för endast villkorlig åtkomst.

Förbättra arbetsbokens prestanda

Standardinsikter och rapporteringsarbetsbok för villkorsstyrd åtkomst kan samla in en stor mängd data med standardinställningarna. Mängden data som samlas in kan påverka arbetsbokens prestanda så att vissa frågor kan ta längre tid att läsa in eller till och med överskrida tidsgränsen. För att förbättra prestandan kan du skapa en transformering i Azure Monitor.

Innan du fortsätter med det här valfria steget kan du läsa artikeln Transformering i Azure Monitor för en allmän översikt och kostnadsöverväganden.

Om du vill identifiera de resultat som ska behållas eller undantas från omvandlingen använder du följande Kusto-fråga i Log Analytics:

SignInLogs
| extend CAPResult_CF = extract_all(@"(\{[^{}]*""result"":""(success|failure)""[^{}]*\})", tostring(ConditionalAccessPolicies))
| project-away ConditionalAccessPolicies

Frågeställningen tittar specifikt på villkorsbaserade åtkomstprinciper som resulterar i framgång eller misslyckande. Andra värden som du kan inkludera i frågan är notApplied, reportOnlySuccess, reportOnlyFailure, reportOnlyNotAppliedoch notEnabled.

Så här skapar du datainsamlingsregeln (DCR) för inloggningsloggar:

  1. Logga in på Azure-portalen som minst en övervakningsdeltagare.
  2. Bläddra till Log Analytics-arbetsytor och välj din arbetsyta.
  3. Gå till Inställningar>Tabeller> väljer SignInLogs.
  4. Öppna menyn till höger och välj Skapa transformering.
  5. Följ anvisningarna för att skapa omvandlingen och välj Transformeringsredigeraren för att ändra någon av informationen som ingår i omvandlingen.

När omvandlingen har skapats och distribuerats framgångsrikt, bör rapporteringsarbetsboken och insikterna för villkorsstyrd åtkomst laddas snabbare. Omvandlingen gäller endast för nya inloggningsloggar som matas in efter att omvandlingen har skapats. Andra arbetsböcker som också drar data från den här tabellen påverkas av omvandlingen.

Tänk på att om du exkluderar vissa principresultat från omvandlingen ser du inte något av dessa resultat i arbetsboken när omvandlingen körs.

Konfigurera en princip för villkorsstyrd åtkomst i rapportläge

Så här konfigurerar du en princip för villkorsstyrd åtkomst i rapportläge:

  1. Logga in på administrationscentret för Microsoft Entra som minst administratör för villkorsstyrd åtkomst.
  2. Bläddra till Entra ID>Villkorsstyrd åtkomst>principer.
  3. Välj en befintlig princip eller skapa en ny princip.
  4. Under rubriken Aktivera princip ställer du in växlingsknappen på Endast rapport-läget.
  5. Välj Spara

Tips

Om du redigerar tillståndet Aktivera princip för en befintlig princip från till Endast rapport inaktiveras befintlig principtillämpning.

Felsökning

Varför misslyckas frågor på grund av ett behörighetsfel?

För att få åtkomst till arbetsboken behöver du rätt behörigheter i Microsoft Entra-ID och Log Analytics. Så här testar du om du har rätt arbetsytebehörigheter genom att köra en log analytics-exempelfråga:

  1. Logga in på administrationscentret för Microsoft Entra med minst behörigheten Security Reader.
  2. Bläddra till Entra IDÖvervakning & hälsaLogganalys.
  3. Skriv SigninLogs i frågerutan och välj Kör.
  4. Om frågan inte returnerar några resultat kanske arbetsytan inte är korrekt konfigurerad.

Skärmbild som visar hur du felsöker misslyckade frågor.

Mer information om hur du strömmar Inloggningsloggar för Microsoft Entra till en Log Analytics-arbetsyta finns i artikeln Integrera Microsoft Entra-loggar med Azure Monitor-loggar.

Varför misslyckas frågorna i arbetsboken?

Kunder märker att sökfrågor ibland misslyckas om felaktiga eller flera arbetsytor är associerade med arbetsboken. Åtgärda det här problemet genom att välja Redigera överst i arbetsboken och sedan kugghjulet Inställningar. Välj och ta sedan bort arbetsytor som inte är associerade med arbetsboken. Det bör bara finnas en arbetsyta som är associerad med varje arbetsbok.

Varför är parametern Principer för villkorsstyrd åtkomst tom?

Listan över principer genereras genom att titta på de principer som utvärderas för den senaste inloggningshändelsen. Om det inte finns några nyligen inloggningar i klientorganisationen kan du behöva vänta några minuter för att arbetsboken ska ladda listan över principer för villkorsstyrd åtkomst. Tomma resultat kan inträffa omedelbart efter konfigurationen av Log Analytics eller om en klientorganisation inte har den senaste inloggningsaktiviteten.

Varför tar arbetsboken lång tid att läsa in eller returnera noll resultat?

Beroende på det valda tidsintervallet och storleken på din organisation kan arbetsboken utvärdera ett oerhört stort antal inloggningshändelser. För stora klienter kan mängden inloggningar överskrida Log Analytics frågekapacitet. Försök att förkorta tidsintervallet till 4 timmar och se sedan om arbetsboken laddas. Mer information om hur du förbättrar prestanda finns i avsnittet Förbättra arbetsbokens prestanda .

Kan jag spara mina parameterval eller anpassa arbetsboken?

Du kan spara dina parameterval och anpassa arbetsboken överst i arbetsboken. Bläddra till Entra ID>Övervakning och hälsa>Arbetsböcker>Insikter och rapportering för villkorlig åtkomst. Här hittar du arbetsboksmallen, där du kan redigera arbetsboken och spara en kopia på din arbetsyta, inklusive parametervalen, i Mina rapporter eller Delade rapporter. Om du vill börja redigera frågorna väljer du Redigera överst i arbetsboken.

Relaterat innehåll