Koşullu Erişim İlkesi değişiklikleriyle ilgili sorunları giderme

Ortamınızda Koşullu Erişim ilkesi değişikliklerinin neden ve nasıl gerçekleştiğiyle ilgili sorunlar giderilirken, Microsoft Entra denetim günlüğü değerli bir bilgi kaynağıdır.

Denetim günlüğü verileri varsayılan olarak yalnızca 30 gün boyunca tutulur ve bu da her kuruluş için yeterli uzunlukta bir süre olmayabilir. Kuruluşlar, Microsoft Entra Id'deki tanılama ayarlarını şu şekilde değiştirerek verileri daha uzun süreler boyunca depolayabilir:

• Log Analytics çalışma alanına veri gönderme
• Verileri depolama hesabına arşivle
• Event Hubs’a veri akışı sağlama
• İş ortağı çözümüne veri gönderme

Bu seçenekleri Kimlik>İzleme ve sistem durumu>Tanılama ayarları>Düzenleme ayarı altında bulabilirsiniz. Tanılama ayarınız yoksa, platform günlüklerini ve ölçümlerini oluşturmak üzere farklı hedeflere göndermek için tanılama ayarları oluşturma makalesindeki yönergeleri izleyin.

Denetim günlüğü nasıl kullanma

1. En azından Koşullu Erişim Yöneticisi olarak Microsoft Entra yönetici merkezinde oturum açın.

2. Kimlik>İzleme ve sistem durumu>Denetim günlüklerine göz atın.

3. Sorgulamak istediğiniz Tarih aralığını seçin.

4. Hizmet filtresinden Koşullu Erişim'i seçin ve Uygula düğmesini seçin.

   Denetim günlükleri varsayılan olarak tüm etkinlikleri görüntüler. Etkinlikleri daraltmak için Etkinlik filtresini açın. Koşullu Erişim için denetim günlüğü etkinliklerinin tam listesi için bkz . Denetim günlüğü etkinlikleri.

5. Ayrıntıları görüntülemek için bir satır seçin. Değiştirilen Özellikler sekmesi, seçili denetim etkinliği için değiştirilmiş JSON değerlerini listeler.

Log Analytics kullanma

Log Analytics, kuruluşların yerleşik sorguları veya özel oluşturulmuş Kusto sorgularını kullanarak verileri sorgulamasına olanak tanır. Daha fazla bilgi için bkz . Azure İzleyici'de günlük sorgularını kullanmaya başlama.

Etkinleştirildikten sonra Kimlik>İzleme ve sistem durumu>Log Analytics'te Log Analytics'e erişimi bulun. Koşullu Erişim yöneticilerinin en çok ilgilendiği tablo AuditLogs'dur.

AuditLogs 
| where OperationName == "Update Conditional Access policy"

Değişiklikler TargetResources>modifiedProperties altında bulunabilir.

Değerleri okuma

Denetim günlüğü ve Log Analytics'teki eski ve yeni değerler JSON biçimindedir. İlkedeki değişiklikleri görmek için iki değeri karşılaştırın.

Eski ilke örneği:

{
    "conditions": {
        "applications": {
            "applicationFilter": null,
            "excludeApplications": [
            ],
            "includeApplications": [
                "797f4846-ba00-4fd7-ba43-dac1f8f63013"
            ],
            "includeAuthenticationContextClassReferences": [
            ],
            "includeUserActions": [
            ]
        },
        "clientAppTypes": [
            "browser",
            "mobileAppsAndDesktopClients"
        ],
        "servicePrincipalRiskLevels": [
        ],
        "signInRiskLevels": [
        ],
        "userRiskLevels": [
        ],
        "users": {
            "excludeGroups": [
                "eedad040-3722-4bcb-bde5-bc7c857f4983"
            ],
            "excludeRoles": [
            ],
            "excludeUsers": [
            ],
            "includeGroups": [
            ],
            "includeRoles": [
            ],
            "includeUsers": [
                "All"
            ]
        }
    },
    "displayName": "Common Policy - Require MFA for Azure management",
    "grantControls": {
        "builtInControls": [
            "mfa"
        ],
        "customAuthenticationFactors": [
        ],
        "operator": "OR",
        "termsOfUse": [
            "a0d3eb5b-6cbe-472b-a960-0baacbd02b51"
        ]
    },
    "id": "334e26e9-9622-4e0a-a424-102ed4b185b3",
    "modifiedDateTime": "2021-08-09T17:52:40.781994+00:00",
    "state": "enabled"
}

güncelleştirilmiş ilke örneği:

{
    "conditions": {
        "applications": {
            "applicationFilter": null,
            "excludeApplications": [
            ],
            "includeApplications": [
                "797f4846-ba00-4fd7-ba43-dac1f8f63013"
            ],
            "includeAuthenticationContextClassReferences": [
            ],
            "includeUserActions": [
            ]
        },
        "clientAppTypes": [
            "browser",
            "mobileAppsAndDesktopClients"
        ],
        "servicePrincipalRiskLevels": [
        ],
        "signInRiskLevels": [
        ],
        "userRiskLevels": [
        ],
        "users": {
            "excludeGroups": [
                "eedad040-3722-4bcb-bde5-bc7c857f4983"
            ],
            "excludeRoles": [
            ],
            "excludeUsers": [
            ],
            "includeGroups": [
            ],
            "includeRoles": [
            ],
            "includeUsers": [
                "All"
            ]
        }
    },
    "displayName": "Common Policy - Require MFA for Azure management",
    "grantControls": {
        "builtInControls": [
            "mfa"
        ],
        "customAuthenticationFactors": [
        ],
        "operator": "OR",
        "termsOfUse": [
        ]
    },
    "id": "334e26e9-9622-4e0a-a424-102ed4b185b3",
    "modifiedDateTime": "2021-08-09T17:52:54.9739405+00:00",
    "state": "enabled"
}

Önceki örnekte, güncelleştirilmiş ilke, verme denetimlerinde kullanım koşullarını içermiyor.

Sonraki adımlar

• Microsoft Entra izleme nedir?
• Microsoft Entra ID için log analytics görünümlerini yükleme ve kullanma